[Eisfair] Samba 20.3.0 Join Domain nicht möglich ohne sambaexpert

Mario Reisinger internet.mail at gmx.at
Mi Nov 12 15:45:53 CET 2025 

Hallo Marcus,

Am 12.11.2025 um 14:37 schrieb Marcus Röckrath:

> 
> Ist es deiner Meinung nach zwingend, dass realm einen gültigen Wert haben
> muss, wenn SAMBA_PASSWORD_SERVER gesetzt ist, oder dürfte das leer sein?
> 
> Geht darum, ob hier in der eisfairKonfigurationsschicht Checks zu
> implmentieren wären.

Ich habe nur sehr wenig Erfahrung, was Sambakonfiguration angeht. Da 
aber bei realm = '' die Fehlermeldung [1] kommt, gehe ich davon aus, 
dass der Wert zwingend ist.

[1]
Error connecting to LSA pipe. Error was NT_STATUS_ACCESS_DENIED
Failed to join domain: Invalid configuration ("realm" set to '', should 
be 'domain.name') and configuration modification was not requested

in meinem Fall war nicht wie von dir unten aus der Doku zitiert 
"name.domain.lan" nötig, sondern nur "domain.lan"

>>> realm (G)
>>>
>>>       This option specifies the kerberos realm to use. The realm is used
>>>       as
>>> the ADS equivalent of the NT4 domain. It is usually set to the DNS name
>>> of the kerberos server.
>>>
>>>       Default: realm =
>>>
>>>       Example: realm = mysambabox.mycompany.com
>>>
>>> Dann bräuchte man also im Samba-Paket eine neue Optipon SAMBA_REALM, die
>>> dann in die smb.conf als "real = ..." geschrieben wird, wenn
>>> SAMBA_PASSWORD_SERVER nicht leer ist.
>>>
>>
>> Ja, das würde "SambaExpert" ersparen und wäre aus meiner Sicht der
>> richtige Weg.
> 
> Gebe ich dir grundsätzlich Recht, möchte aber vorab alles Eventualitäten und
> Abhängigkeiten geklärt haben, damit ich da an der neuen Option nicht in
> Nachhinein rumreparieren muss.
> 

Nach ein wenig Recherche komme ich zu dem Schluss, dass der Parameter 
seitens Samba auf Eisfair nicht relevant ist, da dieser nur für 
Active-Directory-Integration mit Kerberos verwendet wird (security=ads) 
und das bei dem Paket nicht compiliert ist.

   SERVER # net ads testjoin
   ADS support not compiled in

Ich nehme an, diese Anforderung kommt von Windows-Domain-Controller.

   SERVER # testparm -s | grep "security\|realm"
   Load smb config files from /etc/smb.conf
   Loaded services file OK.
   Weak crypto is allowed by GnuTLS (e.g. NTLM as a compatibility fallback)

   WARNING: The setting 'security=domain' should NOT be combined with 
the 'password server' parameter.
   (by default Samba will discover the correct DC to contact automatically).

   Server role: ROLE_DOMAIN_MEMBER

         realm = DOMAIN.LAN
         security = DOMAIN

Da hier security = DOMAIN verwendet wird, ist der wert sehr sicher nicht 
relevant. Mehr kann ich mangels Erfahrung und Fachwissen dazu leider 
auch nicht beitragen. Vtl. kann ja jemand anderes, der seinen Eisfair in 
einer Domäne als Member betreibt, mehr dazu sagen.

BG Mario

Mehr Informationen über die Mailingliste Eisfair