Forum Linux.debian/ubuntu Samba : compte machine expire sans raison

Posté par  .
Étiquettes :
1
4
mai
2010
Bonjour,

Dans ma petite entreprise, j'ai mis récemment en place un PC sous Xubuntu 9.10 qui se connecte au contrôleur de domaine Samba sous Debian Lenny.

Tout fonctionne bien hormis le fait que de temps en temps (environ tous les 15 jours) le PC ne peut plus se connecter au domaine !
Ce qui est assez gênant c'est que ce n'est pas mon PC et que je n'ai pas de moyen en place pour me connecter à distance et réparer le problème.

Je n'ai pas les fichiers de conf à vous soumettre pour le moment, ce que j'aimerais c'est une piste pour la fois ou j'irais sur site (dans la semaine - ma vie, toussa...).

Quelques info tout de même :
- je n'utilise pas LDAP
- le serveur et le poste client sont à jour
- c'est le premier poste client sous linux connecté au domaine (les autres sont sous Windows 2000 et XP)
- grosso modo j'ai suivi ce qui est décrit ici : http://doc.ubuntu-fr.org/tutoriel/comment_integrer_machine_u(...)
- le poste client dispose de deux interfaces réseaux (sur deux réseaux IP différents)
- les postes clients obtiennent leur adresse IP via le dhcpd du serveur
- pour rétablir - temporairement - je fais ceci :
Sur le serveur en root
smbpasswd -m -x nom_du_pc
Sur le PC client en root (sudo -s)
net rpc join -w nom_du_domaine

a+

  • # Une piste ?

    Posté par  (site web personnel) . Évalué à 1.

    pdbedit -u machine$ -y -v

    Regarder du côté des "policies"

    Système - Réseau - Sécurité Open Source

    • [^] # Re: Une piste ?

      Posté par  . Évalué à 2.

      J'avais déjà regardé et n'avais rien vu d'anormal.
      J'y jetterais tout de même un oeil à nouveau.

      Merci pour la piste toujours bonne à suivre.

      • [^] # Re: Une piste ?

        Posté par  . Évalué à 2.

        Rien d'anormal de ce côté là :
        [...]
        Account desc:
        Workstations:
        Munged dial:
        Logon time: 0
        Logoff time: never
        Kickoff time: never
        Password last set: ven, 30 avr 2010 11:15:44 CEST
        Password can change: ven, 30 avr 2010 11:15:44 CEST
        Password must change: never
        Last bad password : 0
        Bad password count : 0
        Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

  • # synchro temp ?

    Posté par  . Évalué à 3.

    j'ai eu un problème similaire il y a quelques temps : tous les mois perte de connexion (serveur linux <--> contrôleur de domaine mais sous 2003 serveur).
    Pour ma part, il s'est avéré que le serveur linux n'était pas synchronisé (ntp) sur le contrôleur de domaine et au bout du mois ils avaient plus de 5min de décalage, fatal pour le ticket keberos...

    • [^] # Re: synchro temp ?

      Posté par  . Évalué à 2.

      Cette info me plait bien car le serveur n'est pas synchronisé via NTP (pas connecté au net) alors que le poste client est lui synchronisé via le net !

      Je vais étudier cette piste avec attention dès vendredi !

      • [^] # Re: synchro temp ?

        Posté par  . Évalué à 2.

        Pour l'horloge, je n'avais que 2 minutes d'écart. Et après remise à l'heure, problème identique.

        Voila les logs que j'ai récupéré en faisant depuis la station (avec un compte local) une tentative de connexion au domaine avec "su - user1"

