Samba dans Active Directory : pb Winbind

Le
TOUZEAU Pierre SGAR14
This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

_=_NextPart_001_01C92543.60CC767E
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Résumé très synthétique :
Dans un environnement Active Directory, un serveur DEBIAN/SAMBA ne =
reconnaît
pas les utilisateurs nouvellement créés dans AD, tandis qu'un autre =
serveur,
quasiment identique, y parvient ?
Comment identifier le problème.

==

J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur de fichier pour =
des
utilisateurs.
A l'origine je déclinais mes utilisateurs sous LINUX (passwd) et =
SAMBA
(smbpasswd) et créait les partages qui vont bien (en mode SHARE).
Notre ministére a migré la gestion de tous les =
utilisateurs/machines vers
Active Directory.
J'ai fait un pseudo-clône (presque identique) de mon serveur pour =
préparer
la migration. Je n'ai pas utiliser l'utilitaire SADMS, mais j'ai pu
installer l'ensemble recommandé : nntp, kerberos, winbind, pam, =
samba.
Malgré des difficultés, le clône a migré correctement.
J'ai donc migré le serveur opérationnel et les utilisateurs se =
connectent
(et montent des partagent disques) correctement avec leurs identifiants
Windows.
Mais je découvre un problème qui affecte les utilisateurs =
nouvellement créés
(post-migration).

Je vais vous exposer le problème, mais pressentant des difficultés =
certaines
dans la recherche de la solution, j'aimerais surtout que me soit =
indiqué des
pistes de recherches, dans quel log ? Quel commande pour connaître =
tel
comportement etc.

Problème sur serveur SFIC01, la commande :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
Répond :
AT+DUPONT 1
C'est-à-dire Utilisateur Dupont dans le domaine AT qui correspond au =
SID
indiqué.
Tandis que la commande inverse :
# wbinfo --name-to-sid DUPONT (ou wbinfo --name-to-sid
AT+DUPONT)
Répond :
Could not get info for user AT+DUPONT

Les mêmes commandes sur serveur clône SFIC02 sont correctes :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
AT+DUPONT 1
la commande inverse :
# wbinfo --name-to-sid DUPONT
S-1-5-21-2218686169-3860314717-31487677-38844 User (1)

Les commandes wbinfo -u ou -g répondent très partiellement, que je =
sois en
enum ou pas, car l'ensemble du Ministère est accessible et =
représentent un
nombre d'objet trop important à lister, à énumérer

Les commandes getent passwd ou group ne répondent qu'avec les =
données
locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation =
de clause
"deprecated" (printer admin)

Auriez-vous des pistes que me permettent d'examiner pourquoi les =
nouveaux
utilisateurs sont inconnus alors que les anciens ont l'accès direct =
(montage
de disque lors du logon, etc).

Nota: Les serveurs différents très légèrement au niveau de =
kerberos, car sur
SFIC02 je n'ai pas tout installé???
SFIC02 # dpkg -l | grep krb
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries

SFIC01 # dpkg -l | grep krb
ii krb5-admin-server 1.4.4-7etch5 MIT Kerberos master server (kadmind)
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-kdc 1.4.4-7etch5 MIT Kerberos key server (KDC)
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
rc libkrb-1-kerberos4kth 1.2.2-11.2 Kerberos Libraries for
Kerberos4 From KTH
ii libkrb5-17-heimdal 0.7.2.dfsg.1-10 Libraries for Heimdal Kerberos
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
ii libpam-krb5 2.6-1 PAM module for MIT Kerberos
Mais je doute que ces différences kerberos participent du =
problème

A vous écouter/vous lire

Merci.

