kerberos semble bien configuré puisque je peux faire un kinit avec n'importe quel user du domaine, tel que admin :
smb:~# kinit Administrateur Password for Administrateur@DOM.CHEZMOI.FR: smb:~#
La synchro ntp se fait bien sur le contrôleur de domaine srv.dom.chezmoi.fr. Le join s'est bien passé :
smb:~# net ads testjoin Join is OK
À priori winbindd est bien configuré :
smb:~# wbinfo -p Ping to winbindd succeeded on fd 4 smb:~# wbinfo -t checking the trust secret via RPC calls succeeded smb:~# wbinfo -a "DOM\toto%password" plaintext password authentication succeeded challenge/response password authentication succeeded
et wbinfo -u et -g me donnent bien la liste des utilisateurs et groupes du domaine, bien que la liste mette quelques (longues) secondes à s'afficher (un problème de timeout/config ou c'est normal?)
Je peux faire un getent passwd "DOM\toto", il me renvoie les bonnes valeurs et je peux me connecter sur les partages du serveur racine du domaine en utilisant smbclient //srv/partage -U toto - W DOM après avoir fait un kinit toto.
Cependant, toto, utilisateur du domaine, connecté un un poste membre du domaine, voit bien les partages de mon serveur samba, à savoir test_smb et son home mais ne peut accèder que à test_smb (pas de mot de passe demandé). Quand il vaut accéder à son home, une fenêtre s'ouvre demandant le nom d'utilisateur et le mot de passe. J'en déduis qu'il y a un problème au niveau de la récupération du ticket kerberos créé à l'ouverture de session mais je ne vois pas où est l'erreur dans ma config qui cause cette erreur. Quelqu'un aurait une idée sur le sujet? Ça serait super cool Merci.
a+
--------------- J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Marsh Posté le 27-02-2008 à 18:37:37
Hello,
J'ai monté un serveur samba membre d'un domaine active directory et j'ai un souci avec les home des utilisateurs.
Voici la conf samba :
[ global ]
workgroup = DOM
server string = %h
dns proxy = no
security = ads
realm = DOM.CHEZMOI.FR
allow trusted domains = no
password server = srv.dom.chezmoi.fr
idmap uid = 10000-20000
idmap gid = 10000-20000
idmap backend = tdb
template shell = /bin/false
template homedir = /home/%U
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
load printers = no
socket options = TCP_NODELAY
[ test_smb ]
comment = Test integration ADS
browseable = yes
writable = no
path = /tmp/test_smb
[ homes ]
comment = Home Directories
browseable = no
writable = yes
create mask = 0700
directory mask = 0700
valid users = %S
et la conf de kerberos :
[ libdefaults ]
default_realm = DOM.CHEZMOI.FR
dns_lookup_kdc = true
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[ realms ]
DOM.CHEZMOI.FR = {
kdc = srv.dom.chezmoi.fr
kdc = srv2.dom.chezmoi.fr
admin_server = srv.dom.chezmoi.fr
}
[ domain_realm ]
.dom.chezmoi.fr = DOM.CHEZMOI.FR
dom.chezmoi.fr = DOM.CHEZMOI.FR
[ login ]
krb4_convert = true
krb4_get_tickets = false
kerberos semble bien configuré puisque je peux faire un kinit avec n'importe quel user du domaine, tel que admin :
smb:~# kinit Administrateur
Password for Administrateur@DOM.CHEZMOI.FR:
smb:~#
La synchro ntp se fait bien sur le contrôleur de domaine srv.dom.chezmoi.fr.
Le join s'est bien passé :
smb:~# net ads testjoin
Join is OK
À priori winbindd est bien configuré :
smb:~# wbinfo -p
Ping to winbindd succeeded on fd 4
smb:~# wbinfo -t
checking the trust secret via RPC calls succeeded
smb:~# wbinfo -a "DOM\toto%password"
plaintext password authentication succeeded
challenge/response password authentication succeeded
et wbinfo -u et -g me donnent bien la liste des utilisateurs et groupes du domaine, bien que la liste mette quelques (longues) secondes à s'afficher (un problème de timeout/config ou c'est normal?)
Je peux faire un getent passwd "DOM\toto", il me renvoie les bonnes valeurs et je peux me connecter sur les partages du serveur racine du domaine en utilisant smbclient //srv/partage -U toto - W DOM après avoir fait un kinit toto.
Cependant, toto, utilisateur du domaine, connecté un un poste membre du domaine, voit bien les partages de mon serveur samba, à savoir test_smb et son home mais ne peut accèder que à test_smb (pas de mot de passe demandé). Quand il vaut accéder à son home, une fenêtre s'ouvre demandant le nom d'utilisateur et le mot de passe. J'en déduis qu'il y a un problème au niveau de la récupération du ticket kerberos créé à l'ouverture de session mais je ne vois pas où est l'erreur dans ma config qui cause cette erreur.
Quelqu'un aurait une idée sur le sujet? Ça serait super cool
Merci.
a+
---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.