Discussion :

[mask66]

Bonjour, j'essaie acteullement de faire fonctionner un serveur linux red hat ES 3, qui utiliserait la base d'authentification d'un serveur central AD sous win 2k.

Je pense que mes fichiers krb5.conf et smb.conf sont bien paramétrés, mais j'ai toujours le même message lorsque j'essaie de me connecter au serveur Linux à partir d'un client windows :
[2005/05/09 11:11:46, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!

Apparement, ce message apparaît seul lorsque le login et le MdP sont bons, mais il y'a aussi un NT_STATUS_NO_SUCH_USER si le login est mauvais, et n'est pas présent dans la base AD, ce qui me laisse à penser que tout est bien configuré, mais qu'il y a juste un problème de compatibilité quelque part.

J'espère que quelqu'un a dejà vu ce problème.
Merci d'avance pour toute explication qui pourrait me permettre d'avancer!

[mask66]

Ah bon? personne ne voit? Dur dur. Bon... Si jamais je trouve la solution, je la laisserai sur le forum.

[mask66]

Ca y'est, tout fonctionne à merveille. Il suffisait de bien configurer winbindd et de le lancer. Voilà un petit topo afin d'utiliser à merveille les possibilités de Samba 3 pour intégrer un serveur Linux à un domaine AD :

Config de kerberos:

[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
DOMAIN.COM = {
kdc = serverAD.domain.com
default_domain = domain.com
}

[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 87000
forwardable = true
krb4_convert = false
}



Si c'est bien fait, tappes la commande:

# /usr/kerberos/kinit nuser@DOMAIN.COM

Normalement, un prompt demande le password, si il est correctement rentré, vous revenez à l'invite de commande, ce qui signifie que kerberos a bien été configuré.

Configuration de Samba ", fichier smb.conf :

[global]
workgroup = DOMAIN
realm = DOMAIN.MCK
netbios name = serverlinux //bien rentrer le nom netbios du serveur
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U //pour vérification
template shell = /bin/bash

server string = Serveur linuix
log file = /var/log/samba/log.smbd
max log size = 50
security = ads
password server = serverAD.domain.com
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = no
domain master = no
preferred master = no
wins support = no
wins server = serverAD
wins proxy = no
dns proxy = no

Faire bien attention à la casse, windows est assez tatillon à ce niveau.

Bien vérifier ensuite que ces fichiers sont au bon endroit
(Par exemple si on a recompilé Samba, au lieu d'installer les packages)

pam_winbind.so dans /lib/security/
libnss_winbind.so dans /lib/
pam_smbpass.so dans /lib/security/


Editer ensuite le fichier nsswitch.conf, pour qu'il y ait les lignes suivantes:

passwd: files winbind
group: files winbind

Ensuite, on intègre notre serveur au domaine avec la commande suivante:

# net ads join -U administrateur

Ici, administrateur est le login de l'admin du serveur AD.
Un prompt demande le password, et si tout s'est bien passé, on a, en fin de traitement:

Joined 'serveurlinux' to realm 'DOMAIN.COM'

On peut vérifier qu'on a bien intégré la base d'authentification avec

/usr/bin/getent passwd
/usr/bin/getent group

Enfin, lancer samba et winbindd, puis lancer la commande:

wbinfo --set-auth-user=DOMAIN+Administrateur

Ca permet de definir l'utilisateur qui authentifiera les utilisateurs au niveau du domaine.

Normalement, si vous essayez de vous connecter à serverlinux depuis un client windows de votre parc, vous accèderez au partage Samba sans aucun problème, et vous verrez bien un dossier ayant pour nom votre login, ce qui signifie que l'authetification s'est bien passée.

En cas de problème (ca arrive), lancez les commandes
/usr/bin/getent passwd
/usr/bin/getent group
à nouveau. Je ne sais pas pourquoi, mais ça a l'air de débloquer l'affaire. Du coup, en cas de reboot, je vous conseille de faire un script de démarage qui lance dans l'ordre:
- samba
- winbind
- wbinfo --set-auth-user=DOMAIN+Administrateur
- /usr/bin/getent passwd
- /usr/bin/getent group

Voilà, en espérant que ça vous soit utile

[Oega]

Merci pour outes ces précieuses infos

[ggnore]

Tout d'abord bravo.

Ensuite, je te conseille de cacher certaines informations de ton fichier de configuration. Genre l'IP statique.
Ton poste en cours de configuration est peut être vulnérable.
De plus tu fournis ta configuration, si par malheur tu as fait une erreur et que quelqu'un de très expérimenté et très malveillant décèle une faille, tu pourrais bien être attaqué.

[Parano Off]

[mask66]

Merci pour ce conseil!
En effet, une adresse s'était subvesivement glissée à l'insu de mon plein gré. Voilà qui est rectifié!!

[stormy]

quelqu'un a réussi cette config?
Si oui quel est le truc miracle ou si vous avez d'autres éléments à ajouter à cette config.

De nouveaux fichiers de config à jour pet-être?
Merci
car moi ça passe pas.
Le serveur est "visible" sur le réseau mais l'authentification est encore impossible ou problématique.

p.s: j:'ai complètement réinstallé mon SUSE SLES10 et refait la config. .suggérée.
Rien n'y fait encore. Quelle est la suggestion pour le script de démarrage. Est-ce que je devrais créer un nouveau fichier ou l'inclure dans un existant, et lequel.
merci encore.

[stormy]

est-ce que cette discussion est totallement fermée ou elle est encore disponible.
Y'a pas beaucoup de monde qui regarde ou commente.

[mmkmou]

Salut a tous
Bien voila j'ai testé le config tout marche nickel jusqu'au moment ou je dois taper

getent passwd
getent group

normalement je devais avoir sur la liste les utilisateurs et groupes AD mais je ne l'ai s'est pas est ce que quelqu'un a une fois eu ce probléme ?

help me please