Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1776 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  samba security = ads : pb /home/$user

 

 

 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

samba security = ads : pb /home/$user

n°1015675
Rocks
HTTP 418
Posté le 27-02-2008 à 18:37:37  profilanswer
 

Hello,
 
J'ai monté un serveur samba membre d'un domaine active directory et j'ai un souci avec les home des utilisateurs.
 
Voici la conf samba :


[ global ]
   workgroup = DOM
   server string = %h
   dns proxy = no
   security = ads
   realm = DOM.CHEZMOI.FR
   allow trusted domains = no
   password server = srv.dom.chezmoi.fr
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   idmap backend = tdb
   template shell = /bin/false
   template homedir = /home/%U
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
   load printers = no
   socket options = TCP_NODELAY
[ test_smb ]
   comment = Test integration ADS
   browseable = yes
   writable = no
   path = /tmp/test_smb
[ homes ]
   comment = Home Directories
   browseable = no
   writable = yes
   create mask = 0700
   directory mask = 0700
   valid users = %S


et la conf de kerberos :


[ libdefaults ]
 default_realm = DOM.CHEZMOI.FR
 dns_lookup_kdc = true
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true
 default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
 default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
 preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
 v4_instance_resolve = false
 v4_name_convert = {
  host = {
   rcmd = host
   ftp = ftp
  }
  plain = {
   something = something-else
  }
 }
 fcc-mit-ticketflags = true
[ realms ]
 DOM.CHEZMOI.FR = {
  kdc = srv.dom.chezmoi.fr
  kdc = srv2.dom.chezmoi.fr
  admin_server = srv.dom.chezmoi.fr
 }
[ domain_realm ]
 .dom.chezmoi.fr = DOM.CHEZMOI.FR
 dom.chezmoi.fr = DOM.CHEZMOI.FR
[ login ]
 krb4_convert = true
 krb4_get_tickets = false


kerberos semble bien configuré puisque je peux faire un kinit avec n'importe quel user du domaine, tel que admin :


smb:~# kinit Administrateur
Password for Administrateur@DOM.CHEZMOI.FR:  
smb:~#  


 
La synchro ntp se fait bien sur le contrôleur de domaine srv.dom.chezmoi.fr.
Le join s'est bien passé :


smb:~# net ads testjoin
Join is OK


 
À priori winbindd est bien configuré :


smb:~# wbinfo -p
Ping to winbindd succeeded on fd 4
smb:~# wbinfo -t
checking the trust secret via RPC calls succeeded
smb:~# wbinfo -a "DOM\toto%password"
plaintext password authentication succeeded
challenge/response password authentication succeeded


et wbinfo -u et -g me donnent bien la liste des utilisateurs et groupes du domaine, bien que la liste mette quelques (longues) secondes à s'afficher (un problème de timeout/config ou  c'est normal?)
 
Je peux faire un getent passwd "DOM\toto", il me renvoie les bonnes valeurs et je peux me connecter sur les partages du serveur racine du domaine en utilisant smbclient //srv/partage -U toto - W DOM après avoir fait un kinit toto.
 
Cependant, toto, utilisateur du domaine, connecté un un poste membre du domaine, voit bien les partages de mon serveur samba, à savoir test_smb et son home mais ne peut accèder que à test_smb (pas de mot de passe demandé). Quand il vaut accéder à son home, une fenêtre s'ouvre demandant le nom d'utilisateur et le mot de passe. J'en déduis qu'il y a un problème au niveau de la récupération du ticket kerberos créé à l'ouverture de session mais je ne vois pas où est l'erreur dans ma config qui cause cette erreur.
Quelqu'un aurait une idée sur le sujet? Ça serait super cool ;)  
Merci.
 
a+


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.
mood
Publicité
Posté le 27-02-2008 à 18:37:37  profilanswer
 

n°1050946
Drwily
Mad Doctor !
Posté le 13-06-2008 à 11:11:03  profilanswer
 

Même problème chez moi. As-tu trouvé une solution ?

n°1082330
Rocks
HTTP 418
Posté le 17-10-2008 à 09:15:19  profilanswer
 

Nope et je n'ai malheureusement pas le temps de travailler dessus en ce moment :(


---------------
J'ai cherché à chercher mais je n'ai rien pu trouver et pourtant, j'avais trouvé.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  samba security = ads : pb /home/$user

 

Sujets relatifs
se logger sur Mac OS X avec un home exporte par un serveur de fichier[RÉSOLU] coment root lance un programme sous l'identité d'un user
Problème d'USB en user, je donne ma langue au chatopera user agent
Samba : Serveur PDC : impossible de s'authentifierProbleme d'authentification des user avec postfix, mysql et courier
[proftpd+samba] Téléchargement ftp impossibleSamba / droits fichiers
Scripts de démarrage avec samba en pdcProbleme connexion user
Plus de sujets relatifs à : samba security = ads : pb /home/$user


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR