Samba dans Active Directory : pb Winbind

Le
TOUZEAU Pierre SGAR14
This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

_=_NextPart_001_01C92543.60CC767E
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Rsum trs synthtique :
Dans un environnement Active Directory, un serveur DEBIAN/SAMBA ne =
reconnat
pas les utilisateurs nouvellement crs dans AD, tandis qu'un autre =
serveur,
quasiment identique, y parvient ?
Comment identifier le problme.

==

J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur de fichier pour =
des
utilisateurs.
A l'origine je dclinais mes utilisateurs sous LINUX (passwd) et =
SAMBA
(smbpasswd) et crait les partages qui vont bien (en mode SHARE).
Notre ministre a migr la gestion de tous les =
utilisateurs/machines vers
Active Directory.
J'ai fait un pseudo-clne (presque identique) de mon serveur pour =
prparer
la migration. Je n'ai pas utiliser l'utilitaire SADMS, mais j'ai pu
installer l'ensemble recommand : nntp, kerberos, winbind, pam, =
samba.
Malgr des difficults, le clne a migr correctement.
J'ai donc migr le serveur oprationnel et les utilisateurs se =
connectent
(et montent des partagent disques) correctement avec leurs identifiants
Windows.
Mais je dcouvre un problme qui affecte les utilisateurs =
nouvellement crs
(post-migration).

Je vais vous exposer le problme, mais pressentant des difficults =
certaines
dans la recherche de la solution, j'aimerais surtout que me soit =
indiqu des
pistes de recherches, dans quel log ? Quel commande pour connatre =
tel
comportement etc.

Problme sur serveur SFIC01, la commande :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
Rpond :
AT+DUPONT 1
C'est--dire Utilisateur Dupont dans le domaine AT qui correspond au =
SID
indiqu.
Tandis que la commande inverse :
# wbinfo --name-to-sid DUPONT (ou wbinfo --name-to-sid
AT+DUPONT)
Rpond :
Could not get info for user AT+DUPONT

Les mmes commandes sur serveur clne SFIC02 sont correctes :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
AT+DUPONT 1
la commande inverse :
# wbinfo --name-to-sid DUPONT
S-1-5-21-2218686169-3860314717-31487677-38844 User (1)

Les commandes wbinfo -u ou -g rpondent trs partiellement, que je =
sois en
enum ou pas, car l'ensemble du Ministre est accessible et =
reprsentent un
nombre d'objet trop important lister, numrer

Les commandes getent passwd ou group ne rpondent qu'avec les =
donnes
locales pour les mmes raisons.
Le log de winbindd n'indique que des warnings lis l'utilsation =
de clause
"deprecated" (printer admin)

Auriez-vous des pistes que me permettent d'examiner pourquoi les =
nouveaux
utilisateurs sont inconnus alors que les anciens ont l'accs direct =
(montage
de disque lors du logon, etc).

Nota: Les serveurs diffrents trs lgrement au niveau de =
kerberos, car sur
SFIC02 je n'ai pas tout install???
SFIC02 # dpkg -l | grep krb
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries

SFIC01 # dpkg -l | grep krb
ii krb5-admin-server 1.4.4-7etch5 MIT Kerberos master server (kadmind)
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-kdc 1.4.4-7etch5 MIT Kerberos key server (KDC)
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
rc libkrb-1-kerberos4kth 1.2.2-11.2 Kerberos Libraries for
Kerberos4 From KTH
ii libkrb5-17-heimdal 0.7.2.dfsg.1-10 Libraries for Heimdal Kerberos
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
ii libpam-krb5 2.6-1 PAM module for MIT Kerberos
Mais je doute que ces diffrences kerberos participent du =
problme

A vous couter/vous lire

Merci.

Pierre Touzeau
-
Charg de mission / Prfecture de region Basse-Normandie
SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 306 306
pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: 564
-

_=_NextPart_001_01C92543.60CC767E
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; =
charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version =
5.5.2658.2">
<TITLE>Samba dans Active Directory : pb Winbind</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Rsum trs synthtique :</FONT>
<BR><FONT SIZE=2>Dans un environnement Active Directory, un serveur =
DEBIAN/SAMBA ne reconnat pas les utilisateurs nouvellement crs =
dans AD, tandis qu'un autre serveur, quasiment identique, y parvient =
?</FONT></P>

<P><FONT SIZE=2>Comment identifier le problme.</FONT>
</P>

<P><FONT SIZE=2>==</FONT>
</P>

<P><FONT SIZE=2>J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur =
de fichier pour des utilisateurs.</FONT>
<BR><FONT SIZE=2>A l'origine je dclinais mes utilisateurs sous =
LINUX (passwd) et SAMBA (smbpasswd) et crait les partages qui vont =
bien (en mode SHARE).</FONT></P>

<P><FONT SIZE=2>Notre ministre a migr la gestion de tous les =
utilisateurs/machines vers Active Directory.</FONT>
<BR><FONT SIZE=2>J'ai fait un pseudo-clne (presque identique) de =
mon serveur pour prparer la migration. Je n'ai pas utiliser =
l'utilitaire SADMS, mais j'ai pu installer l'ensemble recommand : =
nntp, kerberos, winbind, pam, samba.</FONT></P>

<P><FONT SIZE=2>Malgr des difficults, le clne a migr =
correctement.</FONT>
<BR><FONT SIZE=2>J'ai donc migr le serveur oprationnel et les =
utilisateurs se connectent (et montent des partagent disques) =
correctement avec leurs identifiants Windows.</FONT></P>

<P><FONT SIZE=2>Mais je dcouvre un problme qui affecte les =
utilisateurs nouvellement crs (post-migration).</FONT>
</P>

<P><FONT SIZE=2>Je vais vous exposer le problme, mais pressentant =
des difficults certaines dans la recherche de la solution, =
j'aimerais surtout que me soit indiqu des pistes de recherches, dans =
quel log ? Quel commande pour connatre tel comportement =
etc.</FONT></P>

<P><FONT SIZE=2>Problme sur serveur SFIC01, la commande :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844</FONT>
<BR><FONT SIZE=2>Rpond :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2>AT+DUPONT =
1</FONT>
<BR><FONT SIZE=2>C'est--dire Utilisateur Dupont dans le domaine AT =
qui correspond au SID indiqu.</FONT>
<BR><FONT SIZE=2>Tandis que la commande inverse :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--name-to-sid DUPONT&nbsp;&nbsp;&nbsp;&nbsp; (ou wbinfo --name-to-sid =
AT+DUPONT)</FONT>
<BR><FONT SIZE=2>Rpond :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2>Could not =
get info for user AT+DUPONT</FONT>
</P>

<P><FONT SIZE=2>Les mmes commandes sur serveur clne SFIC02 sont =
correctes :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2>AT+DUPONT =
1</FONT>
<BR><FONT SIZE=2>la commande inverse :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--name-to-sid DUPONT</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT =
SIZE=2>S-1-5-21-2218686169-3860314717-31487677-38844 User (1)</FONT>
</P>

<P><FONT SIZE=2>Les commandes wbinfo -u ou -g rpondent trs =
partiellement, que je sois en enum ou pas, car l'ensemble du =
Ministre est accessible et reprsentent un nombre d'objet trop =
important lister, numrer</FONT></P>

<P><FONT SIZE=2>Les commandes getent passwd ou group ne rpondent =
qu'avec les donnes locales pour les mmes raisons.</FONT>
<BR><FONT SIZE=2>Le log de winbindd n'indique que des warnings lis =
l'utilsation de clause &quot;deprecated&quot; (printer =
admin)</FONT>
</P>

<P><FONT SIZE=2>Auriez-vous des pistes que me permettent d'examiner =
pourquoi les nouveaux utilisateurs sont inconnus alors que les anciens =
ont l'accs direct (montage de disque lors du logon, etc).</FONT></P>

