samba security = ads : pb /home/$user

samba security = ads : pb /home/$user - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 27-02-2008 à 18:37:37    

Hello,
 
J'ai monté un serveur samba membre d'un domaine active directory et j'ai un souci avec les home des utilisateurs.
 
Voici la conf samba :


[ global ]
   workgroup = DOM
   server string = %h
   dns proxy = no
   security = ads
   realm = DOM.CHEZMOI.FR
   allow trusted domains = no
   password server = srv.dom.chezmoi.fr
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   idmap backend = tdb
   template shell = /bin/false
   template homedir = /home/%U
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
   load printers = no
   socket options = TCP_NODELAY
[ test_smb ]
   comment = Test integration ADS
   browseable = yes
   writable = no
   path = /tmp/test_smb
[ homes ]
   comment = Home Directories
   browseable = no
   writable = yes
   create mask = 0700
   directory mask = 0700
   valid users = %S


et la conf de kerberos :


[ libdefaults ]
 default_realm = DOM.CHEZMOI.FR
 dns_lookup_kdc = true
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true
 default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
 default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
 preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
 v4_instance_resolve = false
 v4_name_convert = {
  host = {
   rcmd = host
   ftp = ftp
  }
  plain = {
   something = something-else
  }
 }
 fcc-mit-ticketflags = true
[ realms ]
 DOM.CHEZMOI.FR = {
  kdc = srv.dom.chezmoi.fr
  kdc = srv2.dom.chezmoi.fr
  admin_server = srv.dom.chezmoi.fr
 }
[ domain_realm ]
 .dom.chezmoi.fr = DOM.CHEZMOI.FR
 dom.chezmoi.fr = DOM.CHEZMOI.FR
[ login ]
 krb4_convert = true
 krb4_get_tickets = false


kerberos semble bien configuré puisque je peux faire un kinit avec n'importe quel user du domaine, tel que admin :


smb:~# kinit Administrateur
Password for Administrateur@DOM.CHEZMOI.FR:  
smb:~#  


 
La synchro ntp se fait bien sur le contrôleur de domaine srv.dom.chezmoi.fr.
Le join s'est bien passé :


smb:~# net ads testjoin
Join is OK


 
À priori winbindd est bien configuré :


smb:~# wbinfo -p
Ping to winbindd succeeded on fd 4
smb:~# wbinfo -t
checking the trust secret via RPC calls succeeded
smb:~# wbinfo -a "DOM\toto%password"
plaintext password authentication succeeded
challenge/response password authentication succeeded


et wbinfo -u et -g me donnent bien la liste des utilisateurs et groupes du domaine, bien que la liste mette quelques (longues) secondes à s'afficher (un problème de timeout/config ou  c'est normal?)
 
Je peux faire un getent passwd "DOM\toto", il me renvoie les bonnes valeurs et je peux me connecter sur les partages du serveur racine du domaine en utilisant smbclient //srv/partage -U toto - W DOM après avoir fait un kinit toto.
 
Cependant, toto, utilisateur du domaine, connecté un un poste membre du domaine, voit bien les partages de mon serveur samba, à savoir test_smb et son home mais ne peut accèder que à test_smb (pas de mot de passe demandé). Quand il vaut accéder à son home, une fenêtre s'ouvre demandant le nom d'utilisateur et le mot de passe. J'en déduis qu'il y a un problème au niveau de la récupération du ticket kerberos créé à l'ouverture de session mais je ne vois pas où est l'erreur dans ma config qui cause cette erreur.
Quelqu'un aurait une idée sur le sujet? Ça serait super cool ;)  
Merci.
 
a+


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Marsh Posté le 27-02-2008 à 18:37:37   

Reply

Marsh Posté le 13-06-2008 à 11:11:03    

Même problème chez moi. As-tu trouvé une solution ?

Reply

Marsh Posté le 17-10-2008 à 09:15:19    

Nope et je n'ai malheureusement pas le temps de travailler dessus en ce moment :(


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed