Forum Linux.mandriva Impossible d'ajouter une station Windows XP Pro à un domaine Samba3/Openldap.

Posté par  (site web personnel) .
Étiquettes : aucune
0
20
juin
2005
Bonjour,

j'ai donc créé un compte de station de travail :

# smbldap-useradd -w comm-bouche

Vérification :

# smbldap-usershow comm-bouche$
dn: uid=comm-bouche$,ou=Computers,dc=materiel,dc=net
objectClass: top,inetOrgPerson,posixAccount
cn: comm-bouche$
sn: comm-bouche$
uid: comm-bouche$
uidNumber: 1011
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer

Sous Windows XP Pro, j'ai essayé de joindre le domaine à partir de la
station "COMM-BOUCHE". Un compte administrateur avec des droits pour
joindre le domaine : Administrator.
Une fois les informations du compte saisient j'ai la réponse suivante :

«The following error occurred to join the domain "DOMISYS" :
Logon failure: unknown user name or bad password.».


Si j'essaye d'intégrer la station avec le compte "bouche" qui appartient au groupe "Domain Admins" j'ai l'erreur suivante :

«The following error occurred to join the domain "DOMISYS" :
Access is denied.».


Merci de me venir en aide, toutes mes recherches sont pour l'instant
infructueuses,
David «Willou».

Mes fichiers de configuration dans les commentaires.
  • # smb.conf

    Posté par  (site web personnel) . Évalué à 1.

    # grep -v ^$ /etc/samba/smb.conf|grep -v ^#
    [global]
    workgroup = DOMISYS
    netbios name = athena
    server string = PDC (Samba %v)
    printcap name = cups
    load printers = yes
    printcap cache time = 60
    printing = cups
    printer admin = @adm
    show add printer wizard = yes
    log file = /var/log/samba/log.%m
    max log size = 50
    log level = 10
    syslog = 0
    time server = yes
    dos charset = 850
    Unix charset = ISO8859-1
    preserve case = yes
    case sensitive = no
    short preserve case = yes
    create mask = 0640
    directory mask = 0750
    nt acl support = no
    deadtime = 10
    domain logons = yes
    map to guest = bad user
    guest account = nobody
    security = user
    encrypt passwords = yes
    mangling method = hash2
    #min password length = 5
    smb passwd file = /etc/samba/smbpasswd
    enable privileges = yes
    username map = /etc/samba/smbusers
    dont descend = /proc, /dev, /etc, /lib, /lost+found, /initrd, /boot
    logon script = logon.bat
    logon drive = H:
    logon home =
    logon path =
    hosts allow = 10.
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    local master = yes
    os level = 65
    domain master = yes
    prefered master = yes
    dns proxy = no
    wins support = yes
    passdb backend = ldapsam:ldap://athena
    ldap passwd sync = yes
    ldap suffix = dc=materiel,dc=net
    ldap admin dn = uid=samba,ou=DSA,dc=materiel,dc=net
    # ldap ssl = tls start
    ldap group suffix = ou=Groups
    ldap user suffix = ou=Users
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Users
    ldap delete dn = yes
    add user script = /usr/sbin/smbldap-useradd -m "%u"
    # delete user script = /usr/sbin/smbldap-userdel "%u"
    add machine script = /usr/sbin/smbldap-useradd -w "%u"
    add group script = /usr/sbin/smbldap-groupadd -p "%g"
    # delete group script = /usr/sbin/smbldap-groupdel "%g"
    add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
    delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
    set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

    [homes]
    comment = Répertoire personne de %U, %u
    read only = no
    create mask = 0644
    directory mask = 0775
    browseable = no
    valid users = %U

    [netlogon]
    path = /home/netlogon
    browseable = no
    read only = yes

    [profiles]
    path = /home/profiles
    read only = no
    create mask = 0600
    directory mask = 0700
    browseable = no
    guest ok = yes
    profile acls = yes
    csc policy = disable
    force user = %U
    valid users = %U @"Domain Admins"

    [printers]
    comment = Network Printers
    path = /var/spool/samba
    browseable = no
    read only = yes
    guest ok = yes
    writable = no
    printable = yes
    create mode = 0700
    print command = lpr-cups -P %p -o raw %s -r # using client side printer drivers.
    lpq command = lpq -P %p
    lprm command = lprm -P %p %j
    use client driver = yes

    [print$]
    path = /var/lib/samba/printers
    browseable = yes
    write list = @adm root
    guest ok = no
    read only = yes
    create mask = 0664
    directory mask = 0775
    # inherit permissions = yes
    # Settings suitable for Winbind:
    # write list = @"Domain Admins" root
    # force group = +@"Domain Admins"

    [doc]
    path=/usr/share/doc
    public=yes
    writable=no
    read only=no
    create mask = 0750
    guest ok = Yes
    • [^] # smbldap.conf

      Posté par  (site web personnel) . Évalué à 1.

