Forum Linux.debian/ubuntu gros soucis de domaine avec samba/ldap

Posté par  . Licence CC By‑SA.
Étiquettes :
0
20
oct.
2014

Bonjour

J'ai un soucis depuis 1 semaine, je planche dessus et je ne vois pas ou le probleme est:

J'ai donc un serveur debian 6 avec samba 3.5.6

Je n'ai pas eu de soucis d'authentification jusqu'à present, pas de soucis de création de compte, pas de soucis pour faire passer les windows 7 du domaine AD au domaine samba etc…

Bref tout était nickel, mais voila, depuis 3 semaines:

1/ je ne peux plus faire entrer des PC dans le domaine Samba, pourtant les PC sont bien présent dans la liste des machines enregistrées dans openldap

2/ Quand aux users, ils sont bien inscrits avec leur droits dans openldap/samba (id user me donne les bonnes infos), mais impossible d'ouvrir une session sous windows 7 quand le PC est dans le domaine samba et que ces users ne se sont jamais connectés sur ces PC.
- Si le user c'est déja connecté sur ce PC pas de soucis par contre pour ouvrir sa session.

J'ai l'erreur suivante sur windows 7: aucun serveur d'accés n'est actuellement disponible pour traiter la demande d'ouverture de session.

Bien entendu sur le serveur d'authentification j'ai relancé les services samba, saslauthd et slapd, et vérifié ligne par ligne les fichier conf.

Ce soucis est apparu après une coupure de courant assez longue qui a fait que mes serveurs ont dû tous redémarrer car les onduleurs n'ont pas tenu la durée.

Merci pour votre aide, c'est assez urgent maintenant.

  • # Juste une idée comme ça

    Posté par  . Évalué à 4.

    Ce soucis est apparu après une coupure de courant assez longue qui a fait que mes serveurs ont dû tous redémarrer car les onduleurs n'ont pas tenu la durée.

    Les deux machines sont bien toujours à l'heure et synchronisées ? Je ne sais pas si ça peut jouer sur l'authentification ldap, peut-être ?

    • [^] # Re: Juste une idée comme ça

      Posté par  . Évalué à 3.

      C'est une bonne piste quand l'authentification samba part en vrille c'est souvent lié à une histoire de synchronisation d'horloge. Tu as NTP sur le serveur mais les postes se synchronisent avec ce serveur ?

      Si c'est pas une histoire d'horloge j'ai une autre piste :

      Avec un compte utilisateur local tu peux aussi vérifier que les paramètres DHCP reçus par le poste sont bons, notamment le serveur DNS.
      Si c'est le bon serveur DNS il faudrait aussi vérifier que les enregistrements DNS nécessaires au fonctionnement du domaine sont présents :

      _ldap._tcp.domaine.example.com
      _kerberos._udp.domaine.example.com
      nom_du_pdc.domaine.example.com
      
  • # Est-ce que le service nmb est démarré?

    Posté par  . Évalué à 2.

    Est-ce que le service nmb est démarré?

  • # gros soucis de domaine avec samba/ldap

    Posté par  . Évalué à 1. Dernière modification le 20 octobre 2014 à 17:44.

    Bonjour

    alors pour nmb oui il est bien lancé

    ps aux | grep nmb
    root 16939 0.0 0.2 65280 2184 ? Ss 15:34 0:00 /usr/sbin/nmbd -D
    root 16940 0.0 0.1 69076 1696 ? S 15:34 0:00 /usr/sbin/nmbd -D
    root 29329 0.0 0.0 10116 916 pts/0 S+ 17:37 0:00 grep nmb

    et j'ai même relancé samba plusieurs fois

    service samba restart
    Stopping Samba daemons: nmbd smbd.
    Starting Samba daemons: nmbd smbd.

    pour la synchro oui ils sont bien à la bonne heure

    synchro a 100% la je en sais pas

    difficile de bien synchroniser un serveur debian et un client windows

  • # gros soucis de domaine avec samba/ldap

    Posté par  . Évalué à 1.

    Voila ce que j'ai pu extraire de windows 7 quand j'ai fait rebasculer un ancien pc de nouveau dans le domaine SAMBA

    Erreur 20/10/2014 14:28:55 NETLOGON 3210 Aucun Cet ordinateur ne peut pas authentifier avec \authsamba, un contrôleur de domaine Windows pour le domaine SAMBA.
    Cet ordinateur pourrait par conséquent refuser les demandes d’ouvertures de session.
    Cette impossibilité d’authentification pourrait avoir été causée par un autre ordinateur sur le même réseau,
    utilisant le même nom ou ayant un mot de passe non reconnu pour ce compte d’ordinateur.
    Si ce message s’affiche encore, contactez votre administrateur système.
    Information 20/10/2014 14:28:55 Workstation 3260 Aucun Cet ordinateur a été joint correctement au domaine 'SAMBA'

    Pour le serveur de temps j'ai deja ntp sur le debian donc ca devrait le faire

  • # gros soucis de domaine avec samba/ldap

    Posté par  . Évalué à 1.

    Bonjour

    synchro mise en place et toujours le même soucis

    • [^] # Re: gros soucis de domaine avec samba/ldap

      Posté par  . Évalué à 3.

      Tu as vérifié les paramètres DHCP reçus comme suggéré par Christophe K. ?

      • [^] # Re: gros soucis de domaine avec samba/ldap

        Posté par  . Évalué à 2. Dernière modification le 21 octobre 2014 à 23:41.

        A propos de ce post, j'avais loupé une info essentielle : c'est une version 3.
        Pour les enregistrements DNS, ce sont ceux utilisés par Samba 4 / le mode contrôleur active directory.
        Je ne crois pas qu'ils existaient en version 3.
        Par contre en mode contrôleur de domaine NT (le mode utilisé par la v3) c'est WINS qui est très important pour que les résolutions de nom fonctionnent correctement :/
        Il faudrait donc vérifier que le contrôleur de domaine soit déclaré comme serveur WINS par le serveur DHCP.

  • # gros soucis de domaine avec samba/ldap

    Posté par  . Évalué à 1. Dernière modification le 22 octobre 2014 à 10:47.

    Merci à tous pour votre aide

    Alors voila un extrait de mon fichier dhcpd.conf

    ##option definitions common to all supported networks...
    option domain-name "mondomaine.lan.";
    option domain-name-servers 172.16.0.110, 80.10.246.2;
    option netbios-name-servers 172.16.0.114;
    option netbios-dd-server 172.16.0.114;
    option netbios-node-type 8;

    172.16.0.114 étant mon serveur samba/openldap donc ca me semble ok de ce coté la, non?

    Coté DNS:

    extrait de mon fichier /etc/dnsmasq.conf

    ##samba
    srv-host=_kerberos._tcp.SAMBA,authsamba.mondomaine.lan,88,1
    srv-host=_kerberos._tcp.dc._msdcs.SAMBA,authsamba.mondomaine.lan,88,1
    srv-host=_ldap._tcp.pdc._msdcs.SAMBA,authsamba.mondomaine.lan,389,1
    srv-host=_ldap._tcp.dc._msdcs.SAMBA,authsamba.mondomaine.lan,389,1
    srv-host=_ldap._tcp.SAMBA,authsamba.mondomaine.lan,389,1

    donc la ça me semble ok aussi non?

    si je fait un ipconfig /all sur un des pc windows qui est en domaine samba mais sur un reseau non authentifié, (je suis en session locale, pas en sessions samba)

    il me donne bien comme info:

    Liste de recherche du suffixe DNS: mondomaine.lan
    Suffixe propre à la connexion: mondomaine.lan
    
    Serveur DHCP: 172.16.0.2 (la bonne adresse de mon serveur dhcp)
    Serveur DNS: 172.16.0.2 (la bonne adresse de mon serveur DNS)
                 172.16.0.1 (la bonne adresse de mon serveur DNS slave)
    Serveur WINS principal: 172.16.0.114 (la bonne adresse de mon serveur WINS Samba/ldap)
    Netbios sur Tcpip: activé

    Donc à la lecture de ces infos, le dhcp et dns répondent bien, et windows reçoit bien les bonnes infos

    je me trompe?

    Encore merci pour votre aide car la je patauge complètement et je désespère un peu quand même.

    • [^] # Re: gros soucis de domaine avec samba/ldap

      Posté par  . Évalué à 3.

      et elle est ou la definition DNS de la machine authsamba.mondomaine.lan ?

      sinon quand tu veux repondre à quelqu'un, cliques sur "repondre" en bas du cadre, plutot que sur "poster un commentaire"
      car le commentaire repond à ton premier post, alors que "repondre" repond à la repond d'un utilisateur.

      • [^] # Re: gros soucis de domaine avec samba/ldap

        Posté par  . Évalué à 1. Dernière modification le 22 octobre 2014 à 19:49.

        Merci pour les conseils d'utilisation du formum.

        je viens de parcourir mon fichier /etc/dnsmasq.conf

        j'ai vu ca:

        #dhcp-option=44,172.16.0.114  # set netbios-over-TCP/IP nameserver(s) aka WINS server(s)

        c'est normal que cela soit commenté?

        (désolé de poser une question aussi bête mais j'ai plus l'habitude d'utiliser directement bind)

        je n'ai pas d'autres infos dans ce fichier conf concernant mon serveur samba/ldap authsamba (ip 172.16.0.114)

        • [^] # Re: gros soucis de domaine avec samba/ldap

          Posté par  . Évalué à 3.

          normalement les enregistrements SRV dans DNS sont pour samba4 en active directory,
          mais peut-etre qu'il en faut un bout pour samba3.

          je ferais 2 choses :
          - decommenter l'option 44
          - redemarrer dnsmasq
          - tester

          si ca ne marche pas,
          - ajouter l'information concernant la machine authsamba.mondomaine.lan dans dnsmasq
          - redemarrer dnsmasq
          - tester

          verifie aussi que tu integres bien tes machines au domaine "DOMAINE"

          • [^] # Re: gros soucis de domaine avec samba/ldap

            Posté par  . Évalué à 1.

            Merci pour tes infos.

            Fin de semaine très chargée, je n'ai pas eu le temps de mettre ça en test.

            je m'y remet Lundi et te donne des nouvelles

            Encore merci

            • [^] # Re: gros soucis de domaine avec samba/ldap

              Posté par  . Évalué à 1. Dernière modification le 27 octobre 2014 à 10:04.

              Bonjour

              Bon alors j'ai bien décommenté la ligne, donc maintenant dans /etc/dnsmasq.conf j'ai:

              "commenté" set netbios-over-TCP/IP nameserver(s) aka WINS server(s)
              dhcp-option=44,172.16.0.114

              j'ai ensuite fait un "service dnsmasq restart", mais pas de changement dans le comportement de mon windows client

              j'ai donc ensuite ajouté la ligne suivant dans /etc/dnsmasq.conf:

              dhcp-host=set:postes,authsamba,172.16.0.114

              Fait un "service dnsmasq restart", mais toujours pas de changement dans le comportement de mon windows client

              J'ai vérifié sur mon windows client qu'il etait bien dans le domaine qui va bien, et oui pas de soucis, mais il indique toujours au niveau des parametres réseau qu'il est sur un réseau "non authentifié".

              Bref toujours pas résolu :(
              ```

              • [^] # Re: gros soucis de domaine avec samba/ldap

                Posté par  . Évalué à 2.

                mais il indique toujours au niveau des parametres réseau qu'il est sur un réseau "non authentifié".

                ca ce n'est pas un probleme de reseau,
                c'est à toi de lui dire si tu es sur un reseau "public, entreprise, domicile"
                si tu ne peux pas le changer, c'est qu'il y a une regle locale ou GPO qui te l'interdit.

                • [^] # Re: gros soucis de domaine avec samba/ldap

                  Posté par  . Évalué à 1. Dernière modification le 29 octobre 2014 à 10:58.

                  Bonjour

                  le PC est bien connecté en mode réseau de bureau

                  je peux le passer en mode domestique ou autre sans soucis, mais il reste toujours en reseau non authentifié quoi qu'il arrive

                  je l'ai même sorti du domaine samba, pour le passer en domaine AD (dans ce cas la il n'est alors plus en réseau non authentifié, mais en "reseau avec domaine").
                  Si je le repasse en domaine Samba, il indique de nouveau en reseau non authentifié.!!!

  • # toujours rien de nouveau

    Posté par  . Évalué à 1.

    Bonjour

    Bon je continue mes investigations et reprend presque depuis le début

    Alors;

    Coté windows tout est bien ok pour rejoindre le domaine samba

    • modification comme il se doit des clés de registre
    • inscription du serveur samba dans les parametres wins de la carte réseau
    • désactivation de l'uac
    • désactivation du firewall windows

    Coté ldap tout est ok puisque un smbldap-usershow nomdu user ou smbldap-usershow nomdelamachine$ me donne les bonnes entrées avec les bonnes valeurs

    C'est vraiment comme si windows n'arrivait pas a dialoguer avec le serveur samba pour ouvrir une session.

    Par contre, si par exemple je crée une session en local sur la machine pour un user ne pouvant pas se connecter via le domaine, donc je ne passe pas par le domaine, je vais ensuite sur le partage (qui est géré par samba et ldap) pas de soucis d'accès aux répertoires et les droits d'accés sont bien respectés.

    De plus coté dns et dhcp ça semble ok

    c'est vraiment une histoire de fou

    J'ai vraiment besoin d'un coup de main, n'hésitez pas a me demander copie de fichier conf.

    Merci

    • [^] # Re: toujours rien de nouveau

      Posté par  . Évalué à 2.

      plus qu'a sortir le mode debug et les traces reseaux.

      samba en mode debug pour voir ce que windows lui demande,
      traces reseux pour analyser la conversation au niveau IP

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.