Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1709 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Arkoon Authentification NT

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

Arkoon Authentification NT

n°19988
lejohnn
Posté le 05-06-2007 à 11:51:46  profilanswer
 

Bonjour,
Je suis en train de mettre en place l’authentification de type NT (domaine en 2k3R2)
J’ai créer mon serveur, les commandes sur le monitoring : wbinfo –t, -u, -g fonctionnent.
Mais dans le manager, si je fais un clic droit, importer utilisateur et groupes, il me fait : « aucun groupe et utilisateurs à importer » :(
 
Selon arkoon, cela viendrait de mon AD car le resultat de –u donne  
Amachin
Bbrruc
Bcreiu
../..
Et donc ce qui dérangerait l’utm c’est de ne pas avoir le domain/  devant le user.
 
Es-ce que quelqu'un a déjà mis en place cette soluce en R2 ?
Merci !
 

mood
Publicité
Posté le 05-06-2007 à 11:51:46  profilanswer
 

n°19991
Pims
Posté le 05-06-2007 à 12:06:02  profilanswer
 

En R2 non mais en NT4 en 2000 et en 2003 oui, y a t il un gros changement?
 
Tu as bien crée un compte d'ordinateur dans ton domaine portant le nom de ton arkoon?


Message édité par Pims le 05-06-2007 à 12:06:23
n°19995
lejohnn
Posté le 05-06-2007 à 12:22:08  profilanswer
 

je ne sais pas vraiement si'il y a un changement lors de l'export, mais c'est arkoon qui a un doute sur ca.
Pour le computer avec le nom de l'utm, oui c'est fait.
 
toi, quand tu fais le -u tu as domain/users?

n°20005
Pims
Posté le 05-06-2007 à 13:46:52  profilanswer
 

oui, par contre j'ai été obliger d'utiliser le nom netbios du domaine car j'ai eu des soucis avec le nom DNS.

n°20016
lejohnn
Posté le 05-06-2007 à 15:07:01  profilanswer
 

Haaa, pas moyen, je n'y arrive pas.
Quelque chose a changer dans la conf de samba?

n°20037
Krapaud
Modérateur
Posté le 05-06-2007 à 18:50:17  profilanswer
 

tu peux poster les SS de ta config?
 
Tu utilises quel utilisateur pour lister les comptes?

n°20042
lejohnn
Posté le 05-06-2007 à 19:36:37  profilanswer
 

j'utilise un utilisateur membre du groupe "admin du domain"
Escuse moi, mais que veux-tu dire par les "ss" de ma conf ?

n°20059
Krapaud
Modérateur
Posté le 05-06-2007 à 23:15:17  profilanswer
 

screenshot

n°20067
lejohnn
Posté le 06-06-2007 à 09:10:08  profilanswer
 

ok, voila :
http://www.mezimages.com/up/06/185800-conf.JPG
 
et la ligne la plus frustrante :
checking the trust secret via RPC calls succeeded
 
suivi de  
"Aucun groupe et utilisateur à importer."
 
Merci

n°20069
Krapaud
Modérateur
Posté le 06-06-2007 à 09:18:16  profilanswer
 

si tu vas sur ton AD et que tu supprimes le compte de ton arkoon, que tu redémarres le service winbind, as-tu tes comptes?

mood
Publicité
Posté le 06-06-2007 à 09:18:16  profilanswer
 

n°20070
SylvainDNS
Posté le 06-06-2007 à 09:54:17  profilanswer
 

de memoire c'est pas en authentification nt qu'il faut le faire
Je regarde ça ce soir

n°20071
lejohnn
Posté le 06-06-2007 à 10:00:24  profilanswer
 

je viens de supprimer un compte "Arkoon" (je n'ai pas le souvenir de l'avoir cree)
mais apres redemarrage de winbindd, et meme reinstall de la conf, le compte ne re-apparait pas.
 
en rapport avec l'utm dans l'AD, j'ai juste un compte d'ordinateur avec comme nom: MonDomaine.
Merci !

n°20072
lejohnn
Posté le 06-06-2007 à 10:05:00  profilanswer
 

SylvainDNS a écrit :

de memoire c'est pas en authentification nt qu'il faut le faire
Je regarde ça ce soir


 
oui, on peut le faire aussi en ldap, mais dans ce cas les utilisateurs doivent saisir leur login/mdp dès qu'ils veulent surfer. (en plus en claire sur le reseau)

n°20073
Pims
Posté le 06-06-2007 à 10:11:53  profilanswer
 

C'est faisable en authentification NT mais en LDAP aussi.
 
Sinon il te faut un compte aillant le nom de ton arkoon dans ton AD.
 
Après niveau sécu du domaine je me demande s'il faut pas authorisé le smb anonyme ou qqch comme ca pour permettre les requetes de l'arkoon.
 
Regarde la KB arkoon 588.

n°20074
Krapaud
Modérateur
Posté le 06-06-2007 à 10:18:18  profilanswer
 

le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
 
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
 
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
 
As-tu des GPO?
 
As-tu des infos dans le journal des évènements?

n°20077
Pims
Posté le 06-06-2007 à 10:48:50  profilanswer
 

La machine srvad1-na est le DC sur lequel il se connecte, il doit surement etre dans AD.
 
Le compte qui doit etre créé dans AD est un compte avec le hostname de l'arkoon (sans le domaine).

n°20078
Pims
Posté le 06-06-2007 à 10:50:03  profilanswer
 

de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users)

n°20081
lejohnn
Posté le 06-06-2007 à 11:23:34  profilanswer
 

le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
=> RID, Infrastructure, schema. (le reste etant sous AD2 et AD3) et il est GC.
 
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
=> en tant que user "srvad1-na"= non.
 
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
=> admin du domain,  et pre-2000
 
As-tu des GPO?
=> oui ! mais, a ma connaissance, rien qui devrait bloquer le ptit arkoon...
 
As-tu des infos dans le journal des évènements?
=> rien, c'est bien ca le pire, car pour debugger, c pas simple.
 
Merci !

n°20083
lejohnn
Posté le 06-06-2007 à 11:27:06  profilanswer
 

Pims a écrit :

de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users)


 
voui, j'ai bien suivi la KB588 :
Pour un serveur Windows 2003 :  
Aller dans l'administration des Utilisateurs et ordinateurs Active Directory  
Ajouter comme membre au groupe "Accès compatible pré-windows 2000"(groupe par défaut Active Directory) le groupe "ANONYMOUS LOGON" (groupe par défaut Windows).  
Rebooter le controleur de domaine pour que la modification soit prise en compte.  
Redémarrer le service winbindd sur l'Arkoon une fois le PDC redémarré complétement (via Arkoon Monitoring, fenêtre services).
 
Mais, tjs pas.

n°20102
Krapaud
Modérateur
Posté le 06-06-2007 à 15:17:42  profilanswer
 

Pims a écrit :

de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users)


 
Je peux te montrer X clients chez qui j'ai fait l'installation sans avoir aucunement suivi ces préconisations et ça marche très bien.
 

lejohnn a écrit :

le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
=> RID, Infrastructure, schema. (le reste etant sous AD2 et AD3) et il est GC.
 
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
=> en tant que user "srvad1-na"= non.
 
je ne parle pas de user, je parle d'un compte machine
 
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
=> admin du domain,  et pre-2000
 
As-tu des GPO?
=> oui ! mais, a ma connaissance, rien qui devrait bloquer le ptit arkoon...
 
As-tu des infos dans le journal des évènements?
=> rien, c'est bien ca le pire, car pour debugger, c pas simple.
 
Merci !


 
Si le compte machine n'est pas créé sur ton domaine, tu as un problème avec samba.
 
Tu as des infos dans /var/log/samba ?
 

n°20103
lejohnn
Posté le 06-06-2007 à 16:05:05  profilanswer
 

juste pour etre sur, le compte machine doit etre cree automatiquement par l'arkoon, et doit avoir quoi comme nom ?

n°20104
Pims
Posté le 06-06-2007 à 16:09:54  profilanswer
 

Pour moi il ne s'est jamais créé automatiquement, je l'ai toujours renseigné à la main.

n°20107
Krapaud
Modérateur
Posté le 06-06-2007 à 16:23:05  profilanswer
 

lejohnn a écrit :

juste pour etre sur, le compte machine doit etre cree automatiquement par l'arkoon, et doit avoir quoi comme nom ?


il doit avoir "srvad1-na" puisque c'est ça que tu lui as donné :D

n°20108
Krapaud
Modérateur
Posté le 06-06-2007 à 16:23:29  profilanswer
 

Pims a écrit :

Pour moi il ne s'est jamais créé automatiquement, je l'ai toujours renseigné à la main.


moi je ne l'ai jamais renseigné à la main, sauf en cas de relais LDAP et non pas de relais NT.

n°20109
lejohnn
Posté le 06-06-2007 à 16:50:14  profilanswer
 

Krapaud a écrit :

il doit avoir "srvad1-na" puisque c'est ça que tu lui as donné :D


Haaa...  :sweat:  
alors, je vais essayer de changer de nom, car sous "SRVAD1-NA" j'ai deja un compte d'ordi, forcement, c'est un Domain controller...


Message édité par lejohnn le 06-06-2007 à 16:51:27
n°20113
lejohnn
Posté le 06-06-2007 à 17:01:42  profilanswer
 

j'ai renomme le serveur d'authentification en ARKOON-NT,  
mais pas de changement, toujours pas de création sous l'AD :(
Je vais regarder si je trouve qqchose sous var/log/samba.
Merci !

n°20114
Pims
Posté le 06-06-2007 à 17:02:27  profilanswer
 

Il y a qqch qui tourne pas rond, c'est ce que je t'ai dis plus haut:  
 

Citation :

La machine srvad1-na est le DC sur lequel il se connecte, il doit surement etre dans AD.  
 
Le compte qui doit etre créé dans AD est un compte avec le hostname de l'arkoon (sans le domaine).

n°20117
lejohnn
Posté le 06-06-2007 à 17:28:29  profilanswer
 

:D  
1er pas ! j'ai bien un compte d'ordi qui se cree : "NomDLArkoon"
je l'ai supprime, relancer les services, il est revenu.
Mais il me dit toujours : "Aucun groupe et utilisateur à importer."  :cry:  
 
next step ?
merci !

n°20177
lejohnn
Posté le 07-06-2007 à 11:19:37  profilanswer
 

Krapaud a écrit :

Tu as des infos dans /var/log/samba ?


Les dernieres lignes datent de avril (date de test avec Arkoon)
Je vais chercher pour re-activer l'ecriture des logs.

n°20237
SHUM27
Posté le 08-06-2007 à 11:41:05  profilanswer
 

J'ai eu des problèmes similaires aussi ...  
 
Mon domaine : 2003 en mode natif 2000.
 
Il faut bien mettre les noms NETBIOS de ton domaine, tes users, et ton DC.. pas de "DOMAINE\User" ou DOMAINE\mon DC" ou user@domaine.fr..
 
moi c'est ce qui me bloquait l'import des comptes ..  
 
Aujourd'hui j'ai :  
domaine : "GPEM"
ordinateur : "SRV001"  
pour les comptes de jonction ou énum j'ai "administrateur"
 
Par contre a savoir, il y a un bug ...  
      j'importe les ursers AD dans l'arkoon, tout est ok,  
      je crée un nouveau user dans AD
      je lance un import sur l'Arkoon
      et la rien de nouveau.. il importe pas le nouveau compte..
 
Solution : il faut changer le compte utilisé pour l'énumération par un autre et op l'import de fait .. il faut faire de même à chaque fois..
 
voilou :)

n°20252
lejohnn
Posté le 08-06-2007 à 18:57:41  profilanswer
 

c'est bien ce que je pense faire :(
http://www.mezimages.com/up/06/185800-conf.JPG
 
il n'y pas un journal de cet import ? au moins un petit message d'erreur ?  
je crois que je vais y passer :pt1cable:

n°20253
lejohnn
Posté le 08-06-2007 à 19:29:50  profilanswer
 

cdelefil, quand tu fais wbinfo -u, ton Arkoon te repond sous quelle forme?
domain/user1
domain/user2
ou
user1
user2
Merci !
 
nb: idee en passant, jsuis en HA et vous ?

n°20260
Krapaud
Modérateur
Posté le 08-06-2007 à 23:27:00  profilanswer
 

le HA n'a rien à voir là dedans ;)

n°20421
SHUM27
Posté le 12-06-2007 à 14:16:10  profilanswer
 

lejohnn a écrit :

cdelefil, quand tu fais wbinfo -u, ton Arkoon te repond sous quelle forme?
domain/user1
domain/user2
ou
user1
user2
Merci !
 
nb: idee en passant, jsuis en HA et vous ?


 
 
Désolé pour ma réponse tardive ..  
 
Il me répond " DOMAINE\User"
 
 :hello:

n°20443
lejohnn
Posté le 12-06-2007 à 17:01:51  profilanswer
 

là, c'est la deprime :(
cdelefil, merci qd meme ! tu n'es pas en R2 ?
dois-je faire des modifications dans la conf du samba d'arkoon ??
 
... Forefront c'est bien ?  :whistle:  Monsieur Arkoon, si tu nous ecoutes...

n°20454
Krapaud
Modérateur
Posté le 12-06-2007 à 19:53:42  profilanswer
 

la modification de smb.conf est détruite au reboot de l'arkoon ;)

n°20467
SHUM27
Posté le 13-06-2007 à 09:30:02  profilanswer
 

lejohnn a écrit :

là, c'est la deprime :(
cdelefil, merci qd meme ! tu n'es pas en R2 ?
dois-je faire des modifications dans la conf du samba d'arkoon ??
 
... Forefront c'est bien ?  :whistle:  Monsieur Arkoon, si tu nous ecoutes...


 
 
Si je suis en R2. J'ai galéré comme toi mais j'ai fini pa trouver  ... mais il est vrai que leur module d'authentification NT n'est pas au point ...
 
En plus le NTLM chez moi ne fonctionne pas...

n°20471
Pims
Posté le 13-06-2007 à 09:45:40  profilanswer
 

tu as trouvé et c'était quoi alors?

n°20496
SHUM27
Posté le 13-06-2007 à 13:56:58  profilanswer
 

il fallait utiliser des noms netbios

n°20499
Pims
Posté le 13-06-2007 à 14:14:09  profilanswer
 

ok, comme je l'ai dit plus haut donc.


Message édité par Pims le 13-06-2007 à 14:14:17
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Arkoon Authentification NT

 

Sujets relatifs
Authentification clé USB Bull Trustway-API Ms-CAPI et PKCS 11securisation, authentification sur un SI
configuration Arkoon A20 [résolu]Netasq Vs Arkoon (firewall)
Authentification RADUIS sur switch CISCO 2950 
Plus de sujets relatifs à : Arkoon Authentification NT


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR