Kurioses Problem mit Samba

  • Moin!



    So. Das Thema mit "Samba verliert Berechtigung nach 10 Minuten ist vom Tisch". Ich hab das alles nochmal neu aufgesetzt. Jetzt komm ich allerdings gar nicht mehr drauf xD


    Das CMD sagt mir wenn ich per net use mounten will dieses:


    Hat das schonmal jemand gesehen? Die SMB Config und die Kerberos Config häng ich natürlich wieder an. Die FS-Berechtigungen passen.


    Samba:


    Und Kerberos:


    Sollten irgendwelche Logs gebraucht werden o.Ä. liefer ich die natürlich gerne nach.


    Ich danke im Vorraus!


    LG


    Lukas





    OLD:




  • Ich sag's Mal so: Ich habe mit Konfigurationen wie der deinigen genau NULL Erfahrung und erst einmal prinzipiell null Ahnung. Aber beim Lesen deines Textes ist mir eines eingefallen: Kerberos Tickets haben eine begrenzte Lebensdauer, typischerweise für 10 Stunden (so wie auch bei deiner Konfig). Läuft das Ticket ab, ist eine Reauthentifizierung nötig. Soweit würde ich das verstehen, wenn auch nur theoretisch, weil ich in der Praxis noch nie mit Kerberos gearbeitet habe (oder mit einer Authentifizierung von Linux Maschinen gegen eine AD - bisher nur umgekehrt - Windows Clients gegen Samba+OpenLDAP).


    Daher würde ich annehmen, daß eveeeentuell die Lebensdauer des Kerberos Tickets das Problem sein könnte, und daß ein neues Ticket ausgestellt werden müßte? Eventuell paßt da was mit den Tickets oder der Lifetime nicht ganz. Systemzeiten sind sync?


    Aber wie gesagt, ich habe keinen wirklichen Plan von der Sache. Wär nur so eine gefühlsmäßige Ahnung.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Systemzeiten haben maximal 30 Sekunden abweichung, die werden von Kerberos gesynct.

    Die Kerberos Tickets könnten eine heiße Spur sein, wenn ich versuche, das Ticket mittels "kinit -R" zu renewn, bekomme ich den Error "kinit: No credentials cache found (filename: /tmp/krb5cc_0)". Das werde ich nun mal verfolgen, ob ich da den Fehler finden kann, danke dir schonmal!


    Edit sagt: Mein Kerberos-Cache schien irgendwie defekt zu sein, mittels kdestroy und dann kinit User@domain konnte ich mir schonmal ein neues, valides Ticket generieren, welches via klist auch angezeugt wird. Allerdings scheint die Zeit dort nur auf 10 Minuten festgelegt zu sein, was ja eigentlich den 10 Stunden in meiner krb5.conf widerspricht. Kann es sein, dass ich dies auf dem Windows DC noch einstellen muss?

    Weiterhin startet der kerberos-kdc nicht mehr, journalctl -xe gibt mir eine ganze Latte an Problemen:

  • Ich bin da auf ähnlich flacher Flugebene wie GAT unterwegs. No offense ;)


    Hab mir die krb5.conf mal angeschaut und da habe ich zwei Variablen gefunden, die man mal mit großen Zeiten füllen könnte.

    Code
    1. ticket_lifetime = 7d
    2. renew_lifetime = 24d

    Was passiert dann?


  • lommodore

    Changed the title of the thread from “Kurioses Problem mit Samba / Nach bestimmter Zeit keine Schreibrechte mehr” to “Kurioses Problem mit Samba”.
  • Klappt auch nicht. Da bekomm ich folgende Ausgaben, wenn ich die Domain beim User mit angebe oder nicht. Das Kennwort ist definitiv richtig.


  • Das NAS redet über Kerberos mit der AD oder? Das wurde nach dem Neuaufsetzen auch initialisiert?

    Ich hab mit Kerberos bisher nichts zu tun gehabt, daher bitte ich Nachsicht, wenn ich hier grad Bullshit rede.