Samba, AD et 2 sous-domaines...

Le
David BERCOT
Bonjour,

Je dois reconnaître que je suis un peu coincé en ce moment avec S=
amba,
et, bien que j'ai exposé mon problème sur 2 ml spécialisÃ=
©es, je n'ai
encore aucune solution
Alors sait-on jamais, si quelqu'un, ici, a une idée lumineuse ;-)

Tout d'abord, voici le début de mon smb.conf :
[global]
realm = AC-NANTES.JUSTICE.FR
workgroup = AC-NANTES
Comme il est aisé de le comprendre, il s'agit d'un domaine nantais ;-)
Bref, les comptes nantais n'ont pas de souci pour accéder aux
ressources.

Maintenant, je voudrais faire la même chose avec un utilisateur
parisien (domaine : AC.JUSTICE.FR) qui appartient à un groupe de
sécurité nantais (j'utilise donc l'appartenance à ce groupe)=
. Et là,
j'ai le message suivant :
check_ntlm_password: Checking password for unmapped user
[AC][utilisateur.paris]@[XP-DAVID] with the new password interface
[2009/01/05 12:01:04, 3] auth/auth.c:check_ntlm_password(224)
check_ntlm_password: mapped user is:
[AC-NANTES][utilisateur.paris]@[XP-DAVID] [] [2009/01/05
12:01:04, 2] auth/auth.c:check_ntlm_password(319) check_ntlm_password:
Authentication for user [utilisateur.paris] ->
[utilisateur.paris] FAILED with error NT_STATUS_NO_SUCH_USER
[2009/01/05 12:01:04, 3] smbd/error.c:error_packet(146) error packet at
smbd/sesssetup.c(99) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

Et donc, là, il tente la validation en considérant que mon utilis=
ateur
parisien appartient au domaine nantais !!!

Y a-t-il possibilité de valider un compte d'un autre domaine, dès=
lors
qu'on est dans le même AD ? Peut-on mettre plusieurs domaines (en
l'occurrence, sous-domaines) dans la configuration de Samba ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kévin
Le #18316171
Bonjour

Est ce que tu arrive depuis Windows à t'authentifier avec les compte de
Paris? Y'a t'il une relation d'approbation entre les deux domaines? Je
crois me souvenir de mes cours Microsoft qu'il faut qu'il y ai cette
relation d'approbation pour que les comptes des deux domaines fonctionnent.


Cordialement

Kévin C

David BERCOT a écrit :
Bonjour,

Je dois reconnaître que je suis un peu coincé en ce moment avec Samba,
et, bien que j'ai exposé mon problème sur 2 ml spécialisées, je n'ai
encore aucune solution...
Alors sait-on jamais, si quelqu'un, ici, a une idée lumineuse ;-)

Tout d'abord, voici le début de mon smb.conf :
[global]
realm = AC-NANTES.JUSTICE.FR
workgroup = AC-NANTES
Comme il est aisé de le comprendre, il s'agit d'un domaine nantais ;-)
Bref, les comptes nantais n'ont pas de souci pour accéder aux
ressources.

Maintenant, je voudrais faire la même chose avec un utilisateur
parisien (domaine : AC.JUSTICE.FR) qui appartient à un groupe de
sécurité nantais (j'utilise donc l'appartenance à ce groupe). Et là,
j'ai le message suivant :
check_ntlm_password: Checking password for unmapped user
[AC][utilisateur.paris]@[XP-DAVID] with the new password interface
[2009/01/05 12:01:04, 3] auth/auth.c:check_ntlm_password(224)
check_ntlm_password: mapped user is:
[AC-NANTES][utilisateur.paris]@[XP-DAVID] [...] [2009/01/05
12:01:04, 2] auth/auth.c:check_ntlm_password(319) check_ntlm_password:
Authentication for user [utilisateur.paris] ->
[utilisateur.paris] FAILED with error NT_STATUS_NO_SUCH_USER
[2009/01/05 12:01:04, 3] smbd/error.c:error_packet(146) error packet at
smbd/sesssetup.c(99) cmd5 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

Et donc, là, il tente la validation en considérant que mon utilisateur
parisien appartient au domaine nantais !!!

Y a-t-il possibilité de valider un compte d'un autre domaine, dès lors
qu'on est dans le même AD ? Peut-on mettre plusieurs domaines (en
l'occurrence, sous-domaines) dans la configuration de Samba ?

Merci d'avance.

David.





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #18316401
Le Tue, 06 Jan 2009 16:22:26 +0100,
Kévin
Bonjour

Est ce que tu arrive depuis Windows à t'authentifier avec les compte
de Paris? Y'a t'il une relation d'approbation entre les deux
domaines? Je crois me souvenir de mes cours Microsoft qu'il faut
qu'il y ai cette relation d'approbation pour que les comptes des deux
domaines fonctionnent.



Disons, si je ne m'abuse, que les relations d'approbation devaient être
établies dans le cas de domaines disjoints. Là, nous sommes dans le
cadre d'un arbre ;-)
Quoi qu'il en soit, il n'y a pas de problème d'approbation et j'arrive
bien à ouvrir une session sous Windows avec un compte parisien...

Et même plus : un wbinfo --authenticate¬\utilisateur.paris%passwo rd
fonctionne très bien !!!
A priori, ça ne vient donc que de Samba !!!

David.

Cordialement

Kévin C

David BERCOT a écrit :
> Bonjour,
>
> Je dois reconnaître que je suis un peu coincé en ce moment av ec
> Samba, et, bien que j'ai exposé mon problème sur 2 ml spà ©cialisées,
> je n'ai encore aucune solution...
> Alors sait-on jamais, si quelqu'un, ici, a une idée lumineuse ;-)
>
> Tout d'abord, voici le début de mon smb.conf :
> [global]
> realm = AC-NANTES.JUSTICE.FR
> workgroup = AC-NANTES
> Comme il est aisé de le comprendre, il s'agit d'un domaine
> nantais ;-) Bref, les comptes nantais n'ont pas de souci pour
> accéder aux ressources.
>
> Maintenant, je voudrais faire la même chose avec un utilisateur
> parisien (domaine : AC.JUSTICE.FR) qui appartient à un groupe de
> sécurité nantais (j'utilise donc l'appartenance à ce gro upe). Et là,
> j'ai le message suivant :
> check_ntlm_password: Checking password for unmapped user
> [AC][utilisateur.paris]@[XP-DAVID] with the new password interface
> [2009/01/05 12:01:04, 3] auth/auth.c:check_ntlm_password(224)
> check_ntlm_password: mapped user is:
> [AC-NANTES][utilisateur.paris]@[XP-DAVID] [...] [2009/01/05
> 12:01:04, 2] auth/auth.c:check_ntlm_password(319)
> check_ntlm_password: Authentication for user [utilisateur.paris] ->
> [utilisateur.paris] FAILED with error NT_STATUS_NO_SUCH_USER
> [2009/01/05 12:01:04, 3] smbd/error.c:error_packet(146) error
> packet at smbd/sesssetup.c(99) cmd5 (SMBsesssetupX)
> NT_STATUS_LOGON_FAILURE
>
> Et donc, là, il tente la validation en considérant que mon
> utilisateur parisien appartient au domaine nantais !!!
>
> Y a-t-il possibilité de valider un compte d'un autre domaine, dà ¨s
> lors qu'on est dans le même AD ? Peut-on mettre plusieurs domaines
> (en l'occurrence, sous-domaines) dans la configuration de Samba ?
>
> Merci d'avance.
>
> David.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Gilles Mocellin
Le #18320011
--gBBFr7Ir9EOA20Yy
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, Jan 06, 2009 at 04:40:25PM +0100, David BERCOT wrote:
Le Tue, 06 Jan 2009 16:22:26 +0100,
Kévin > Bonjour
>
> Est ce que tu arrive depuis Windows à t'authentifier avec les compte
> de Paris? Y'a t'il une relation d'approbation entre les deux
> domaines? Je crois me souvenir de mes cours Microsoft qu'il faut
> qu'il y ai cette relation d'approbation pour que les comptes des deux
> domaines fonctionnent.

Disons, si je ne m'abuse, que les relations d'approbation devaient être
établies dans le cas de domaines disjoints. Là, nous sommes dans le
cadre d'un arbre ;-)
Quoi qu'il en soit, il n'y a pas de problème d'approbation et j'arrive
bien à ouvrir une session sous Windows avec un compte parisien...

Et même plus : un wbinfo --authenticate¬\utilisateur.paris%password
fonctionne très bien !!!
A priori, ça ne vient donc que de Samba !!!



Peux-tu nous montrer toute ta config, surtout ce qui sert à windbind, pas les partages.

Je trouve bizarre que dans les logs, il parle d'utilisateurs mappés...

Pour info, je n'ai pas de soucis avec une foret de plusieurs domaines, des serveurs de fichiers sous samba accédés par des utilisateurs de diffé rents domaines de cette foret, même encore de domaines NT4 avec relation d'aprobation !

--gBBFr7Ir9EOA20Yy
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAklj078ACgkQDltnDmLJYdBwewCguCSmeiGEZ3oMPWqyYoKlxah5
6ccAnA1PPkpVltgpDxduRSBF8LRp8nPk
=j39n
-----END PGP SIGNATURE-----

--gBBFr7Ir9EOA20Yy--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Raphaël RIGNIER
Le #18345631
Gilles Mocellin a écrit :
On Tue, Jan 06, 2009 at 04:40:25PM +0100, David BERCOT wrote:

Le Tue, 06 Jan 2009 16:22:26 +0100,
Kévin
Bonjour

Est ce que tu arrive depuis Windows à t'authentifier avec les compte
de Paris? Y'a t'il une relation d'approbation entre les deux
domaines? Je crois me souvenir de mes cours Microsoft qu'il faut
qu'il y ai cette relation d'approbation pour que les comptes des deux
domaines fonctionnent.



Disons, si je ne m'abuse, que les relations d'approbation devaient être
établies dans le cas de domaines disjoints. Là, nous sommes dans le
cadre d'un arbre ;-)
Quoi qu'il en soit, il n'y a pas de problème d'approbation et j'arrive
bien à ouvrir une session sous Windows avec un compte parisien...

Et même plus : un wbinfo --authenticate¬\utilisateur.paris%password
fonctionne très bien !!!
A priori, ça ne vient donc que de Samba !!!




Peux-tu nous montrer toute ta config, surtout ce qui sert à windbind, pas les partages.

Je trouve bizarre que dans les logs, il parle d'utilisateurs mappés...

Pour info, je n'ai pas de soucis avec une foret de plusieurs domaines, des serveurs de fichiers sous samba accédés par des utilisateurs de différents domaines de cette foret, même encore de domaines NT4 avec relation d'aprobation !





Bonjour,
peut être a t-il besoin de se connecter au kdc du realm AC.JUSTICE.FR.
Un VPN existe entre les sites?
Si tu mes : ns_lookup_kdc = true dans krb5.conf
et un serveur DNS de l'active directory dans le resolv.conf,
Samba devrait se débrouiller sans renseigner les sections domain_realms
et realms.

Je n'utilise pas winbind pour mapper les UID mais plutôt les extentions
Unix de win2003 R2, et libnss_ldap.
Il faut cependant faire un peu de tuning sur le schémas AciveDirectory
pour faire apparaître les attributs dans le
catalogue LDAP global (le seul qui connaisse l'ensemble de la forêt).

Mais winbind est une solution qui ne devrait pas poser de problèmes.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #18368661
Bonjour,

Désolé pour le retard, mais j'ai été un peu absent ;-)
Reprenons donc...

Le Tue, 6 Jan 2009 22:57:19 +0100,
Gilles Mocellin
On Tue, Jan 06, 2009 at 04:40:25PM +0100, David BERCOT wrote:
> Le Tue, 06 Jan 2009 16:22:26 +0100,
> Kévin > > Bonjour
> >
> > Est ce que tu arrive depuis Windows à t'authentifier avec les
> > compte de Paris? Y'a t'il une relation d'approbation entre les
> > deux domaines? Je crois me souvenir de mes cours Microsoft qu'il
> > faut qu'il y ai cette relation d'approbation pour que les comptes
> > des deux domaines fonctionnent.
>
> Disons, si je ne m'abuse, que les relations d'approbation devaient
> être établies dans le cas de domaines disjoints. Là, nou s sommes
> dans le cadre d'un arbre ;-)
> Quoi qu'il en soit, il n'y a pas de problème d'approbation et
> j'arrive bien à ouvrir une session sous Windows avec un compte
> parisien...
>
> Et même plus : un wbinfo
> --authenticate¬\utilisateur.paris%password fonctionne très
> bien !!! A priori, ça ne vient donc que de Samba !!!

Peux-tu nous montrer toute ta config, surtout ce qui sert à windbind,
pas les partages.



En fait, voici l'ensemble :
http://wilco.bercot.org/debian/debian_ad.html

Je trouve bizarre que dans les logs, il parle d'utilisateurs mappés. ..

Pour info, je n'ai pas de soucis avec une foret de plusieurs
domaines, des serveurs de fichiers sous samba accédés par des
utilisateurs de différents domaines de cette foret, même encore de
domaines NT4 avec relation d'aprobation !



Si je comprends bien, ça signifie que je devrais donc, à terme, y
arriver ;-)
Il ne reste plus qu'à savoir comment !

Merci.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme