[lug-ts] AD, Trusts und Cross-Domain-Anmeldung am Samba

Wed, 08 Jun 2016 13:25:05 -0700 

Hallo Zusammen,

ich habe mal wieder ein besonderes Schmankerl als Problem. Nehmen wir folgende 
fiktive Active Directory-Struktur an (alles Windows-DCs, kein Samba-DC):

Domäne A1 <-------------> Domäne B
     <-->
Domäne A2

Domäne A1 ist ein Forest-Root mit Domäne A2 als Sub-Domäne (gleicher Forest). 
Domäne B ist ein eigenständiger Forest-Root ohne Sub-Domäne. Domäne A1 und 
Domäne B hängen mit einem Forest Root Trust (beidseitig transitiv) zusammen. 
A1 und A2 sind innerhalb des Forests getrusted. Innerhalb der Windows-Welt 
funktioniert alles soweit, auch Kerberos klappt von jeder Domäne in jede 
andere.

Jetzt kommt aber Samba mit ins Spiel (in meinem Fall der Samba von Debian 
Stable [4.2.10]).


Fall 1: Samba-Server ist in der Domäne A2 gejoint
Es können sich User aus den Domänen A1 und A2 am Samba anmelden, aber kein 
User aus Domäne B

Fall 2: Samba-Server ist in der Domäne B gejoint
Es können sich User aus den Domänen A1 und B am Samba anmelden, aber kein User 
aus Domäne A2

In beiden Fällen authentifiziert sich der User via Kerberos erfolgreich, bei 
der Überprüfung des Nutzers kommt es dann zum Problem, daß dem Samba im Fall 1 
die Domäne B und im Fall 2 die Domäne A2 unbekannt ist und somit die 
Überprüfung fehlschlägt. Was auffällig ist:

A2> wbinfo -m
A2
A1

B> wbinfo -m
B
A1

Die Ausgabe von "wbinfo -m" deckt sich exakt mit den Domänen die im jeweiligen 
Fall funktionieren. Die jeweils fehlende Domäne ist genau die aus der die 
Anmeldung am Samba nicht funktioniert.

Hat von euch irgendwer schon mal so eine Konstellation am Laufen gehabt? 
Irgendwer eine Idee was hier schief läuft? Beim Reinschnurken in den Winbind-
Quellcode finde ich Kommentare die den Anschein erwecken, daß dort Code ist der 
den "Forest Root Trust" behandelt, die dort stehende Debug-Ausgabe habe ich im 
Logfile aber nicht gefunden (der Loglevel war aber ausreichend). Im Internet 
ist zu dem Thema genau 0,0 zu finden, habe jetzt 2 Tage lang gesucht.

Wenn irgendwer irgendwas dazu weiß oder auch nur eine Ahnung hat wieso es 
nicht geht, ich bin für jede Information dankbar!


Viele Grüße und vielen Dank,

Robert


P.S. und wenn jetzt jemand Bullshit-Bingo gespielt hat dann bin ich ihm auch 
nicht böse ;-)
_______________________________________________
lug-ts mailing list
[email protected]
http://www.lug-ts.de/mailman/listinfo/lug-ts

Antwort per Email an