SMB mit LDAP will nicht mehr nach Upgrade

Probleme mit Samba, NFS, FTP und Co.
Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 06.09.2021 10:48:41

Nein, ein -debug zeigt mir da auch nichts Hilfreiches an. Erst kommt halt ein Block, scheinbar mit Hex-Werten inklusive Übersetzung, dann die ganze Zertifikatskette und am Ende eben erwähnter abschnitt.

PS: sieht aber auch so aus, als müsste das so sein. Das ist etwas, das mit TLS 1.3 eingeführt wurde und es wird davon abgeraten, es auch zu nutzen. Siehe https://github.com/openssl/openssl/issues/9080

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 08.09.2021 12:49:59

Ich habe gerade mal das log.smbd im ersten Post aktualisiert. Mir ist dort eine Zeile aufgefallen, die bisher leider nicht dort stand. Die könnte eine Erklärung sein, hilft mir aber auch nicht weiter:

Code: Alles auswählen

add_new_domain_info: failed to add domain dn= sambaDomainName=TS,dc=domain,dc=de with: Invalid DN syntax
        invalid DN

Benutzeravatar
oln
Beiträge: 79
Registriert: 05.01.2021 09:41:24

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von oln » 09.09.2021 09:17:36

Moin,
Artim hat geschrieben: ↑ zum Beitrag ↑
08.09.2021 12:49:59
Ich habe gerade mal das log.smbd im ersten Post aktualisiert. Mir ist dort eine Zeile aufgefallen, die bisher leider nicht dort stand. Die könnte eine Erklärung sein, hilft mir aber auch nicht weiter:

Code: Alles auswählen

add_new_domain_info: failed to add domain dn= sambaDomainName=TS,dc=domain,dc=de with: Invalid DN syntax
        invalid DN
setze mal einen Netbios name in Global. Dann sollte das weg sein.

Code: Alles auswählen

 netbios name = DeinServername
Gruß Ole
AbuseIPDB

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 09.09.2021 12:50:52

Nein, leider nicht. Das einzige, was sich ändert, ist, dass nicht nur ts da steht, sondern der vollständige Servername. In der hosts Datei stehen beide Versionen.

Benutzeravatar
oln
Beiträge: 79
Registriert: 05.01.2021 09:41:24

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von oln » 10.09.2021 08:27:52

Moin,
ist der LDAP ein AD-DC?
Ist der LDAP ein Win oder Linux?
Gruß Ole
AbuseIPDB

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 10.09.2021 09:53:07

Ist alles Linux (Debian 11). Ist also OpenLDAP/slapd

Benutzeravatar
oln
Beiträge: 79
Registriert: 05.01.2021 09:41:24

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von oln » 10.09.2021 13:51:09

Irgendwie denke ich das hier mehrere Probleme vorhanden sind.
Was sagen folgende Befehle:

Code: Alles auswählen

pdbedit -L
pdbedit -L -b tdbsam
pdbedit -L -b ldapsam
Artim hat geschrieben: ↑ zum Beitrag ↑
27.08.2021 15:17:27
net GETLOCALSID gibt

Code: Alles auswählen

smbldap_search_domain_info: Adding domain info for TS failed with NT_STATUS_UNSUCCESSFUL
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
pdb backend ldapsam:ldap://auth.domain.de did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
WARNING: Could not open passdb
Dies deutet darauf hin, dass das PW vom admin-User nicht da ist. Ohne SID wird das nichts.
Um das zu erstellen:

Code: Alles auswählen

smbpasswd -w ldap_adminpasswort
Gruß Ole
AbuseIPDB

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 10.09.2021 14:08:07

oln hat geschrieben: ↑ zum Beitrag ↑
10.09.2021 13:51:09

Code: Alles auswählen

pdbedit -L 

Code: Alles auswählen

smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=TS.DOMAIN.DE))]
smbldap_open_connection: connection opened
ldap_connect_system: successful connection to the LDAP server
smbldap_search_domain_info: Got no domain info entries for domain
add_new_domain_info: Adding new domain
add_new_domain_info: failed to add domain dn= sambaDomainName=TS.DOMAIN.DE,dc=domain,dc=de with: Invalid DN syntax
        invalid DN
smbldap_search_domain_info: Adding domain info for TS.DOMAIN.DE failed with NT_STATUS_UNSUCCESSFUL
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
pdb backend ldapsam:ldaps://auth.domain.de did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
Can't initialize passdb backend.

