SAMBA4 Gruppenrichtlinien; ldaps und andere Themen

[heusm]

Hallo Gemeinde,
so jetzt muss ich mir mal Luft machen.....

Also ich habe jetzt den x Anlauf hinter mir ein frisches Debian 8.5 mit SAMBA4 als AD DC aufzusetzen...und bin einfach am verzweifeln...
Also Installation als Standard-System ohne was,
dann mc,ssh,quota,quotatool,ntp,samba,smbclient,heimdal-clients,winbindldb-tools drauf...
und die Domäne mit

Code: Alles auswählen

samba-tool domain provision --use-rfc2307 --interactive --use-ntvfs

schön erstellt. Prima! Interner DNS, alles schick. Tests:
netstat -tlpn | grep samba > schöne Liste von vielen Ports
host ...über namen, _kerberos, oder auch _ldap alle super wie erhofft
smbclient zeigt auch alles wie gewünscht
kerberos über kinit und klist auch alles bestens
ABER, erster Hinwies auf das was noch nicht ganz ok ist:

Code: Alles auswählen

ldbsearch -H ldaps://dc01 "cn=administrator"
TLS failed to missing crlfile  - with 'tls verify peer = as_strict_as_possible'
Failed to connect to ldap URL 'ldaps://dc01' - LDAP client internal error: NT_STATUS_INVALID_PARAMETER_MIX
Failed to connect to 'ldaps://dc01' with backend 'ldaps': (null)
Failed to connect to ldaps://dc01 - (null)

Bin ich davon ausgegangen das man "out-of-the-box" diese Themen nicht hat ... Mist
Die Prüfung in der [global] abdrehen mag ich nicht...also wer kann hier einen Tipp einwerfen?

Das alles ist ja nichts gegen mein Hauptthema, wo ich wirklich nicht mehr weiter komme.
Das aufnehmen einer Win7 Prof. Maschine hat ohne Problem geklappt...RSAT drauf und dann kommt es...die bittere Wahrheit.
DNS, User alles geht aber ich bekomme Meldungen mit den Gruppenrichtlinien Editor, und die sind echt böse.

Zum einen ist es komisch das der Ordner der "Starter-Gruppenrichtlinienobjekte" leer ist....mit der Schaltfläche "Ordner für Starter....erstellen" bekomme ich die Meldung "Das System kann die angegebene Datei nicht finden" Wieso findet das System hier nichts...oder wo sollten sie liegen? Bin davon ausgegangen das im Paket diese Dinge eigentlich schon mit drin sein sollten. Aber wo oder wie aktiviert man diese?

Bei der Anwahl der "Default Domain Controller Policy" schimpft das System nicht weniger mit mir:
"Das Programm hat einen Befehl ausgegeben, aber die Befehlslänge ist falsch." Super! Was fehlt, was wird gebraucht?

Abschließend gibt es dann noch das Thema das innerhalb der RSAT Themen die Meldung kommt "Der RPC-Server ist nicht verfügbar" Prima....aber was oder wo mache ich denn das bitte in dem großen weiten ....?

Alles wirkt neben meinem "alten" Samba irgendwie nicht rund ( ...

[feckelm]

da muss ich mich anschließen, ich habe hier ein ziemlich gleiches Verhalten, allerdings habe ich ein funktionierendes GPO System, kann sie allerdings nicht mehr bearbeiten und auch keine Neuen erstellen.
Meine Vermutung ist, dass es an irgendeinem Update seit ca Anfang Juni liegen kann, vorher ging noch alles wie gewünscht.

Die NETLOGON und SYSVOL shares auf den DC´s lassen es bei mir z.B. nicht zu dass ich vom Client aus Ordner erstelle.
samba-tool gpo aclcheck bringt mir eine Fehlermeldung.

Hier ist das Problem auch schon mal beschrieben, allerdings bisher auch ohne Lösung: http://ubuntuforums.org/showthread.php?t=2324439

Sicher sind wir mit dem Problem nicht alleine.

[rendegast]

TLS failed to missing crlfile - with 'tls verify peer = as_strict_as_possible'

Klingt danach, als ob noch ein Zertifikat hinterlegt werden müßte.
Oder Du drehst 'tls verify peer' herunter.

...
tls verify peer (G)

This controls if and how strict the client will verify the peer's
certificate and name. Possible values are (in increasing order):
no_check, ca_only, ca_and_name_if_available, ca_and_name and
as_strict_as_possible.
...
When set to as_strict_as_possible all checks from ca_and_name are
performed. In addition the tls crl file needs to be configured.
Future versions of Samba may implement additional checks.
...

Code: Alles auswählen

# testparm
        ldap ssl = start tls
        tls enabled = Yes
        tls keyfile = tls/key.pem
        tls certfile = tls/cert.pem
        tls cafile = tls/ca.pem
        tls crlfile = 
...
        tls verify peer = as_strict_as_possible

tls crlfile (G)

This option can be set to a file containing a certificate
revocation list (CRL).

This path is relative to private dir if the path does not start
with a /.

Default: tls crlfile =

[feckelm]

Hallo rendegast,

ich habe grade mal das hier ohne Erfolg ausprobiert:
ldap ssl = no
tls enabled =no
tls verify peer = no_check

von unten her angefangen und nicht auskommentiert.

Edit:
Das Problem betrifft bei mir allerdings nur die DC`s, die Memberserver sind normal verfügbar.
Und es betrifft scheinbar nur Ordner, Dateien kann ich anlegen.

[feckelm]

mein Problem mit den nicht beschreibbaren shares auf dem AD DC scheint gelöst zu sein.
So wie es aussieht lag es am s3fs bzw ntvfs. Meine DC's hatte ich nach der Ubuntu Howto mit --use-ntvfs aufgesetzt und auch alles funktionierend konfiguriert alles lief mehr als ein halbes Jahr.

Mit der Änderung in der smb.conf

Code: Alles auswählen

server services = -smb +s3fs
dcerpc endpoint servers = -winreg -srvsvc

waren die Freigaben dann wieder beschreibbar und die GPO's kann ich auch wieder bearbeiten.

Weiß der Geier warum es irgendwann nicht mehr ging.

Auf die Spur hat mich nur eine NT_STATUS Meldung bei Log-Level 10 gebracht.

Ich hoffe die Rückmeldung hier hilft dem Einen oder Anderen.

VG
Frank