Bonjour,
j'ai donc créé un compte de station de travail :
# smbldap-useradd -w comm-bouche
Vérification :
# smbldap-usershow comm-bouche$
dn: uid=comm-bouche$,ou=Computers,dc=materiel,dc=net
objectClass: top,inetOrgPerson,posixAccount
cn: comm-bouche$
sn: comm-bouche$
uid: comm-bouche$
uidNumber: 1011
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
Sous Windows XP Pro, j'ai essayé de joindre le domaine à partir de la
station "COMM-BOUCHE". Un compte administrateur avec des droits pour
joindre le domaine : Administrator.
Une fois les informations du compte saisient j'ai la réponse suivante :
«The following error occurred to join the domain "DOMISYS" :
Logon failure: unknown user name or bad password.».
Si j'essaye d'intégrer la station avec le compte "bouche" qui appartient au groupe "Domain Admins" j'ai l'erreur suivante :
«The following error occurred to join the domain "DOMISYS" :
Access is denied.».
Merci de me venir en aide, toutes mes recherches sont pour l'instant
infructueuses,
David «Willou».
Mes fichiers de configuration dans les commentaires.
Forum Linux.mandriva Impossible d'ajouter une station Windows XP Pro à un domaine Samba3/Openldap.
20
juin
2005
# smb.conf
Posté par Willou (site web personnel) . Évalué à 1.
[global]
workgroup = DOMISYS
netbios name = athena
server string = PDC (Samba %v)
printcap name = cups
load printers = yes
printcap cache time = 60
printing = cups
printer admin = @adm
show add printer wizard = yes
log file = /var/log/samba/log.%m
max log size = 50
log level = 10
syslog = 0
time server = yes
dos charset = 850
Unix charset = ISO8859-1
preserve case = yes
case sensitive = no
short preserve case = yes
create mask = 0640
directory mask = 0750
nt acl support = no
deadtime = 10
domain logons = yes
map to guest = bad user
guest account = nobody
security = user
encrypt passwords = yes
mangling method = hash2
#min password length = 5
smb passwd file = /etc/samba/smbpasswd
enable privileges = yes
username map = /etc/samba/smbusers
dont descend = /proc, /dev, /etc, /lib, /lost+found, /initrd, /boot
logon script = logon.bat
logon drive = H:
logon home =
logon path =
hosts allow = 10.
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = yes
os level = 65
domain master = yes
prefered master = yes
dns proxy = no
wins support = yes
passdb backend = ldapsam:ldap://athena
ldap passwd sync = yes
ldap suffix = dc=materiel,dc=net
ldap admin dn = uid=samba,ou=DSA,dc=materiel,dc=net
# ldap ssl = tls start
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Users
ldap delete dn = yes
add user script = /usr/sbin/smbldap-useradd -m "%u"
# delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
# delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
[homes]
comment = Répertoire personne de %U, %u
read only = no
create mask = 0644
directory mask = 0775
browseable = no
valid users = %U
[netlogon]
path = /home/netlogon
browseable = no
read only = yes
[profiles]
path = /home/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = no
guest ok = yes
profile acls = yes
csc policy = disable
force user = %U
valid users = %U @"Domain Admins"
[printers]
comment = Network Printers
path = /var/spool/samba
browseable = no
read only = yes
guest ok = yes
writable = no
printable = yes
create mode = 0700
print command = lpr-cups -P %p -o raw %s -r # using client side printer drivers.
lpq command = lpq -P %p
lprm command = lprm -P %p %j
use client driver = yes
[print$]
path = /var/lib/samba/printers
browseable = yes
write list = @adm root
guest ok = no
read only = yes
create mask = 0664
directory mask = 0775
# inherit permissions = yes
# Settings suitable for Winbind:
# write list = @"Domain Admins" root
# force group = +@"Domain Admins"
[doc]
path=/usr/share/doc
public=yes
writable=no
read only=no
create mask = 0750
guest ok = Yes
[^] # smbldap.conf
Posté par Willou (site web personnel) . Évalué à 1.
SID="S-1-5-21-2139989288-483860436-2398042574"
sambaDomain="DOMISYS"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="athena"
masterPort="389"
ldapTLS="0"
verify="require"
cafile="/etc/smbldap-tools/ca.pem"
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
clientkey="/etc/smbldap-tools/smbldap-tools.key"
suffix="dc=materiel,dc=net"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Users,${suffix}"
sambaUnixIdPooldn="sambaDomainName=DOMISYS,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="99"
userSmbHome="\\ATHENA\homes\%U"
userProfile="\\ATHENA\profiles\%U"
userHomeDrive="Z:"
userScript="%U.cmd"
mailDomain="materiel.net"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# J'espère que ce qui suit t'aidera....
Posté par Gyro Gearllose . Évalué à 2.
D'abord, nous n'utilisons pas d'annuaire ldap, mais je pense que le principe reste le même, quel que soit la méthode utilisée pour stocker les informations sur les comptes.
1) Nous avons créé les comptes des machines localement pour que samba ne refuse pas de les ajouter au smb.conf :
$ useradd -g machines -s /bin/false -d /dev/null machine$
Il ne faut surtout pas oublier le "$" final au nom de la machine
2) Nous avons créé les comptes machines au niveau de samba :
$ smbpasswd -a -m machine
3) Nous avons créé le compte des utilisateurs de samba de la même façon, sauf que dans ce cas, nous avons mis un shell et un répertoire perso, et évidement, nous n'avons ni mis le $ en fin de la première commande, ni l'option -m de la seconde.
4) Selon la version de samba utilisée, il faut que le compte root soit créé avec la commande smbpasswd, de façon à avoir un "super utilisateur" capable d'intégrer une machine windows dans le domaine. Nous, nous l'avons fait ainsi :
$ smbpasswd -a root
C'est tout ce que nous avons fait sur le serveur
Sur le poste du client (nommé "machine" dans notre exemple), nous avons demandé à joindre le domaine avec les informations ainsi créées, et ça fonctionne, en s'identifiant comme root avec le mot de passe fourni en 4.
Si j'ai bien compris ce qui se passe, il faut fournir un compte administrateur à la machine XP pour que celle-ci aille s'identifier en tant que tel sur le serveur et valide son adhésion au domaine.
J'espère avoir été assez clair, et que ces informations te seront utiles.
[^] # Re: J'espère que ce qui suit t'aidera....
Posté par Willou (site web personnel) . Évalué à 1.
[^] # Re: J'espère que ce qui suit t'aidera....
Posté par Gyro Gearllose . Évalué à 2.
Sur notre serveur, cette manip' ne fonctionne pas. Il faut que les noms d'utilisateurs et les comptes machines soient présents dans les fichiers /etc/passord, /etc/shadow et /etc/smbusers avec les mêmes noms et les mêmes uid. Sinon, samba braille qu'il ne trouve pas la correspondance et refuse la connexion.
Dans ton cas, il faudrait même probablement que ce soit synchro avec ton annuaire ldap.
Voilà, en espérant que ça aide.
P.S. : Nous avons mis comme directive log file = /var/log/samba/log.%U ce qui fait qu'on a les logs non pas par machine, mais par utilisateurs.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.