      # grep -v ^$ /etc/smbldap-tools/smbldap.conf|grep -v ^#
      SID="S-1-5-21-2139989288-483860436-2398042574"
      sambaDomain="DOMISYS"
      slaveLDAP="127.0.0.1"
      slavePort="389"
      masterLDAP="athena"
      masterPort="389"
      ldapTLS="0"
      verify="require"
      cafile="/etc/smbldap-tools/ca.pem"
      clientcert="/etc/smbldap-tools/smbldap-tools.pem"
      clientkey="/etc/smbldap-tools/smbldap-tools.key"
      suffix="dc=materiel,dc=net"
      usersdn="ou=Users,${suffix}"
      computersdn="ou=Computers,${suffix}"
      groupsdn="ou=Groups,${suffix}"
      idmapdn="ou=Users,${suffix}"
      sambaUnixIdPooldn="sambaDomainName=DOMISYS,${suffix}"
      scope="sub"
      hash_encrypt="SSHA"
      crypt_salt_format="%s"
      userLoginShell="/bin/bash"
      userHome="/home/%U"
      userGecos="System User"
      defaultUserGid="513"
      defaultComputerGid="515"
      skeletonDir="/etc/skel"
      defaultMaxPasswordAge="99"
      userSmbHome="\\ATHENA\homes\%U"
      userProfile="\\ATHENA\profiles\%U"
      userHomeDrive="Z:"
      userScript="%U.cmd"
      mailDomain="materiel.net"
      with_smbpasswd="0"
      smbpasswd="/usr/bin/smbpasswd"
      with_slappasswd="0"
      slappasswd="/usr/sbin/slappasswd"
  • # J'espère que ce qui suit t'aidera....

    Posté par  . Évalué à 2.

    Voilà la situation dans ma boîte et comment j'ai compris les choses.
    D'abord, nous n'utilisons pas d'annuaire ldap, mais je pense que le principe reste le même, quel que soit la méthode utilisée pour stocker les informations sur les comptes.
    1) Nous avons créé les comptes des machines localement pour que samba ne refuse pas de les ajouter au smb.conf :
    $ useradd -g machines -s /bin/false -d /dev/null machine$
    Il ne faut surtout pas oublier le "$" final au nom de la machine
    2) Nous avons créé les comptes machines au niveau de samba :
    $ smbpasswd -a -m machine
    3) Nous avons créé le compte des utilisateurs de samba de la même façon, sauf que dans ce cas, nous avons mis un shell et un répertoire perso, et évidement, nous n'avons ni mis le $ en fin de la première commande, ni l'option -m de la seconde.
    4) Selon la version de samba utilisée, il faut que le compte root soit créé avec la commande smbpasswd, de façon à avoir un "super utilisateur" capable d'intégrer une machine windows dans le domaine. Nous, nous l'avons fait ainsi :
    $ smbpasswd -a root
    C'est tout ce que nous avons fait sur le serveur
    Sur le poste du client (nommé "machine" dans notre exemple), nous avons demandé à joindre le domaine avec les informations ainsi créées, et ça fonctionne, en s'identifiant comme root avec le mot de passe fourni en 4.
    Si j'ai bien compris ce qui se passe, il faut fournir un compte administrateur à la machine XP pour que celle-ci aille s'identifier en tant que tel sur le serveur et valide son adhésion au domaine.
    J'espère avoir été assez clair, et que ces informations te seront utiles.
    • [^] # Re: J'espère que ce qui suit t'aidera....

      Posté par  (site web personnel) . Évalué à 1.

      Grace au fichier /etc/samba/smbusers, l'utilisateur Administrator est déclaré comme étant alias de root. Donc normalement, il ne devrait pas y avoir de soucis à ce propos.
      • [^] # Re: J'espère que ce qui suit t'aidera....

        Posté par  . Évalué à 2.

        Je ne sais pas trop comment ça fonctionne, mais regarde quand même dans les logs de samba.
        Sur notre serveur, cette manip' ne fonctionne pas. Il faut que les noms d'utilisateurs et les comptes machines soient présents dans les fichiers /etc/passord, /etc/shadow et /etc/smbusers avec les mêmes noms et les mêmes uid. Sinon, samba braille qu'il ne trouve pas la correspondance et refuse la connexion.
        Dans ton cas, il faudrait même probablement que ce soit synchro avec ton annuaire ldap.
        Voilà, en espérant que ça aide.
        P.S. : Nous avons mis comme directive log file = /var/log/samba/log.%U ce qui fait qu'on a les logs non pas par machine, mais par utilisateurs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.