Code: Alles auswählen

pdbedit -L -b tdbsam
nichts

Code: Alles auswählen

pdbedit -L -b ldapsam

Code: Alles auswählen

smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=TS.DOMAIN.DE))]
smbldap_open_connection: connection opened
failed to bind to server ldap://localhost with dn="cn=admin,dc=domain,dc=de" Error: Can't contact LDAP server
        (unknown)
Connection to LDAP server failed for the 1 try!
smbldap_open_connection: connection opened
failed to bind to server ldap://localhost with dn="cn=admin,dc=domain,dc=de" Error: Can't contact LDAP server
        (unknown)
Connection to LDAP server failed for the 2 try!
smbldap_open_connection: connection opened
failed to bind to server ldap://localhost with dn="cn=admin,dc=domai,dc=de" Error: Can't contact LDAP server
        (unknown)
Dies deutet darauf hin, dass das PW vom admin-User nicht da ist. Ohne SID wird das nichts.
Um das zu erstellen:

Code: Alles auswählen

smbpasswd -w ldap_adminpasswort
Zeigt auch keine Änderung

Benutzeravatar
oln
Beiträge: 79
Registriert: 05.01.2021 09:41:24

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von oln » 10.09.2021 14:32:31

So langsam weiß ich nicht mehr was du wo ausführst.
Klappt ein ldapsearch auf dem ldap-Server mit ldaps ?
Gruß Ole
AbuseIPDB

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 10.09.2021 18:19:16

oln hat geschrieben: ↑ zum Beitrag ↑
10.09.2021 14:32:31
So langsam weiß ich nicht mehr was du wo ausführst.
Alles auf dem Server, wo Samba läuft.
Klappt ein ldapsearch auf dem ldap-Server mit ldaps ?
Vom ldap-Server aus nicht, aber von jedem anderen Server aus im Netzwerk.

Benutzeravatar
oln
Beiträge: 79
Registriert: 05.01.2021 09:41:24

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von oln » 13.09.2021 11:15:33

Artim hat geschrieben: ↑ zum Beitrag ↑
10.09.2021 18:19:16
Vom ldap-Server aus nicht, aber von jedem anderen Server aus im Netzwerk.
Das sollte aber auch gehen. Der LDAP-Server ist auch ein Bullseye?
Gruß Ole
AbuseIPDB

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 13.09.2021 17:34:43

Ja. Aber warum sollte der LDAP Server sich selbst erreichen können?

Code: Alles auswählen

root@auth:~# ldapsearch -x -D cn=admin,dc=domain,dc=de -W -H ldaps://auth.domain.de -b ou=people,dc=domain,dc=de -d1
ldap_url_parse_ext(ldaps://auth.domain.de)
ldap_create
ldap_url_parse_ext(ldaps://auth.domain.de:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP auth.domain.de:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying xxx.xxx.xxx.xxx:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect errno: 113
ldap_close_socket: 3
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Benutzeravatar
oln
Beiträge: 79
Registriert: 05.01.2021 09:41:24

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von oln » 14.09.2021 07:39:42

Moin,
Artim hat geschrieben: ↑ zum Beitrag ↑
13.09.2021 17:34:43
Ja. Aber warum sollte der LDAP Server sich selbst erreichen können?
um zu sehen, obes überhaupt funktioniert. Du hättest auch localhost nehmen können.
Was sagt

Code: Alles auswählen

netstat -ntal | grep 636
auf dem LDAP-Server?
Horcht dort überhaupt jemand auf den Port?
Gruß Ole
AbuseIPDB

Artim
Beiträge: 79
Registriert: 22.11.2019 11:33:28

Re: SMB mit LDAP will nicht mehr nach Upgrade

Beitrag von Artim » 14.09.2021 16:09:44

oln hat geschrieben: ↑ zum Beitrag ↑
14.09.2021 07:39:42
Moin,
Artim hat geschrieben: ↑ zum Beitrag ↑
13.09.2021 17:34:43
Ja. Aber warum sollte der LDAP Server sich selbst erreichen können?
um zu sehen, obes überhaupt funktioniert. Du hättest auch localhost nehmen können.
ändert nichts

Code: Alles auswählen

ldap_url_parse_ext(ldaps://localhost)
ldap_create
ldap_url_parse_ext(ldaps://localhost:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying ::1 636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: warning: cacertdir not implemented for gnutls
TLS: peer cert untrusted or revoked (0x42)
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Was sagt

Code: Alles auswählen

netstat -ntal | grep 636
auf dem LDAP-Server?
Horcht dort überhaupt jemand auf den Port?
Natürlich. Wie gesagt, von anderen Servern aus dem Netz aus, inklusive dem Samba Server ist es kein Problem, nur Samba selbst bekommt es nicht gebacken bzw ich kann es nicht vom ldap Server selbst ansprechen.

Code: Alles auswählen

tcp        0      0 0.0.0.0:636             0.0.0.0:*               LISTEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55868   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55866   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xx:33988    VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55450   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xx:33902    VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55444   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55480   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xx:33958    VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:47092   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55458   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55448   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xx:34020    VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xx:33906    VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55452   VERBUNDEN
tcp        0      0 xxx.xxx.xxx.xxx:636     xxx.xxx.xxx.xxx:55870   VERBUNDEN
tcp6       0      0 :::636                  :::*                    LISTEN

Antworten