Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Samba dans Active Directory : pb Winbind

1 réponse
Avatar
TOUZEAU Pierre SGAR14
This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

------_=_NextPart_001_01C92543.60CC767E
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

R=E9sum=E9 tr=E8s synth=E9tique :
Dans un environnement Active Directory, un serveur DEBIAN/SAMBA ne =
reconna=EEt
pas les utilisateurs nouvellement cr=E9=E9s dans AD, tandis qu'un autre =
serveur,
quasiment identique, y parvient ?
Comment identifier le probl=E8me.

=3D=3D=3D=3D=3D=3D=3D=3D

J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur de fichier pour =
des
utilisateurs.
A l'origine je d=E9clinais mes utilisateurs sous LINUX (passwd) et =
SAMBA
(smbpasswd) et cr=E9ait les partages qui vont bien (en mode SHARE).
Notre minist=E9re a migr=E9 la gestion de tous les =
utilisateurs/machines vers
Active Directory.
J'ai fait un pseudo-cl=F4ne (presque identique) de mon serveur pour =
pr=E9parer
la migration. Je n'ai pas utiliser l'utilitaire SADMS, mais j'ai pu
installer l'ensemble recommand=E9 : nntp, kerberos, winbind, pam, =
samba.
Malgr=E9 des difficult=E9s, le cl=F4ne a migr=E9 correctement.
J'ai donc migr=E9 le serveur op=E9rationnel et les utilisateurs se =
connectent
(et montent des partagent disques) correctement avec leurs identifiants
Windows.
Mais je d=E9couvre un probl=E8me qui affecte les utilisateurs =
nouvellement cr=E9=E9s
(post-migration).

Je vais vous exposer le probl=E8me, mais pressentant des difficult=E9s =
certaines
dans la recherche de la solution, j'aimerais surtout que me soit =
indiqu=E9 des
pistes de recherches, dans quel log ? Quel commande pour conna=EEtre =
tel
comportement etc.

Probl=E8me sur serveur SFIC01, la commande :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
R=E9pond :
AT+DUPONT 1
C'est-=E0-dire Utilisateur Dupont dans le domaine AT qui correspond au =
SID
indiqu=E9.
Tandis que la commande inverse :
# wbinfo --name-to-sid DUPONT (ou wbinfo --name-to-sid
AT+DUPONT)
R=E9pond :
Could not get info for user AT+DUPONT

Les m=EAmes commandes sur serveur cl=F4ne SFIC02 sont correctes :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
AT+DUPONT 1
la commande inverse :
# wbinfo --name-to-sid DUPONT
S-1-5-21-2218686169-3860314717-31487677-38844 User (1)

Les commandes wbinfo -u ou -g r=E9pondent tr=E8s partiellement, que je =
sois en
enum ou pas, car l'ensemble du Minist=E8re est accessible et =
repr=E9sentent un
nombre d'objet trop important =E0 lister, =E0 =E9num=E9rer...

Les commandes getent passwd ou group ne r=E9pondent qu'avec les =
donn=E9es
locales pour les m=EAmes raisons.
Le log de winbindd n'indique que des warnings li=E9s =E0 l'utilsation =
de clause
"deprecated" (printer admin...)

Auriez-vous des pistes que me permettent d'examiner pourquoi les =
nouveaux
utilisateurs sont inconnus alors que les anciens ont l'acc=E8s direct =
(montage
de disque lors du logon, etc).

Nota: Les serveurs diff=E9rents tr=E8s l=E9g=E8rement au niveau de =
kerberos, car sur
SFIC02 je n'ai pas tout install=E9???=20
SFIC02 # dpkg -l | grep krb
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries

SFIC01 # dpkg -l | grep krb
ii krb5-admin-server 1.4.4-7etch5 MIT Kerberos master server (kadmind)
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-kdc 1.4.4-7etch5 MIT Kerberos key server (KDC)
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
rc libkrb-1-kerberos4kth 1.2.2-11.2 Kerberos Libraries for
Kerberos4 From KTH
ii libkrb5-17-heimdal 0.7.2.dfsg.1-10 Libraries for Heimdal Kerberos
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
ii libpam-krb5 2.6-1 PAM module for MIT Kerberos
Mais je doute que ces diff=E9rences kerberos participent du =
probl=E8me...

A vous =E9couter/vous lire...

Merci.

Pierre Touzeau
----------------------------------------------------------
Charg=E9 de mission / Pr=E9fecture de region Basse-Normandie
SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 306 306
pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: ... 564
----------------------------------------------------------

------_=_NextPart_001_01C92543.60CC767E
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Diso-8859-1">
<META NAME=3D"Generator" CONTENT=3D"MS Exchange Server version =
5.5.2658.2">
<TITLE>Samba dans Active Directory : pb Winbind</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=3D2>R=E9sum=E9 tr=E8s synth=E9tique :</FONT>
<BR><FONT SIZE=3D2>Dans un environnement Active Directory, un serveur =
DEBIAN/SAMBA ne reconna=EEt pas les utilisateurs nouvellement cr=E9=E9s =
dans AD, tandis qu'un autre serveur, quasiment identique, y parvient =
?</FONT></P>

<P><FONT SIZE=3D2>Comment identifier le probl=E8me.</FONT>
</P>

<P><FONT SIZE=3D2>=3D=3D=3D=3D=3D=3D=3D=3D</FONT>
</P>

<P><FONT SIZE=3D2>J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur =
de fichier pour des utilisateurs.</FONT>
<BR><FONT SIZE=3D2>A l'origine je d=E9clinais mes utilisateurs sous =
LINUX (passwd) et SAMBA (smbpasswd) et cr=E9ait les partages qui vont =
bien (en mode SHARE).</FONT></P>

<P><FONT SIZE=3D2>Notre minist=E9re a migr=E9 la gestion de tous les =
utilisateurs/machines vers Active Directory.</FONT>
<BR><FONT SIZE=3D2>J'ai fait un pseudo-cl=F4ne (presque identique) de =
mon serveur pour pr=E9parer la migration. Je n'ai pas utiliser =
l'utilitaire SADMS, mais j'ai pu installer l'ensemble recommand=E9 : =
nntp, kerberos, winbind, pam, samba.</FONT></P>

<P><FONT SIZE=3D2>Malgr=E9 des difficult=E9s, le cl=F4ne a migr=E9 =
correctement.</FONT>
<BR><FONT SIZE=3D2>J'ai donc migr=E9 le serveur op=E9rationnel et les =
utilisateurs se connectent (et montent des partagent disques) =
correctement avec leurs identifiants Windows.</FONT></P>

<P><FONT SIZE=3D2>Mais je d=E9couvre un probl=E8me qui affecte les =
utilisateurs nouvellement cr=E9=E9s (post-migration).</FONT>
</P>

<P><FONT SIZE=3D2>Je vais vous exposer le probl=E8me, mais pressentant =
des difficult=E9s certaines dans la recherche de la solution, =
j'aimerais surtout que me soit indiqu=E9 des pistes de recherches, dans =
quel log ? Quel commande pour conna=EEtre tel comportement =
etc.</FONT></P>

<P><FONT SIZE=3D2>Probl=E8me sur serveur SFIC01, la commande :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2># wbinfo =
--sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844</FONT>
<BR><FONT SIZE=3D2>R=E9pond :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2>AT+DUPONT =
1</FONT>
<BR><FONT SIZE=3D2>C'est-=E0-dire Utilisateur Dupont dans le domaine AT =
qui correspond au SID indiqu=E9.</FONT>
<BR><FONT SIZE=3D2>Tandis que la commande inverse :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2># wbinfo =
--name-to-sid DUPONT&nbsp;&nbsp;&nbsp;&nbsp; (ou wbinfo --name-to-sid =
AT+DUPONT)</FONT>
<BR><FONT SIZE=3D2>R=E9pond :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2>Could not =
get info for user AT+DUPONT</FONT>
</P>

<P><FONT SIZE=3D2>Les m=EAmes commandes sur serveur cl=F4ne SFIC02 sont =
correctes :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2># wbinfo =
--sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2>AT+DUPONT =
1</FONT>
<BR><FONT SIZE=3D2>la commande inverse :</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT SIZE=3D2># wbinfo =
--name-to-sid DUPONT</FONT>
<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT =
SIZE=3D2>S-1-5-21-2218686169-3860314717-31487677-38844 User (1)</FONT>
</P>

<P><FONT SIZE=3D2>Les commandes wbinfo -u ou -g r=E9pondent tr=E8s =
partiellement, que je sois en enum ou pas, car l'ensemble du =
Minist=E8re est accessible et repr=E9sentent un nombre d'objet trop =
important =E0 lister, =E0 =E9num=E9rer...</FONT></P>

<P><FONT SIZE=3D2>Les commandes getent passwd ou group ne r=E9pondent =
qu'avec les donn=E9es locales pour les m=EAmes raisons.</FONT>
<BR><FONT SIZE=3D2>Le log de winbindd n'indique que des warnings li=E9s =
=E0 l'utilsation de clause &quot;deprecated&quot; (printer =
admin...)</FONT>
</P>

<P><FONT SIZE=3D2>Auriez-vous des pistes que me permettent d'examiner =
pourquoi les nouveaux utilisateurs sont inconnus alors que les anciens =
ont l'acc=E8s direct (montage de disque lors du logon, etc).</FONT></P>

<P><FONT SIZE=3D2>Nota: Les serveurs diff=E9rents tr=E8s l=E9g=E8rement =
au niveau de kerberos, car sur SFIC02 je n'ai pas tout install=E9??? =
</FONT>
<BR><FONT SIZE=3D2>SFIC02 # dpkg -l | grep krb</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; krb5-config =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.16&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files for =
Kerberos Version 5</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; krb5-user&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; Basic programs to authenticate using MIT =
Ker</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; libkrb53&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos runtime libraries</FONT>
</P>

<P><FONT SIZE=3D2>SFIC01 # dpkg -l | grep krb</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; krb5-admin-server&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos master server =
(kadmind)</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; krb5-config =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.16&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files for =
Kerberos Version 5</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; krb5-kdc&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos key server (KDC)</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; krb5-user&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; Basic programs to authenticate using MIT =
Ker</FONT>
<BR><FONT SIZE=3D2>rc&nbsp; =
libkrb-1-kerberos4kth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.2.2-11.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Kerberos Libraries for =
Kerberos4 From KTH</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; libkrb5-17-heimdal&nbsp; 0.7.2.dfsg.1-10 =
Libraries for Heimdal Kerberos</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; libkrb53&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
1.4.4-7etch5&nbsp;&nbsp;&nbsp; MIT Kerberos runtime libraries</FONT>
<BR><FONT SIZE=3D2>ii&nbsp; libpam-krb5 =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.6-1&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PAM module for MIT =
Kerberos</FONT>
<BR><FONT SIZE=3D2>Mais je doute que ces diff=E9rences kerberos =
participent du probl=E8me...</FONT>
</P>

<P><FONT SIZE=3D2>A vous =E9couter/vous lire...</FONT>
</P>

<P><FONT SIZE=3D2>Merci.</FONT>
</P>

<P><FONT SIZE=3D2>Pierre Touzeau</FONT>
<BR><FONT =
SIZE=3D2>----------------------------------------------------------</FON=
T>
<BR><FONT SIZE=3D2>Charg=E9 de mission&nbsp; /&nbsp; Pr=E9fecture de =
region Basse-Normandie</FONT>
<BR><FONT SIZE=3D2>SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 =
306 306</FONT>
<BR><FONT SIZE=3D2>pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: =
... 564</FONT>
<BR><FONT =
SIZE=3D2>----------------------------------------------------------</FON=
T>
</P>

</BODY>
</HTML>
------_=_NextPart_001_01C92543.60CC767E--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

1 réponse

Avatar
Gilles Mocellin
--bp/iNruPH9dso1Pn
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Oct 03, 2008 at 12:32:47PM +0200, TOUZEAU Pierre SGAR14 wrote:
[...]

Les commandes wbinfo -u ou -g répondent très partiellement, que je so is en
enum ou pas, car l'ensemble du Ministère est accessible et représente nt un
nombre d'objet trop important à lister, à énumérer...

Les commandes getent passwd ou group ne répondent qu'avec les données
locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation de clause
"deprecated" (printer admin...)

Auriez-vous des pistes que me permettent d'examiner pourquoi les nouveaux
utilisateurs sont inconnus alors que les anciens ont l'accès direct (mo ntage
de disque lors du logon, etc).



Le mapping IDMAP est-il stocké dans un fichier tdb local au serveur, ou r écupéré dans l'annuaire LDAP ? (Windows 2003R2 ou 2003 avec SSSU).
J'ai déjà eu des fichiers tdp corrompus, et en effet, je ne voyais plus les ajouts, suppression, renommage de groupes et utilisateurs.
J'avais des erreurs, mais je ne sais plus dans quel fichier, et surtout ave c quel niveau de log configuré dans samba.

On peut voir si le fichier est corrompu en essayant de la sauvegardé avec la commande tdbbackup.

Nota: Les serveurs différents très légèrement au niveau de kerber os, car sur
SFIC02 je n'ai pas tout installé???



Seul le package libkrb5 est necessaire.
On peut quand même installé krb5-user pour avoir un modèle de fichier de conf.

--bp/iNruPH9dso1Pn
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkjmaP4ACgkQDltnDmLJYdCc4gCbBDx7Vxrgmfd7qOw6c/DtJX35
s48AnAyaoUQRR45WHr5CG43pJ0awQwgw
=UGkK
-----END PGP SIGNATURE-----

--bp/iNruPH9dso1Pn--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact