• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] "Die Struktur der Sicherheitskennung ist unzulässig."

Phillinger

Member
Hallo zusammen,

wenn ich per Windows-Explorer auf meinem Active Domain Domain Controller (Samba, Version 4.2.10-Debian) auf eine beliebige Freigabe zugreifen möchte (auch die Standard-Freigaben netlogon und sysvol) kommt folgende Fehlermeldung:

"Die Struktur der Sicherheitskennung ist unzulässig."

Die gleiche Fehlermeldung erhalte ich auch, wenn ich z.B. per RSAT eine Gruppenrichtlinie erstellen will. PCs in die Domäne aufnehmen und Benutzeranmeldungen sind kein Problem. Auch Freigaben auf anderen Rechnern/Fileservern funktionieren einwandfrei.


In der /var/log/samba/log.samba sieht das dann so aus:
Code:
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID.  Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.158724,  0] ../libcli/security/security_token.c:63(security_token_debug)
  Security token SIDs (10):
    SID[  0]: S-1-5-21-2037352628-2975300173-185547508-1106
    SID[  1]: S-1-5-21-2037352628-2975300173-185547508-513
    SID[  2]: S-1-5-21-2037352628-2975300173-185547508-1110
    SID[  3]: S-1-5-21-2037352628-2975300173-185547508-1111
    SID[  4]: S-1-5-21-2037352628-2975300173-185547508-1155
    SID[  5]: S-1-1-0
    SID[  6]: S-1-5-2
    SID[  7]: S-1-5-11
    SID[  8]: S-1-5-32-545
    SID[  9]: S-1-5-32-554
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID.  Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.164554,  0] ../libcli/security/security_token.c:63(security_token_debug)
  Security token SIDs (10):
    SID[  0]: S-1-5-21-2037352628-2975300173-185547508-1106
    SID[  1]: S-1-5-21-2037352628-2975300173-185547508-513
    SID[  2]: S-1-5-21-2037352628-2975300173-185547508-1110
    SID[  3]: S-1-5-21-2037352628-2975300173-185547508-1111
    SID[  4]: S-1-5-21-2037352628-2975300173-185547508-1155
    SID[  5]: S-1-1-0
    SID[  6]: S-1-5-2
    SID[  7]: S-1-5-11
    SID[  8]: S-1-5-32-545
    SID[  9]: S-1-5-32-554
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID.  Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.236257,  0] ../libcli/security/security_token.c:63(security_token_debug)
  Security token SIDs (10):
    SID[  0]: S-1-5-21-2037352628-2975300173-185547508-1106
    SID[  1]: S-1-5-21-2037352628-2975300173-185547508-513
    SID[  2]: S-1-5-21-2037352628-2975300173-185547508-1110
    SID[  3]: S-1-5-21-2037352628-2975300173-185547508-1111
    SID[  4]: S-1-5-21-2037352628-2975300173-185547508-1155
    SID[  5]: S-1-1-0
    SID[  6]: S-1-5-2
    SID[  7]: S-1-5-11
    SID[  8]: S-1-5-32-545
    SID[  9]: S-1-5-32-554
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID.  Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.304454,  0] ../libcli/security/security_token.c:63(security_token_debug)
  Security token SIDs (10):
    SID[  0]: S-1-5-21-2037352628-2975300173-185547508-1106
    SID[  1]: S-1-5-21-2037352628-2975300173-185547508-513
    SID[  2]: S-1-5-21-2037352628-2975300173-185547508-1110
    SID[  3]: S-1-5-21-2037352628-2975300173-185547508-1111
    SID[  4]: S-1-5-21-2037352628-2975300173-185547508-1155
    SID[  5]: S-1-1-0
    SID[  6]: S-1-5-2
    SID[  7]: S-1-5-11
    SID[  8]: S-1-5-32-545
    SID[  9]: S-1-5-32-554
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID.  Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.382454,  0] ../libcli/security/security_token.c:63(security_token_debug)
  Security token SIDs (10):
    SID[  0]: S-1-5-21-2037352628-2975300173-185547508-1106
    SID[  1]: S-1-5-21-2037352628-2975300173-185547508-513
    SID[  2]: S-1-5-21-2037352628-2975300173-185547508-1110
    SID[  3]: S-1-5-21-2037352628-2975300173-185547508-1111
    SID[  4]: S-1-5-21-2037352628-2975300173-185547508-1155
    SID[  5]: S-1-1-0
    SID[  6]: S-1-5-2
    SID[  7]: S-1-5-11
    SID[  8]: S-1-5-32-545
    SID[  9]: S-1-5-32-554
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID.  Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.460650,  0] ../libcli/security/security_token.c:63(security_token_debug)
  Security token SIDs (10):
    SID[  0]: S-1-5-21-2037352628-2975300173-185547508-1106
    SID[  1]: S-1-5-21-2037352628-2975300173-185547508-513
    SID[  2]: S-1-5-21-2037352628-2975300173-185547508-1110
    SID[  3]: S-1-5-21-2037352628-2975300173-185547508-1111
    SID[  4]: S-1-5-21-2037352628-2975300173-185547508-1155
    SID[  5]: S-1-1-0
    SID[  6]: S-1-5-2
    SID[  7]: S-1-5-11
    SID[  8]: S-1-5-32-545
    SID[  9]: S-1-5-32-554
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight

Wenn ich jetzt den aufgelisteten Objekten in den UNIX-Attributen eine UID- und eine GIDnumber verpasse, verschwinden zumindest deren Einträte in der Liste der Security token SIDs. Aber spätestens bei der S-1-1-0 ist das ja keine Lösung mehr.

Meine smb.conf:
Code:
# Global parameters
[global]
        workgroup = PDOM
        realm = PDOM.EXAMPLE.ORG
        netbios name = ALBERT
        server role = active directory domain controller
        dns forwarder = 192.168.200.1
        server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns, smb
        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
    idmap_ldb:use rfc2307 = yes

    # to prevent problems with certificates
    ldap server require strong auth = no

[netlogon]
        path        = /var/lib/samba/sysvol/pdom.example.org/scripts
        read only   = No

[sysvol]
        path        = /var/lib/samba/sysvol
        read only   = No

Irgendeine Idee, woran das liegen könnte?



/ edit: [gelöst]
Peinlich: Ich hatte die Datei /var/lib/samba/private/idmap.ldb umbenannt. (Fragt nicht warum.) Das wieder rückgängig gemacht und alles war wieder gut. :eek:ps:
 
Oben