Bonjour,
Je suis en train de mettre en place l’authentification de type NT (domaine en 2k3R2)
J’ai créer mon serveur, les commandes sur le monitoring : wbinfo –t, -u, -g fonctionnent.
Mais dans le manager, si je fais un clic droit, importer utilisateur et groupes, il me fait : « aucun groupe et utilisateurs à importer »
 
Selon arkoon, cela viendrait de mon AD car le resultat de –u donne  
Amachin
Bbrruc
Bcreiu
../..
Et donc ce qui dérangerait l’utm c’est de ne pas avoir le domain/  devant le user.
 
Es-ce que quelqu'un a déjà mis en place cette soluce en R2 ?
Merci !
 

En R2 non mais en NT4 en 2000 et en 2003 oui, y a t il un gros changement?
 
Tu as bien crée un compte d'ordinateur dans ton domaine portant le nom de ton arkoon?

je ne sais pas vraiement si'il y a un changement lors de l'export, mais c'est arkoon qui a un doute sur ca.
Pour le computer avec le nom de l'utm, oui c'est fait.
 
toi, quand tu fais le -u tu as domain/users?

oui, par contre j'ai été obliger d'utiliser le nom netbios du domaine car j'ai eu des soucis avec le nom DNS.

Haaa, pas moyen, je n'y arrive pas.
Quelque chose a changer dans la conf de samba?

tu peux poster les SS de ta config?
 
Tu utilises quel utilisateur pour lister les comptes?

j'utilise un utilisateur membre du groupe "admin du domain"
Escuse moi, mais que veux-tu dire par les "ss" de ma conf ?

screenshot

ok, voila :

 
et la ligne la plus frustrante :
checking the trust secret via RPC calls succeeded
 
suivi de  
"Aucun groupe et utilisateur à importer."
 
Merci

si tu vas sur ton AD et que tu supprimes le compte de ton arkoon, que tu redémarres le service winbind, as-tu tes comptes?

de memoire c'est pas en authentification nt qu'il faut le faire
Je regarde ça ce soir

je viens de supprimer un compte "Arkoon" (je n'ai pas le souvenir de l'avoir cree)
mais apres redemarrage de winbindd, et meme reinstall de la conf, le compte ne re-apparait pas.
 
en rapport avec l'utm dans l'AD, j'ai juste un compte d'ordinateur avec comme nom: MonDomaine.
Merci !

 
oui, on peut le faire aussi en ldap, mais dans ce cas les utilisateurs doivent saisir leur login/mdp dès qu'ils veulent surfer. (en plus en claire sur le reseau)

C'est faisable en authentification NT mais en LDAP aussi.
 
Sinon il te faut un compte aillant le nom de ton arkoon dans ton AD.
 
Après niveau sécu du domaine je me demande s'il faut pas authorisé le smb anonyme ou qqch comme ca pour permettre les requetes de l'arkoon.
 
Regarde la KB arkoon 588.

le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
 
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
 
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
 
As-tu des GPO?
 
As-tu des infos dans le journal des évènements?

La machine srvad1-na est le DC sur lequel il se connecte, il doit surement etre dans AD.
 
Le compte qui doit etre créé dans AD est un compte avec le hostname de l'arkoon (sans le domaine).

de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users)

le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
=> RID, Infrastructure, schema. (le reste etant sous AD2 et AD3) et il est GC.
 
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
=> en tant que user "srvad1-na"= non.
 
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
=> admin du domain,  et pre-2000
 
As-tu des GPO?
=> oui ! mais, a ma connaissance, rien qui devrait bloquer le ptit arkoon...
 
As-tu des infos dans le journal des évènements?
=> rien, c'est bien ca le pire, car pour debugger, c pas simple.
 
Merci !

 
voui, j'ai bien suivi la KB588 :
Pour un serveur Windows 2003 :  
Aller dans l'administration des Utilisateurs et ordinateurs Active Directory  
Ajouter comme membre au groupe "Accès compatible pré-windows 2000"(groupe par défaut Active Directory) le groupe "ANONYMOUS LOGON" (groupe par défaut Windows).  
Rebooter le controleur de domaine pour que la modification soit prise en compte.  
Redémarrer le service winbindd sur l'Arkoon une fois le PDC redémarré complétement (via Arkoon Monitoring, fenêtre services).
 
Mais, tjs pas.

 
Je peux te montrer X clients chez qui j'ai fait l'installation sans avoir aucunement suivi ces préconisations et ça marche très bien.
 

 
Si le compte machine n'est pas créé sur ton domaine, tu as un problème avec samba.
 
Tu as des infos dans /var/log/samba ?
 

juste pour etre sur, le compte machine doit etre cree automatiquement par l'arkoon, et doit avoir quoi comme nom ?

Pour moi il ne s'est jamais créé automatiquement, je l'ai toujours renseigné à la main.

il doit avoir "srvad1-na" puisque c'est ça que tu lui as donné

moi je ne l'ai jamais renseigné à la main, sauf en cas de relais LDAP et non pas de relais NT.

Haaa...    
alors, je vais essayer de changer de nom, car sous "SRVAD1-NA" j'ai deja un compte d'ordi, forcement, c'est un Domain controller...

j'ai renomme le serveur d'authentification en ARKOON-NT,  
mais pas de changement, toujours pas de création sous l'AD
Je vais regarder si je trouve qqchose sous var/log/samba.
Merci !

Il y a qqch qui tourne pas rond, c'est ce que je t'ai dis plus haut:  
 

 
1er pas ! j'ai bien un compte d'ordi qui se cree : "NomDLArkoon"
je l'ai supprime, relancer les services, il est revenu.
Mais il me dit toujours : "Aucun groupe et utilisateur à importer."    
 
next step ?
merci !

Les dernieres lignes datent de avril (date de test avec Arkoon)
Je vais chercher pour re-activer l'ecriture des logs.

J'ai eu des problèmes similaires aussi ...  
 
Mon domaine : 2003 en mode natif 2000.
 
Il faut bien mettre les noms NETBIOS de ton domaine, tes users, et ton DC.. pas de "DOMAINE\User" ou DOMAINE\mon DC" ou user@domaine.fr..
 
moi c'est ce qui me bloquait l'import des comptes ..  
 
Aujourd'hui j'ai :  
domaine : "GPEM"
ordinateur : "SRV001"  
pour les comptes de jonction ou énum j'ai "administrateur"
 
Par contre a savoir, il y a un bug ...  
      j'importe les ursers AD dans l'arkoon, tout est ok,  
      je crée un nouveau user dans AD
      je lance un import sur l'Arkoon
      et la rien de nouveau.. il importe pas le nouveau compte..
 
Solution : il faut changer le compte utilisé pour l'énumération par un autre et op l'import de fait .. il faut faire de même à chaque fois..
 
voilou

c'est bien ce que je pense faire
http://www.mezimages.com/up/06/185800-conf.JPG
 
il n'y pas un journal de cet import ? au moins un petit message d'erreur ?  
je crois que je vais y passer

cdelefil, quand tu fais wbinfo -u, ton Arkoon te repond sous quelle forme?
domain/user1
domain/user2
ou
user1
user2
Merci !
 
nb: idee en passant, jsuis en HA et vous ?

le HA n'a rien à voir là dedans

 
 
Désolé pour ma réponse tardive ..  
 
Il me répond " DOMAINE\User"
 
 

là, c'est la deprime
cdelefil, merci qd meme ! tu n'es pas en R2 ?
dois-je faire des modifications dans la conf du samba d'arkoon ??
 
... Forefront c'est bien ?    Monsieur Arkoon, si tu nous ecoutes...

la modification de smb.conf est détruite au reboot de l'arkoon

 
 
Si je suis en R2. J'ai galéré comme toi mais j'ai fini pa trouver  ... mais il est vrai que leur module d'authentification NT n'est pas au point ...
 
En plus le NTLM chez moi ne fonctionne pas...

tu as trouvé et c'était quoi alors?

il fallait utiliser des noms netbios

ok, comme je l'ai dit plus haut donc.