Re: Samba von Fedora nach Debian umstellen - mit Problemen

From: Christian Weerts <weerts@friesoyther-wasseracht.de>
Date: Tue Jul 19 2005 - 15:41:10 CEST

Christian Weerts schrieb:
> Moin,
>
> ich hatte ja schon einmal gefragt, ob ich die Sambakonfiguration von
> einer Feodora-Kiste auf ein frisches Debian migrieren kann.

Jetzt ist es vollbracht. :) Hier noch ein paar Erläuterungen /
Hinweise falls jemand noch interesse daran hat.

> Heute habe ich die Userdaten von der Feodora-Kiste per
> 'rsync -avz foo bar' auf den Debian-Ubuntu Rechner rübergezogen. Das
> ging ohne Probleme durch.

Dies sollte auf jedenfall als root ausgeführt werden, wenn vorher die
Benutzer auf dem Zielrechner angelegt worden sind (shadow, shadow-,
group, group-). Hintergrund ist der, das ansonsten die Benutzerrechte
der einzelnen Userdateien nicht korrekt angelegt werden.
Alternativ kann man das sicherlich auch jeweils als einzelner Benutzer
ausführen, aber wer will das schon :). Wichtig ist noch, das ein
root-login auf dem Zielrechner per rsync (ssh) erlaubt ist.

>
> Danach habe ich die Sambakonfiguration unterhalb '/etc' ebenfalls per
> rsync gezogen. Die auf der Feodorakiste unter '/var/cache/samba'
> liegenden *tdb und *dat Dateien habe ich auf der Debiankiste unter
> '/var/lib/samba' abgelegt. Ist das so korrekt, oder müssen die woanders
> liegen?

Soweit ist das korrekt, nur muss die 'secrets.tdb', die bei Fedora
unter '/etc/samba' liegt, bei Debian auch unter '/var/lib/samba' liegen.

>
> Dann kamen die entsprechenden Einträge in den Dateien 'passwd, shadow,
> smbpasswd usw.' für die jeweiligen Samba-User rüber auf die Debiankiste.

Das sollte man möglichst als erstes erledigen (siehe oben).

> Und um die Sache abzuschliessen, dachte ich mir, setze ich auch die SID
> der Fedorakiste auf die Debiankiste, so dass sich die Clients gleich
> wieder ohne Probleme anmelden können Befehl hierfür:
> 'net setlocalsid '<ganzlangenummer>''.

Korrekt. Hier empfiehlt es sich dringend auch die User-SID und die
Group-SID der einzelnen User zu kontrollieren. Der Befehl dazu
'pdbedit -Lv <username>'.

> Soweit die Vorgeschichte.
> Jetzt zum eigentlichen Problem. Wir haben im Netz NT-4.0 Clients, und
> W2000-Clients. Nach der Umstellung habe ich als erstes versucht meine
> Win2000-Kiste wieder an der Domain anzumelden. Klappte alles wunderbar!
> Das Profil konnte gelesen werden, und alle Verknüpfungen zu (teilw.
> externen) Datenbanken liefen ohne Probleme. Die Office-Suite lief
> ebenfalls ohne Probleme. Eigentlich alles wie vorher. Super - dachte ich...

Das lag daran, das bei dieser W2K-Kiste die Berechtigungen des
User-Profils nicht kontrolliert wurden. Einstellungssache.

>
> Als nächstes kam ein NT-4.0 Client an die Reihe. Dort war ein Anmelden
> nicht möglich. NT spuckte die C000019B-Meldung raus. Nun gut, die ist in
> der Samba-Doku bekannt, und mit einem aushängen des Clients aus der
> Domäne und wieder einhängen (unter NT als lokaler Administrator) sollte
> es klappen. Tat es aber nicht! Ein deaktivieren des Maschinenaccounts
> auf Samba und wieder einrichten brachte nix: 'smbpasswd -a -m <client>$'
> (Das Dollarzeichen ist notwendig bei Maschinenaccounts).
> Nach einem 'smbpasswd -e <sambauser>' konnte ich den Benutzer wieder
> unter NT anmelden. Die dort notwendigen Verknüpfungen waren auch alle
> vorhanden, allerdings alle anders angeordnet. Der
...
> Ich gehe mal davon aus, das unter NT4.0 noch irgendeine User-ID benutzt
> wird, die mir da Schwierigkeiten macht.
> Mittlerweile habe ich mit 'pdbedit -Lv <user>' heraus bekommen, welche
> User SID und Primary Group SID die jeweiligen User haben. Die
> unterscheiden sich natürlich von der neuen Kiste zu der alten Kiste.
>
> Meint ihr ob ein einfaches neues setzen der jeweiligen SIDs mit 'pdbedit
> -u <user> -G <groupsid> -U <usersid>' mein Problem beheben kann?

Nein. Mit 'pdbedit...' wie oben beschrieben konnte ich die SIDs der
User nicht anpassen. Es war ein fehlender Link auf die 'secrets.tdb',
die von Fedora unter '/etc/samba' abgelegt wurde. Debian erwartet sie
aber unter '/var/lib/samba'. Da dort noch die Installversion des
Debianpaketes lag, und nicht die von der Fedorakiste, war das
natürlich ein (grober) Fehler.

Weiterhin kann ich nur noch den Tipp geben, das auch die UserIDs und
GroupIDs aus '/etc/shadow' und '/etc/group' dringend kontrolliert
werden sollten, bevor ein '/etc/init.d/samba start' die ganze Sache
ins Rollen bringt. Falls dort etwas angepasst werden musste, ist es
auch ratsam, danach mit 'pdbedit -Lv <user>' die SIDs der User nochmal
zu überprüfen.

Gruss,
Christian

-- 
Friesoyther Wasseracht
Huntestraße 16
26169 Friesoythe
Tel: 04491-998124
Fax: 04491-998199
Web: http://www.friesoyther-wasseracht.de
Received on Tue, 19 Jul 2005 15:41:10 +0200

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 15:46:29 CEST