Lug-dd April 2011

lug-dd@mailman.schlittermann.de

35 participants
23 discussions

Anmeldeproblem bei Samba als ADS-Member-Server
by Rico Koerner 20 Apr '11

20 Apr '11

Hallo, ich steh hier vor dem Problem, daß die Anmeldung mit einem Windows-Benutzer nicht funktioniert, also winbind scheinbar noch nicht korrekt läuft. Ein w2k-Server (DC,Fileserver) und ein w2k3-Terminalserver und Clients (w2k/XP/Vista/W7) sind am Start. Auf dem TS wird zwingend ADS benötigt und der w2k soll durch einen Linux-Server (Squeeze) ersetzt werden, der das ADS leider nicht übernehmen kann. Deshalb wurde das ADS-Schema des w2k entsprechend angehoben und der TS als DC (dc.workgroup.local) hinzugefügt. So der aktuelle Stand auf der Windows-Seite. Auf der Linux-Seite wurde Kerberos konfiguriert und Samba konnte der Domäne beitreten. > net ads join -S dc.workgroup.local -U administrator%<PASS> > net ads testjoin Join is OK mit 'net usersidlist' sehe ich auch die Benutzer aus dem ADS: SAMBA-SERVER\administrator S-1-5-21-SAMBA-SID-500 S-1-1-0 S-1-5-2 S-1-5-11 S-1-5-21-SAMBA-SID-512 gast S-1-5-21-DOMAIN-SID-501 S-1-1-0 S-1-5-2 S-1-5-11 winuser1 S-1-5-21-DOMAIN-SID-1002 S-1-1-0 S-1-5-2 S-1-5-11 'getent passwd' zeigt leider nichts davon. > getent passwd root:x:0:0:root:/root:/bin/bash ... ldapuser1:*:10001:10001:<gecos>:/home/ldapuser1:/bin/bash Administrator:*:20000:20001:Administrator:/home/Administrator:/bin/false nobody:*:65534:65534:nobody:/nonexistent:/bin/sh Die letzten 3 Einträge stammen aus dem LDAP-Verzeichnis. Ich kann mich mit einem LDAP-User sowohl auf der Console, als auch mit smbclient am Samba-Server anmelden. > grep winbind /etc/nsswitch.conf passwd: compat winbind ldap group: compat winbind ldap > cat /etc/pam.d/common-* |grep -v ^# ################################################################### account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so account requisite pam_deny.so account required pam_permit.so account [success=ok new_authtok_reqd=done ignore=ignore user_unknown=ignore authinfo_unavail=ignore default=bad] pam_ldap.so minimum_uid=1000 auth [success=3 default=ignore] pam_unix.so nullok_secure auth [success=2 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass debug auth [success=1 default=ignore] pam_ldap.so minimum_uid=1000 use_first_pass auth requisite pam_deny.so auth required pam_permit.so password [success=3 default=ignore] pam_unix.so obscure sha512 password [success=2 default=ignore] pam_winbind.so use_authtok try_first_pass password [success=1 default=ignore] pam_ldap.so minimum_uid=1000 try_first_pass password requisite pam_deny.so password required pam_permit.so session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_winbind.so session [success=ok default=ignore] pam_ldap.so minimum_uid=1000 session required pam_mkhomedir.so skel=/etc/skel umask=0022 ################################################################### Die Secrets für LDAP und winbind wurden erfolgreich eingetragen mit: > smbpasswd -w <PASS> > net idmap secret WORKGROUP <PASS> > net idmap secret alloc <PASS> Verdächtig ist nur eine Zeile in der log.winbindd nach einem restart: connection_ok: Connection to for domain WORKGROUP is not connected log.winbindd: ################################################ [2011/04/20 16:07:49.985165, 0] winbindd/winbindd_cache.c:3076(initialize_winbindd_cache) initialize_winbindd_cache: clearing cache and re-creating with version number 1 [2011/04/20 16:07:49.993073, 2] winbindd/winbindd_util.c:221(add_trusted_domain) Added domain BUILTIN S-1-5-32 [2011/04/20 16:07:49.993127, 2] winbindd/winbindd_util.c:221(add_trusted_domain) Added domain SAMBA-SERVER S-1-5-21-SAMBA-SID [2011/04/20 16:07:49.993181, 2] winbindd/winbindd_util.c:221(add_trusted_domain) Added domain WORKGROUP WORKGROUP.LOCAL S-1-5-21-DOMAIN-SID [2011/04/20 16:07:55.008881, 3] winbindd/winbindd_cm.c:1633(connection_ok) connection_ok: Connection to for domain WORKGROUP is not connected [2011/04/20 16:07:55.010095, 3] libsmb/cliconnect.c:991(cli_session_setup_spnego) Doing spnego session setup (blob length=109) [2011/04/20 16:07:55.010143, 3] libsmb/cliconnect.c:1020(cli_session_setup_spnego) got OID=1.2.840.48018.1.2.2 got OID=1.2.840.113554.1.2.2 got OID=1.2.840.113554.1.2.2.3 got OID=1.3.6.1.4.1.311.2.2.10 [2011/04/20 16:07:55.010170, 3] libsmb/cliconnect.c:1030(cli_session_setup_spnego) got principal=dc$(a)WORKGROUP.LOCAL [2011/04/20 16:07:55.015985, 2] libsmb/cliconnect.c:795(cli_session_setup_kerberos) Doing kerberos session setup [2011/04/20 16:07:55.018529, 3] libsmb/clikrb5.c:622(ads_cleanup_expired_creds) ads_cleanup_expired_creds: Ticket in ccache[MEMORY:cliconnect] expiration Do, 21 Apr 2011 02:07:54 CEST [2011/04/20 16:07:55.018563, 3] libsmb/clikrb5.c:840(ads_krb5_mk_req) ads_krb5_mk_req: server marked as OK to delegate to, building forwardable TGT ################################################ Als idmap-Backend wird LDAP verwendet, die entsprechenden OUs sind angelegt. Die nachfolgende ldapsam:editposix-Konfiguration stammt aus dem Buch OpenLDAP 2.4, 2. Auflage von Oliver Liebel (Galileo Computing). smb.conf: ############################################ [global] workgroup = WORKGROUP server string = %h server wins support = no dns proxy = no log file = /var/log/samba/log.%m log level = 3 max log size = 1000 syslog = 1 panic action = /usr/share/samba/panic-action %d obey pam restrictions = no security = ads realm = WORKGROUP.LOCAL encrypt passwords = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes password server = dc.workgroup.local passdb backend = ldapsam:ldap://127.0.0.1/ ldap ssl = no ldapsam:trusted = yes ldapsam:editposix = yes ldap admin dn = cn=admin,dc=workgroup,dc=local ldap suffix = dc=workgroup,dc=local ldap user suffix = ou=people ldap group suffix = ou=group ldap machine suffix = ou=hosts ldap idmap suffix = ou=idmap ldap passwd sync = yes idmap backend = ldap:ldap://127.0.0.1/ idmap config WORKGROUP:default = yes idmap config WORKGROUP:backend = ldap idmap config WORKGROUP:ldap_base_dn = ou=idmap,dc=workgroup,dc=local idmap config WORKGROUP:ldap_user_dn = cn=admin,dc=workgroup,dc=local idmap config WORKGROUP:ldap_url = ldap://127.0.0.1/ idmap config WORKGROUP:range = 20000 - 29999 idmap alloc backend = ldap idmap alloc config:ldap_base_dn = ou=idmap,dc=workgroup,dc=local idmap alloc config:ldap_user_dn = cn=admin,dc=workgroup,dc=local idmap alloc config:ldap_url = ldap://127.0.0.1/ idmap alloc config:range = 20000 - 29999 domain logons = no domain master = no preferred master = no time server = yes client use spnego = yes client schannel = no idmap uid = 20000-29999 idmap gid = 20000-29999 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes template shell = /bin/false template homedir = /home/%u [homes] comment = Home Directories browseable = no read only = no create mask = 0700 directory mask = 0700 valid users = %S [netlogon] comment = Network Logon Service path = /srv/daten/netlogon guest ok = yes read only = yes [profiles] comment = Users profiles path = /srv/daten/profiles guest ok = no browseable = no create mask = 0600 directory mask = 0700 [printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes guest ok = no read only = yes create mask = 0700 [print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no ; write list = root, @lpadmin ################################################ Hat jemand einen Ansatz, wo der Fehler stecken könnte? Mir fehlen momentan neue Denkansätze. Gruß Rico

1 0

Biete Mitfahrgelegenheit zum LinuxTag Berlin
by Stefan Schmitt 18 Apr '11

18 Apr '11

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi Liste! Der LinuxTag naht und ich folge seinem Ruf... :-) Am Samstag, 14.05.2011 werde ich nach Berlin fahren, um mir diverse Vorträge anzuhören. Wer Lust, Laune und Zeit hat, kann sich gerne gegen Spritkostenbeteiligung mit einklinken. Ich fahre gegen 7:00 Uhr ab 01900 Großröhrsdorf, könnte aber auch den kleinen Umweg zum Elbepark machen (dort dann gegen 7:20 - 7:30 Uhr), um Mitfahrer einzuladen. Bei Interesse bitte per PM melden. CU Stefan -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iD8DBQFNrDIZs8xTR04orlQRAvLvAJ9uORuAOjtAYEp+UHr0K8dNqeMG2gCggBGH Ouwyj19srsurdM0O7twaL+w= =WTG2 -----END PGP SIGNATURE-----

1 0

[SPAM] Linux Kernel Pentacast
by Frank Becker 13 Apr '11

13 Apr '11

Hi, wir haben einen Podcast über den LK aufgezeichnet [0]. Dabei die rechte Wichtung aller interessanten Aspekte zu finden, war nicht so leicht. Egal, falls jemand noch Fragen hat, so kann er die gern auf welchen Kanälen auch immer (gern auch hier oder per PM) stellen. In ein paar Monaten befragen wir die zwei LK-Devs dann dazu. Feedback aller Art hilft uns natürlich auch. [0] http://www.pentamedia.org/pentacast/linux-kernel-ueberblick Gruß, Frank -- Frank Becker <fb(a)alien8.de> (jabber|mail) | http://twitter.com/41i3n8 GnuPG: 0xADC29ECD | F01B 5E9C 1D09 981B 5B40 50D3 C80F 7459 ADC2 9ECD SILC-Net: a8 | Home: http://www.alien8.de | <<</>> http://www.c3d2.de "> Freedom is just chaos, with better lighting. <" Alan Dean Foster

3 2

DNS: verschiedne MX lassen sich nicht auflösen | Query Source Port
by Heiko Schlittermann 13 Apr '11

13 Apr '11

Hallo, nur, damit es irgendwo verzeichnet ist in den Archiven: Wir hatten gerade einen sonderbaren Effekt - verschiedene MX ließen sich nicht auflösen, es gab nur Timeouts. Fragte man die betreffenden NS mit Dig persönlich, dann kamen Antworten. Es lag offenbar daran, daß im benutzten lokalen Bind noch query-source address * port 53; gesetzt war und keine Forwarder benutzt wurden. Sobald das entfernt wurde, ging alles wieder so, wie man es erwartet hatte. Einzige mir einleuchtende Ursache könnten Firewalls der Gegenseite sein, die ausgehenden Traffic (also die Antworten, die wir erwartet hatten) blocken, sobald der Zielport 53 ist. Viellleicht wollen die damit ihre Systeme vor „unbeaufsichtigen“ DNS-Anfragen nach außen schützen und können in der Firewall die Queries nicht von den Antworten unterscheiden. Oder es wird der eingehende DNS-Traffic dort geblockt, wenn er von einem Port 53 kommt, aber dafür fällt mir kein guter Grund ein. Oder 1000 andere Gründe. Und eigentlich möchte man selbst auch nicht den festen Port 53 als Quellport für DNS-Anfragen benutzen, da dann ein Angriff auf den eigenen DNS-Server viel einfacher wird. Das oben beschriebene Problem tauchte an einen festen IP-Anschluß der Versatel auf, war aber auch an einem Volks-DSL reproduzierbar. -- Heiko :: dresden : linux : SCHLITTERMANN.de GPG Key 48D0359B : 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B

1 0

Gibt es heute den Vortrag?
by Grimnin Fridyson 13 Apr '11

13 Apr '11

hi Bernhard bleibt es beim Vortrag heute? Andreas

1 0

Nicht-interaktiven Remote-Shellaufruf loggen
by Fabian Hänsel 12 Apr '11

12 Apr '11

Hallo, ich habe ein (ziemlich hässliches) Tool vor der Nase, das sich auf einem Remote-System einloggen, dort ein Kommando ausführen und die Daten anschließend abholen soll. Leider geht dabei irgendwas schief. Doku gibts zu dem Tool natürlich keine. Da ich diesem Tool leider ausgeliefert bin, muss ich also anderweitig ermitteln, was es überhaupt konkret versucht, auszuführen. Umstände: Auf allen Systemen bin ich root. Ich kann dem Tool sagen, welches "Shell command for remote computer" es nehmen soll (steht per default auf "bash --login"). Mein Ansatz: Bash history Funktioniert für interaktive remote logins (getestet), aber nicht für nicht-interaktive logins. Kann ich der Bash irgendwie sagen, dass sie "sich interaktiv fühlen" oder trotz Nicht-Interaktivität loggen soll? (Oder hat jemand ganz andere Ansätze?) Beste Grüße Fabian

5 8

Was tun? (im Return-Path russischer Spammer)
by Bernhard Schiffner 11 Apr '11

11 Apr '11

Hallo, ihr habt es bestimmt schon erlebt, unzustellbare Mail zurückzubekommen. z.Z. bekomme ich viele Mails dieser Art, weil irgendein "verteilter" Spammer beliebige Adressen einer Domain, die ich verwalte, als return-path seiner (im Versand fehlschlagenden) Mails angibt. Damit führt er (vermutlich ohne es zu wollen) eine Art DOS-Atacke gegen mich, da meine Modemverbindung selbst diesem Minimaltraffic nicht gewachsen ist. Das sind etwa 2000 Mails pro Tag. Diese Mails gehen i.a. von russischen Hostern an russische Adressen. Wenn ich bei den sendenden IP-Adressen schaue, kann ich mich gleich mit dem gesamten russischen Hosterverein anlegen. Wie geht man in so einem Fall politsisch korrekt vor? (Meine Domain wird vermutlich nur ein kleines Rädchen in diesem Spiel darstellen.) Erfahrungen? Vorschläge? Danke im voraus! Bernhard

6 16

Wechsel des Rechners
by peter 11 Apr '11

11 Apr '11

Guten Morgen, ich möchte einen Rechner außer Betrieb und einen neuen in Betrieb nehmen, wobei der neue dem alten möglichst gleich sein soll. Mit an- deren Worten: nicht nur die persönlichen Dateien sollen auf den neu- en Rechner übertragen werden (kein Problem!), sondern auch die auf dem alten Rechner noch vorhandenen e-mails (Programm Evolution, Vs. 2.6.3). Der neue Rechner soll wieder e-mails mit Evolution senden und empfan- gen. Wie bekomme ich die e-mails auf den neuen Rechner? Die Möglichkeit, sie zu einer anderer e-mail-Adresse weiterzuleiten und sie dann, wenn der neue Rechner eingerichtet ist, von dort auf den neuen Rechner wei- terzuleiten, gefällt mir deshalb nicht, weil dabei zwei Weiterleitungen in die ursprüngliche e-mail "eingebaut" werden. Wie geht es anders? Ich gebe zu, daß ich die Inhalte der e-mails gar nicht finde - in welchem Verzeichnis stehen die? Und was müßte ich dann noch kopieren? Im Voraus vielen Dank für Hinweise / Anleitungen ! Peter M.

3 2

AW: apt pinning [und backports]
by Ronny Seffner 07 Apr '11

07 Apr '11

Hallo Daniel, > Verstehe ich dann leider nicht, denn das funktioniert hier und ist so > auch in `man apt_preferences' beschrieben. > > Vielleicht hängst du deine sources.list, deine /etc/apt/preferences > und /etc/apt/apt.conf mal an? Ich hab für den Fall jetzt mal alles vereinfacht: [...] ns2:~# cat /etc/debian_version 5.0.8 [...] [...] ns2:~# cat /etc/apt/apt.conf APT::Cache-Limit "40960000"; APT::Default-Release "lenny"; [...] [...] ns2:~# cat /etc/apt/preferences Package: * Pin: release n=lenny Pin-Priority: 900 Package: * Pin: release a=lenny-backports Pin-Priority: 200 [...] [...] ns2:~# apt-cache policy Paketdateien: 100 /var/lib/dpkg/status release a=now 200 http://backports.debian.org lenny-backports/main Packages release o=Debian Backports,a=lenny-backports,l=Debian Backports,c=main origin backports.debian.org 500 http://security.debian.org lenny/updates/non-free Packages release v=5.0,o=Debian,a=oldstable,l=Debian-Security,c=non-free origin security.debian.org 500 http://security.debian.org lenny/updates/contrib Packages release v=5.0,o=Debian,a=oldstable,l=Debian-Security,c=contrib origin security.debian.org 500 http://security.debian.org lenny/updates/main Packages release v=5.0,o=Debian,a=oldstable,l=Debian-Security,c=main origin security.debian.org 500 http://ftp2.de.debian.org lenny/non-free Packages release v=5.0.8,o=Debian,a=oldstable,l=Debian,c=non-free origin ftp2.de.debian.org 500 http://ftp2.de.debian.org lenny/contrib Packages release v=5.0.8,o=Debian,a=oldstable,l=Debian,c=contrib origin ftp2.de.debian.org 500 http://ftp2.de.debian.org lenny/main Translation-de 500 http://ftp2.de.debian.org lenny/main Packages release v=5.0.8,o=Debian,a=oldstable,l=Debian,c=main origin ftp2.de.debian.org Per Pinning verwaltete Pakete: [...] [...] ns2:~# cat /etc/apt/sources.list deb http://ftp2.de.debian.org/debian/ lenny main contrib non-free deb http://security.debian.org/ lenny/updates main contrib non-free deb http://backports.debian.org/debian-backports lenny-backports main [...] Der 900er Pin läuft nicht. Mit freundlichen Grüßen / With kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Triebischtal www.seffner.de | ronny(a)seffner.de | +49 35245 72950

1 0

15. Geburtstag von Tux
by christoph kloss 06 Apr '11

06 Apr '11

Hi Usergroup, ich wollte euch hiermit zum 15. Geburtstag von Tux einzuladen. Wir wollen ein entspannten Grillnachmittag an der Elbwiese durchführen. Das ganze findet am 12.Juni 2011 ab 15 Uhr statt. Wer von euch bei Facebook ist findet genauere Angaben auf der dafür vorgesehenen Eventseite: http://www.facebook.com/event.php?eid=121559144588743 Über eine eventuelle Rückmeldung und/oder Feedback würde ich mich freuen. Natürlich freue ich mich auch über jegliche Mundpropaganda. MFG -- Christoph Kloß Döhlener Straße 29 01159 Dresden http://kleinstadtgedanken-blog.de

1 0

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000

1999

Lug-dd April 2011