Pierre Touzeau
-
Chargé de mission / Préfecture de region Basse-Normandie
SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 306 306
pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: 564
-

_=_NextPart_001_01C92543.60CC767E
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; =
charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version =
5.5.2658.2">
<TITLE>Samba dans Active Directory : pb Winbind</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Résumé très synthétique :</FONT>
<BR><FONT SIZE=2>Dans un environnement Active Directory, un serveur =
DEBIAN/SAMBA ne reconnaît pas les utilisateurs nouvellement créés =
dans AD, tandis qu'un autre serveur, quasiment identique, y parvient =
?</FONT></P>

<P><FONT SIZE=2>Comment identifier le problème.</FONT>
</P>

<P><FONT SIZE=2>==</FONT>
</P>

<P><FONT SIZE=2>J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur =
de fichier pour des utilisateurs.</FONT>
<BR><FONT SIZE=2>A l'origine je déclinais mes utilisateurs sous =
LINUX (passwd) et SAMBA (smbpasswd) et créait les partages qui vont =
bien (en mode SHARE).</FONT></P>

<P><FONT SIZE=2>Notre ministére a migré la gestion de tous les =
utilisateurs/machines vers Active Directory.</FONT>
<BR><FONT SIZE=2>J'ai fait un pseudo-clône (presque identique) de =
mon serveur pour préparer la migration. Je n'ai pas utiliser =
l'utilitaire SADMS, mais j'ai pu installer l'ensemble recommandé : =
nntp, kerberos, winbind, pam, samba.</FONT></P>

<P><FONT SIZE=2>Malgré des difficultés, le clône a migré =
correctement.</FONT>
<BR><FONT SIZE=2>J'ai donc migré le serveur opérationnel et les =
utilisateurs se connectent (et montent des partagent disques) =
correctement avec leurs identifiants Windows.</FONT></P>

<P><FONT SIZE=2>Mais je découvre un problème qui affecte les =
utilisateurs nouvellement créés (post-migration).</FONT>
</P>

<P><FONT SIZE=2>Je vais vous exposer le problème, mais pressentant =
des difficultés certaines dans la recherche de la solution, =
j'aimerais surtout que me soit indiqué des pistes de recherches, dans =
quel log ? Quel commande pour connaître tel comportement =
etc.</FONT></P>

<P><FONT SIZE=2>Problème sur serveur SFIC01, la commande :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844</FONT>
<BR><FONT SIZE=2>Répond :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2>AT+DUPONT =
1</FONT>
<BR><FONT SIZE=2>C'est-à-dire Utilisateur Dupont dans le domaine AT =
qui correspond au SID indiqué.</FONT>
<BR><FONT SIZE=2>Tandis que la commande inverse :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--name-to-sid DUPONT&nbsp;&nbsp;&nbsp;&nbsp; (ou wbinfo --name-to-sid =
AT+DUPONT)</FONT>
<BR><FONT SIZE=2>Répond :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2>Could not =
get info for user AT+DUPONT</FONT>
</P>

<P><FONT SIZE=2>Les mêmes commandes sur serveur clône SFIC02 sont =
correctes :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2>AT+DUPONT =
1</FONT>
<BR><FONT SIZE=2>la commande inverse :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=2># wbinfo =
--name-to-sid DUPONT</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT =
SIZE=2>S-1-5-21-2218686169-3860314717-31487677-38844 User (1)</FONT>
</P>

<P><FONT SIZE=2>Les commandes wbinfo -u ou -g répondent très =
partiellement, que je sois en enum ou pas, car l'ensemble du =
Ministère est accessible et représentent un nombre d'objet trop =
important à lister, à énumérer</FONT></P>

<P><FONT SIZE=2>Les commandes getent passwd ou group ne répondent =
qu'avec les données locales pour les mêmes raisons.</FONT>
<BR><FONT SIZE=2>Le log de winbindd n'indique que des warnings liés =
à l'utilsation de clause &quot;deprecated&quot; (printer =
admin)</FONT>
</P>

<P><FONT SIZE=2>Auriez-vous des pistes que me permettent d'examiner =
pourquoi les nouveaux utilisateurs sont inconnus alors que les anciens =
ont l'accès direct (montage de disque lors du logon, etc).</FONT></P>

<P><FONT SIZE=2>Nota: Les serveurs différents très légèrement =
au niveau de kerberos, car sur SFIC02 je n'ai pas tout installé??? =
</FONT>
<BR><FONT SIZE=2>SFIC02 # dpkg -l | grep krb</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-config =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.16&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files for =
Kerberos Version 5</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-user&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; Basic programs to authenticate using MIT =
Ker</FONT>
<BR><FONT SIZE=2>ii&nbsp; libkrb53&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos runtime libraries</FONT>
</P>

<P><FONT SIZE=2>SFIC01 # dpkg -l | grep krb</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-admin-server&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos master server =
(kadmind)</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-config =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.16&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files for =
Kerberos Version 5</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-kdc&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos key server (KDC)</FONT>
<BR><FONT SIZE=2>ii&nbsp; krb5-user&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; Basic programs to authenticate using MIT =
Ker</FONT>
<BR><FONT SIZE=2>rc&nbsp; =
libkrb-1-kerberos4kth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.2.2-11.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Kerberos Libraries for =
Kerberos4 From KTH</FONT>
<BR><FONT SIZE=2>ii&nbsp; libkrb5-17-heimdal&nbsp; 0.7.2.dfsg.1-10 =
Libraries for Heimdal Kerberos</FONT>
<BR><FONT SIZE=2>ii&nbsp; libkrb53&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos runtime libraries</FONT>
<BR><FONT SIZE=2>ii&nbsp; libpam-krb5 =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.6-1&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PAM module for MIT =
Kerberos</FONT>
<BR><FONT SIZE=2>Mais je doute que ces différences kerberos =
participent du problème</FONT>
</P>

<P><FONT SIZE=2>A vous écouter/vous lire</FONT>
</P>

<P><FONT SIZE=2>Merci.</FONT>
</P>

<P><FONT SIZE=2>Pierre Touzeau</FONT>
<BR><FONT =
SIZE=2>-</FON=
T>
<BR><FONT SIZE=2>Chargé de mission&nbsp; /&nbsp; Préfecture de =
region Basse-Normandie</FONT>
<BR><FONT SIZE=2>SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 =
306 306</FONT>
<BR><FONT SIZE=2>pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: =
564</FONT>
<BR><FONT =
SIZE=2>-</FON=
T>
</P>

</BODY>
</HTML>
_=_NextPart_001_01C92543.60CC767E--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles Mocellin
Le #17413841
--bp/iNruPH9dso1Pn
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Oct 03, 2008 at 12:32:47PM +0200, TOUZEAU Pierre SGAR14 wrote:
[...]

Les commandes wbinfo -u ou -g répondent très partiellement, que je so is en
enum ou pas, car l'ensemble du Ministère est accessible et représente nt un
nombre d'objet trop important à lister, à énumérer...

Les commandes getent passwd ou group ne répondent qu'avec les données
locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation de clause
"deprecated" (printer admin...)

Auriez-vous des pistes que me permettent d'examiner pourquoi les nouveaux
utilisateurs sont inconnus alors que les anciens ont l'accès direct (mo ntage
de disque lors du logon, etc).



Le mapping IDMAP est-il stocké dans un fichier tdb local au serveur, ou r écupéré dans l'annuaire LDAP ? (Windows 2003R2 ou 2003 avec SSSU).
J'ai déjà eu des fichiers tdp corrompus, et en effet, je ne voyais plus les ajouts, suppression, renommage de groupes et utilisateurs.
J'avais des erreurs, mais je ne sais plus dans quel fichier, et surtout ave c quel niveau de log configuré dans samba.

On peut voir si le fichier est corrompu en essayant de la sauvegardé avec la commande tdbbackup.

Nota: Les serveurs différents très légèrement au niveau de kerber os, car sur
SFIC02 je n'ai pas tout installé???



Seul le package libkrb5 est necessaire.
On peut quand même installé krb5-user pour avoir un modèle de fichier de conf.

--bp/iNruPH9dso1Pn
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkjmaP4ACgkQDltnDmLJYdCc4gCbBDx7Vxrgmfd7qOw6c/DtJX35
s48AnAyaoUQRR45WHr5CG43pJ0awQwgw
=UGkK
-----END PGP SIGNATURE-----

--bp/iNruPH9dso1Pn--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme