Samba spielt nicht mit Samba

12/04/2008 - 21:57 von Heiko Nocon | Report spam
Hallo,

Kürzlich habe ich eine NT4-Domàne nach Samba+LDAP migriert. Das gab zwar
einige Probleme, die sich letztlich aber lösen ließen. Das blödeste war,
daß das System heftigen Widerwillen gegen die Migration von Accounts mit
Umlauten hatte. Solche Accounts (Gruppen) sind aber nunmal aber der
Standard bei deutschen NT-Installationen. Naja, irgendwo habe ich dann
ein Tool gefunden, was es erlaubt, die Standardgruppen unter NT
umzubenennen. Gibt es also jetzt statt der Domànen-Administratoren eben
Domaenen-Administratoren. Who cares...

Abgesehen von diesem Umlaut-Hickhack lief die Migration der Domàne
selber erfreulich problemarm ab. Ein einzelner W2K-Client hat hinterher
rumgezickt, Samba hielt aus unerfindlichen Gründen dessen
Maschinenaccount für ungültig. Naja, mit der Kiste erneut der Domàne
beigetreten und Samba war zufrieden.

Wirklich böse ist aber etwas anderes. In der Domàne arbeitete schon
lange ein Mailserver unter Linux als einfacher Member-Server, der die
Mail-Benutzer per winbindd/saslauthd gegen die NT-Domàne authentifiziert
hat (security=domain).
Und ausgerechnet diese Kiste macht nun massive Zicken. Sie ist absolut
nicht dazu zu bewegen, sich in der neuen alten Domàne heimisch zu
fühlen. Zuerst funktionierte scheinbar noch alles, aber nach und nach
gab's bei immer mehr Benutzern das Problem, daß SMTP-, IMAP- und
POP3-Logins mit auth fail scheiterten.
Eine erste Untersuchung zeigte, daß auch für diese Kiste der neue PDC
das Maschinenkonto für ungültig hielt. Naja, das kannte ich ja von dem
W2K-Client und habe versucht, das Problem mit demselben Mittel zu lösen:
erneuter Beitritt zur Domàne (hier natürlich mit net rpc join).

Bloß geht jetzt garnix mehr. Vorher ließen sich immerhin noch mit getent
passwd die Domànenbenutzer auflisten, jetzt nicht mehr. Und die Kiste
fragt den PDC auch überhaupt nichts mehr. wbinfo --sequence zeigt an,
daß daß die Domàne "disconnected" ist.
Also habe ich mal auf dem PDC explizit den Maschinenaccount gelöscht und
bin dann erneut der Domàne beigetreten. Funktioniert offensichtlich,
denn der Maschinenaccount wird angelegt und sieht auch so aus wie die
anderen Maschinenaccounts. Bloß nutzt der Mailserver diesen Account kein
bissel. Er fragt den PDC rein garnix (smbd, nmbd, winbindd und saslauthd
natürlich alle fein sàuberlich neu gestartet). Es geht einfach nicht.

Suche in allen einschlàgigen Logs sowohl auf dem PDC als auch auf dem
Mailserver fördert keinerlei verdàchtige Eintràge zu Tage. Der
Mailserver redet ganz offensichtlich erst garnicht mit dem PDC. Auch
explizite Angabe des Authentifizierungsservers in der smb.conf àndert
daran nix.

Irgendwelche Tips?

Auf lange Sicht sollen zwar die Maildienste allesamt auch auf den neuen
Server umziehen, aber das kann etwas dauern und bis dahin würde ich gern
den alten weiter betreiben.
 

Lesen sie die antworten

#1 Juergen Ilse
12/04/2008 - 22:44 | Warnen spam
Hallo,

Heiko Nocon wrote:
Kürzlich habe ich eine NT4-Domàne nach Samba+LDAP migriert. Das gab zwar
einige Probleme, die sich letztlich aber lösen ließen. Das blödeste war,
daß das System heftigen Widerwillen gegen die Migration von Accounts mit
Umlauten hatte. Solche Accounts (Gruppen) sind aber nunmal aber der
Standard bei deutschen NT-Installationen.



Nicht bei solchen, bei denen ich ueber die Usernamen zu entscheiden haette.
Usernamen legt man weder "nur in Grossbuchstaben" noch "mit Umlauten" noch
"mit whitespace im Usernamen" an. Eben *weil* so etwas bei einer Migration
(oder manchmal auch im Betrieb) das eine oder andere Problem hervorrufen
koennte.

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen