Bonjour, afin de tests, j'essaye de me connecter sur une ubuntu en utilisant non pas des comptes locaux, mais des utilisateurs de notre domaine (sous Windows 2003, en mode natif).
 
En suivant ce tuto j'arrive jusqu'au bout, tout a l'air de fonctionner (ie toutes les commandes passés pour test réagissent correctement), mais si je ferme ma session pour en ouvrir une avec un compte du domaine, il me répond:
 
"L'administrateur système a temporairement désactivé l'accès au système"
 
Afin d'etre sur, si je tape un mot de passe bidon, il m'envoie chier, donc la vérification de l'authentification au niveau de l'AD fonctionne.
 
Si vous avez une idée, j'ai rien trouvé sur google.
Merci d'avance

A noter que dans le journal d'evenement de mon controleur de domaine j'ai un paquet d'erreur (une 20aine) toutes de ce type :
 
Source : KDC Id Evt : 27
Lors du traitement d'une requête TGS pour le serveur cible host/test-ubuntu.domaine.test, le compte test-UBUNTU$@DOMAINE.TEST n'avait pas de clé appropriée pour générer un ticket Kerberos (l'ID de la clé manquante est 8). Les types requis étaient 2. Les types de compte disponibles étaient 23  -133  -128  3  1.
 
 
Je ne sais pas si ca a un lien

up

Je connais pas grand chose en AD mais en kerberos oui.
 
La machine a bien un principal du genre host/fqdn@DOMAIN ?
 
Car tu peux te faire jeter à la préauthentification sur un KDC (je ne sais pas si AD fait du preauth, mais bon), et pour autant, refuser de délivrer le TGS car le host n'est pas habilité à en recevoir un.
 
Edit: syntaxe.

 
Qu'est ce que tu appelles un principal du genre host/fqdn@DOMAIN.

Pour un kerberos, utilisateur ou service, c'est la même chose. L'un utilise un mot de passe, l'autre une clé dans un keytab, mais c'est pareil.
 
Quand tu joins une machine windows au domaine, c'est plus ou moins une manière de lui dire de faire le lien avec l'hote.
 
Exemple pour mes montages NFS4 sur des machines distantes:
root@machine ~ # kadmin.local -q "listprincs" | grep host
host/carbone.domain.dns@DOMAIN.KRB
host/mathilda.domain.dns@DOMAIN.KRB
 
etc...
 
Si ta machine n'a pas de principal qui lui est attitré, elle ne peut pas récupérer de TGS du KDC. Elle peut récupérer un TGT car c'est toi, en temps qu'utilisateur, qui l'obtient (pour l'authentification), mais le TGS, pour le "service" (en l'occurence, une session à ouvrir), ne fonctionnera pas, car il n'y en a pas.
 
Maintenant, ca c'est pour kerberos MIT et Heimdal. Pour AD je n'en sais rien, et je sais que les implémentations grosoftienne du protocole sont assez "particulières".

Si je tape ta commande j'obtiens ca, effectivement il semble y avoir un soucis (a noter que kadmin.local il connait pas)
 

Quel looser...en fait ca venait de l'heure de mon client Linux, trop de décallage avec le DC...
 
Maintenant reste a trouver si y'a un moyen pour que les utilisateurs recuperent automatiquement leur partage reseau

 
Ah ca c'est un beau classique, effectivement  

 
D'ailleurs j'ai un soucis avec ntpd...parceque il devrait mettre a jour mon poste et il ne le fait pas
Est ce que ca pourrait etre du a un trop grand decallage au démarrage?
Parceque j'ai l'impression qu'en reglant l'heure a 10min de celle du domaine, il me la remet bien a l'heure.

Il faut regarder le décalage avec le serveur.
 
Si le décalage est +- 5 min, ca ne devrait pas marcher.
 
Edit: et regarder les logs, normalement, pam te répond des choses du style: "clock skew too great".

Je vais regarder.
 
Le probleme que j'ai je crois, c'est qu'au boot de la machine il a une heure completement folcklo...style 2h de decallage...Pourtant le fuseau horaire est bien reglé

En utilisant le tuto cité, mon poste Mandriva fait maintenant partie du domaine . J'aimerais attribuer des droits à certains répertoires en utilisant les comptes AD (en fait c'est pour limiter l'accès du serveur Apache aux seuls membres du domaine, sans avoir à retaper tous les comptes en htaccess !   ). Quelqu'un sait comment on fait ? Merci d'avance !

tu peux utiliser htaccess avec un annuaire LDAP, tu peux surement le faire avec AD.
 
Enfin si j'ai bien compris ce que tu veux faire ?

Au départ mon site est sur serveur windows. Les autorisations de certaines parties du site sont gérées avec les autorisations windows et active directory. Une partie du site migre sur un serveur apache, mais je voudrais éviter que mes utilisateurs aient à s'authentifier 2 fois (et le pire serait avec 2 bases différentes, AD d'un côté et une autre sur mon serveur Apache). J'ai commencé par intégrer mon serveur linux au domaine, mais je ne sais pas comment continuer...

sur ton serveur apache, installe mod_ldap, jsp si y a des paquets RPM en tout cas y en a pour debian.
 
tu fais un htaccess de ce style:
 
AuthType Basic
AuthName "LDAP auth against user"
AuthLDAPEnabled on
AuthLDAPUrl ldap://ipdetonwin2003/dc=....,dc=....
<LIMIT GET POST>
    Require valid-user
</LIMIT>
 
 
http://httpd.apache.org/docs/2.2/mod/mod_ldap.html

Merci pour la piste !  
Après plusieurs essais j'ai fini par placer tes 4 premières lignes dans httpd.conf et le LIMIT dans le htaccess. Et ça roule...

ca marche alors ?
 
chez moi j'ai tout mis dans le htaccess

Oui oui ça marche au poil. Je ne suis pas informaticien mais je me suis dit que le httpd.conf est chargé au lancement d'Apache (donc 1 fois pour toutes), alors que le htaccess a l'air d'être lu plus souvent : plus je l'allège mieux on se porte, non ? (mais peut être que je délire). En plus je peux gérer en 3 lignes les accès à chaque répertoire, plus pratique.
 
Par contre il me reste un pb résiduel, assez mineur mais agaçant : mes visiteurs sont accueillis sur un serveur web windows (IIS, scripts ASP etc...), ils s'identifient à ce moment, et n'accèdent au serveur Linux qu'en suivant un lien. Et ils doivent s'identifier une 2° fois. Pas très pratique quand même. Rien trouvé dans le forum ni par google. Il doit y avoir une histoire de cache mais je ne trouve pas. Si qq'1 a une piste je prends !

dans ton smb.conf, as tu mis security=share ou domain ?
as tu inscrit ta machine linux dans le domain NT ?
as tu completer la ligne "password server ="
as tu completé le etc/samba/smbusers ? (pour les clients unix)
 
... oups ! je parlais MDK ... excuse

dans smb.conf j'ai  
security=ads (en suivant un topic de ce forum). J'ai fait un essai avec domain, reboot : pas de chgmt
password server=monserveur.MONDOMAINE
Ma machine est intégrée au domaine, et c'est le seul client UNIX donc pas configuré le smbusers. J'ai bon ou pas ?
Merci !

pour faire suite à : http://marc.theaimsgroup.com/?l=sa [...] 116638&w=2