<P><FONT SIZE=2>Nota: Les serveurs diffrents trs lgrement =
au niveau de kerberos, car sur SFIC02 je n'ai pas tout install??? =
</FONT>
<BR><FONT SIZE=2>SFIC02 # dpkg -l | grep krb</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-config =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.16&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files for =
Kerberos Version 5</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-user&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; Basic programs to authenticate using MIT =
Ker</FONT>
<BR><FONT SIZE=2>ii&nbsp; libkrb53&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos runtime libraries</FONT>
</P>

<P><FONT SIZE=2>SFIC01 # dpkg -l | grep krb</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-admin-server&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos master server =
(kadmind)</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-config =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.16&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files for =
Kerberos Version 5</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-kdc&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos key server (KDC)</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-user&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; Basic programs to authenticate using MIT =
Ker</FONT>
<BR><FONT SIZE=2>rc&nbsp; =
libkrb-1-kerberos4kth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.2.2-11.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Kerberos Libraries for =
Kerberos4 From KTH</FONT>
<BR><FONT SIZE=2>ii&nbsp; libkrb5-17-heimdal&nbsp; 0.7.2.dfsg.1-10 =
Libraries for Heimdal Kerberos</FONT>
<BR><FONT SIZE=2>ii&nbsp; libkrb53&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos runtime libraries</FONT>
<BR><FONT SIZE=2>ii&nbsp; libpam-krb5 =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.6-1&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PAM module for MIT =
Kerberos</FONT>
<BR><FONT SIZE=2>Mais je doute que ces diffrences kerberos =
participent du problme</FONT>
</P>

<P><FONT SIZE=2>A vous couter/vous lire</FONT>
</P>

<P><FONT SIZE=2>Merci.</FONT>
</P>

<P><FONT SIZE=2>Pierre Touzeau</FONT>
<BR><FONT =
SIZE=2>-</FON=
T>
<BR><FONT SIZE=2>Charg de mission&nbsp; /&nbsp; Prfecture de =
region Basse-Normandie</FONT>
<BR><FONT SIZE=2>SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 =
306 306</FONT>
<BR><FONT SIZE=2>pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: =
564</FONT>
<BR><FONT =
SIZE=2>-</FON=
T>
</P>

</BODY>
</HTML>
_=_NextPart_001_01C92543.60CC767E--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles Mocellin
Le #17413841
--bp/iNruPH9dso1Pn
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Oct 03, 2008 at 12:32:47PM +0200, TOUZEAU Pierre SGAR14 wrote:
[...]

Les commandes wbinfo -u ou -g répondent très partiellement, que je so is en
enum ou pas, car l'ensemble du Ministère est accessible et représente nt un
nombre d'objet trop important à lister, à énumérer...

Les commandes getent passwd ou group ne répondent qu'avec les données
locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation de clause
"deprecated" (printer admin...)

Auriez-vous des pistes que me permettent d'examiner pourquoi les nouveaux
utilisateurs sont inconnus alors que les anciens ont l'accès direct (mo ntage
de disque lors du logon, etc).



Le mapping IDMAP est-il stocké dans un fichier tdb local au serveur, ou r écupéré dans l'annuaire LDAP ? (Windows 2003R2 ou 2003 avec SSSU).
J'ai déjà eu des fichiers tdp corrompus, et en effet, je ne voyais plus les ajouts, suppression, renommage de groupes et utilisateurs.
J'avais des erreurs, mais je ne sais plus dans quel fichier, et surtout ave c quel niveau de log configuré dans samba.

On peut voir si le fichier est corrompu en essayant de la sauvegardé avec la commande tdbbackup.

Nota: Les serveurs différents très légèrement au niveau de kerber os, car sur
SFIC02 je n'ai pas tout installé???



Seul le package libkrb5 est necessaire.
On peut quand même installé krb5-user pour avoir un modèle de fichier de conf.

--bp/iNruPH9dso1Pn
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkjmaP4ACgkQDltnDmLJYdCc4gCbBDx7Vxrgmfd7qOw6c/DtJX35
s48AnAyaoUQRR45WHr5CG43pJ0awQwgw
=UGkK
-----END PGP SIGNATURE-----

--bp/iNruPH9dso1Pn--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme