Forum Linux.redhat PDC contrôleur SAMBA : Rejet intégration client SAMBA

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
0
31
juil.
2015

Bonjour,

Je suis devant un problème bloquant depuis plusieurs jours.

Sur une Centos 6.6 est installé un contrôleur de domaine SAMBA.
Sur une seconde Centos 6.6 un client SAMBA.

J'en suis à l'étape ou je souhaite intégrer le client SAMBA (la machine donc) au domaine géré par le contrôleur SAMBA.

Voici ma configuration.

Contrôleur SAMBA :

nom : ctrl1.dom.fr
IP : 192.168.1.6

*[root@ctrl1 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.6 ctrl1 ctrl1.dom.fr
192.168.1.30 filer1 filer1.dom.fr

[root@ctrl1 ~]# cat /etc/samba/smb.conf
[global]
netbios name = ctrl1
passdb backend = tdbsam
security = domain
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null -g machines %u
unix password sync = Yes
logon drive = H:
os level = 65
log level = 4
debug level = 4
wins support = Yes
domain logons = Yes
domain master = Yes
preferred master = Yes

workgroup = SMBDOMAIN

Client SAMBA :

nom : filer1.dom.fr
IP : 192.168.1.30

[root@filer1 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.6 ctrl1 ctrl1.dom.fr
192.168.1.30 filer1 filer1.dom.fr

[root@filer1 ~]# cat /etc/samba/smb.conf
[global]
netbios name = filer1
passdb backend = tdbsam
security = domain
log level = 4
debug level = 4
wins server = 192.168.1.6
workgroup = SMBDOMAIN

Sur le SAMBA client j'exécute la commande (-d 4 = mode debug de la commande) suivante :

net join -d 4 -S ctrl1 -U root%passord

A la fin de l'exécution de la commande, j'ai le message 'Joined domain SMBDOMAIN'.

Effectivement du coté serveur (ctrl1) la base de compte passdb.tdb est bien implémentée par le compte machine SAMBA client.

[root@ctrl1 ~]# pdbedit -L
root:0:root
filer1$:500:

Le 'compte' filer1$ est bien répliqué dans la base de compte unix.

[root@ctrl1 ~]# id filer1$
uid=500(filer1$) gid=500(machines) groupes=500(machines)

Pourtant dans le fichier /var/log/messages du serveur 'ctrl1' figure les messages suivants à chaque tentative de jonction du client 'filer1'.

Jul 31 23:27:43 ctrl1 smbd[1150]: [2015/07/31 23:27:43.879074, 0] rpc_server/netlogon/srv_netlog_nt.c:976(netr_ServerAuthenticate3)
Jul 31 23:27:43 ctrl1 smbd[1150]: _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client FILER1 machine account FILER1$
Jul 31 23:27:43 ctrl1 smbd[1150]: [2015/07/31 23:27:43.880601, 0] rpcserver/netlogon/srv_netlog_nt.c:976(netr_ServerAuthenticate3)
Jul 31 23:27:43 ctrl1 smbd[1150]: _netr_ServerAuthenticate2: netlogoncreds_server_check failed. Rejecting auth request from client FILER1 machine account FILER1$

Quelqu'un à t-il une idée sur ce comportement ? Pourquoi le serveur 'ctrl1' rejette t-il la requête d'authentification du client ?

Merci

  • # Synchro heure ?

    Posté par  (site web personnel) . Évalué à 3.

    Les machines sont à l'heure ? Nfp ?

    Faux positif ? Augmenter le niveau de log ?

    Un compte utilisateur fonctionne côté client ?

    Système - Réseau - Sécurité Open Source

    • [^] # Re: Synchro heure ?

      Posté par  . Évalué à 2.

      Effectivement, ce message d'erreur est un faux positif.

      J'ai continué mes tests en créant coté serveur un utilisateur (unix et samba). Coté machine cliente (qui fait office de filer) est configuré un partage pour cet utilisateur. Depuis un poste client Windows une demande de connexion au //filer1/partage_utilisateur, après avoir rentré les credentials, de l'utilisateur fonctionne parfaitement. Les log du samba client montrent clairement la bonne communication avec le contrôleur pour valider l'authentification. De plus si je supprime l'utilisateur du contrôleur SAMBA, l'accès au partage ne fonctionne plus. La mécanique fonctionne donc parfaitement.

      Mon problème était du au fait que les services 'nmb' n'était pas démarrés sur le serveur et sur le client SAMBA. Sinon mes fichiers de configurations sont bons (peut être à optimiser ceci-dis)!

      Merci pour ta réflexion.

      • [^] # Re: Synchro heure ?

        Posté par  (site web personnel) . Évalué à 2.

        tu as vu cela ?

        _netr_ServerAuthenticate2:

        C'est cette methode qui échoue la "3" fonctionne à priori.

        Système - Réseau - Sécurité Open Source

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.