        Sur la station "station1"
        ==> /var/log/auth.log <==
        May 7 11:57:42 station1 su[6830]: pam_unix(su:auth): authentication failure; logname=administrateur uid=1000 euid=0 tty=/dev/pts/1 ruser=administrateur rhost= user=user1
        May 7 11:57:42 station1 su[6830]: pam_winbind(su:auth): getting password (0x00000210)
        May 7 11:57:42 station1 su[6830]: pam_winbind(su:auth): pam_get_item returned a password
        May 7 11:57:42 station1 su[6830]: pam_winbind(su:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS: NT_STATUS_ACCESS_DENIED, Error message was: Access denied
        May 7 11:57:42 station1 su[6830]: pam_winbind(su:auth): internal module error (retval = PAM_SYSTEM_ERR(4), user = 'user1')
        May 7 11:57:44 station1 su[6830]: pam_authenticate: Authentication failure
        May 7 11:57:44 station1 su[6830]: FAILED su for user1 by administrateur
        May 7 11:57:44 station1 su[6830]: - /dev/pts/1 administrateur:user1
        Sur le serveur "serveur"
        ==> samba/log.station1 <==
        [2010/05/07 11:57:42, 0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(520)
        _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client STATION1 machine account STATION1$
        [2010/05/07 11:57:42, 0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(520)
        _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client STATION1 machine account STATION1$
        Voilà les fichiers de conf de la station.
        /etc/samba/smb.conf
        [global]
        workgroup = domaine1
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        template homedir = /home/%D/%U
        winbind enum users = yes
        winbind enum groups = yes
        winbind cache time = 10
        winbind separator = +
        winbind offline logon = yes
        security = domain
        password server = 192.168.1.1
        winbind use default domain = yes
        wins server = 192.168.1.1
        server string = %h server (Samba, Ubuntu)
        dns proxy = no
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        encrypt passwords = true
        passdb backend = tdbsam
        obey pam restrictions = yes
        unix password sync = yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        pam password change = yes
        map to guest = bad user
        usershare allow guests = yes
        [printers]
        comment = All Printers
        browseable = no
        path = /var/spool/samba
        printable = yes
        guest ok = no
        read only = yes
        create mask = 0700
        [print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers
        browseable = yes
        read only = yes
        guest ok = no
        /etc/pam.d/common-account
        account sufficient pam_winbind.so
        account sufficient pam_unix.so
        account requisite pam_deny.so
        account required pam_permit.so
        /etc/pam.d/common-auth
        auth [success=2 default=ignore] pam_unix.so nullok_secure
        auth [success=1 default=ignore] pam_winbind.so use_first_pass
        auth requisite pam_deny.so
        auth required pam_permit.so
        auth optional pam_mount.so
        /etc/pam.d/common-password
        password [success=1 default=ignore] pam_unix.so obscure sha512
        password requisite pam_deny.so
        password required pam_permit.so
        password optional pam_gnome_keyring.so
        /etc/pam.d/common-session
        session [default=1] pam_permit.so
        session requisite pam_deny.so
        session required pam_permit.so
        session required pam_unix.so
        session optional pam_mount.so
        session optional pam_ck_connector.so nox11
        session required pam_mkhomedir.so umask=0022 skel=/etc/skel
        /etc/pam.d/common-session-noninteractive
        session [default=1] pam_permit.so
        session requisite pam_deny.so
        session required pam_permit.so
        session required pam_unix.so
        session optional pam_mount.so
        /etc/nsswitch.conf
        passwd: compat winbind
        group: compat winbind
        shadow: compat
        hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 wins
        networks: files
        protocols: db files
        services: db files
        ethers: db files
        rpc: db files
        netgroup: nis
        Le smb.conf du serveur
        [global]
        workgroup = domaine1
        server string = %h server
        wins support = yes
        dns proxy = no
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        encrypt passwords = true
        passdb backend = tdbsam
        obey pam restrictions = yes
        unix password sync = yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        pam password change = yes
        domain logons = yes
        logon script = %G.bat
        [homes]
        comment = Home Directories
        browseable = no
        writable = yes
        create mask = 0700
        directory mask = 0700
        valid users = %S
        [netlogon]
        comment = Network Logon Service
        path = /home/samba/netlogon
        guest ok = yes
        read only = yes
        share modes = no
        [profiles]
        comment = Users profiles
        path = /home/samba/profiles
        guest ok = no
        browseable = no
        create mask = 0600
        directory mask = 0700
        [printers]
        comment = All Printers
        browseable = no
        path = /var/spool/samba
        printable = yes
        guest ok = no
        read only = yes
        create mask = 0700
        [print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers
        browseable = yes
        read only = yes
        guest ok = no

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.