Ubuntu-fr

Oscour

Impossible de se connecter avec compte windows sur client leger

Bonjour à tous,

voici mon problème : pour un lycée j'ai créer un serveur LTSP sous edubuntu 9.10 + un client léger HP pour faire mes essais.

le serveur LTSP qui se nomme : SRV-CL est inclus dans l'active directory d'un serveur windows qui fait aussi DHCP notament pour le client léger.

tous se passe bien, le client léger à son adresse IP assigné  par le serveur DHCP et il me présente sa fenêtre de connection correspondant au serveur LTSP.

J'ai configuré samba, bind, pam, nsswitch et kerberos à partir de ce tuto :

Comment ajouter machine ubuntu dans domaine active directory

Tout semble fonctionner mais il m'est impossible de me connecter que ce soit avec le serveur LTSP ou le client léger avec un USER de l'ACTIVE DIRECTORY . Pourtant tous les test effectués dans le tuto avec la console fonctionnent.

Je peux cependant me connecter si je créer un USER sous le serveur LTSP avec "UTILISATEURS ET GROUPES" avec un mot de passe different de celui de l'AD, MAIS JUSTEMENT EN UTILISANT LE MOT DE PASSE DE L'AD et pas celui créer avec le serveur LTSP.

En fait ça marche à moitié et le serveur LTSP va bien chercher le mot de passe dans l'AD, mais je suis obligé de lui créer un user correspondant sur le serveur LTSP et j'ai un peu plus de 1000 comptes à rentrer comme cela !!!

Donc je ne suis pas trop loin de la vérité mais j'ai du raté quelqe chose quelque part.

Au secours, quelqu'un pourrait t'il m'aider ?

Manu_Ubu

Re : Impossible de se connecter avec compte windows sur client leger

Bonjour,

quels sont les messages d'erreur dans /var/log/auth.log lors des tentatives de connexion ?

Manu

---

je ne suis pas un numéro....de licence....
je suis un pingouin libre..... :-p
Pour LTSP voir http://doc.ubuntu-fr.org/ltsp et les pages tag ltsp
Liste de diffusion https://eshu.ubuntu-eu.org/mailman/listinfo/edubuntu-fr

Oscour

Re : Impossible de se connecter avec compte windows sur client leger

Merci de me répondre Manu_Ubu, et désolé de répondre si tard je n'ai pas accès au serveur le weekend.

Donc voici deux extrait du fichier /var/log/auth.log

Le premier : l'utilisateur existe sur le serveur de client léger et je me connecte avec son mot de passe D' Active directory
___________________________________________________________________________________________________________________
Nov 15 13:34:52 srv-cl sshd[4580]: PAM unable to dlopen(/lib/security/pam_ldap.so): /lib/security/pam_ldap.so: cannot open shared object file: No such file or directory
Nov 15 13:34:52 srv-cl sshd[4580]: PAM adding faulty module: /lib/security/pam_ldap.so
Nov 15 13:34:52 srv-cl sshd[4582]: pam_winbind(sshd:auth): getting password (0x00000000)
Nov 15 13:34:52 srv-cl sshd[4582]: pam_winbind(sshd:auth): user 'pmoreno' granted access
Nov 15 13:34:52 srv-cl sshd[4580]: Accepted keyboard-interactive/pam for pmoreno from 10.134.1.111 port 60536 ssh2
Nov 15 13:34:52 srv-cl sshd[4580]: pam_unix(sshd:session): session opened for user pmoreno by (uid=0)
Nov 15 13:34:58 srv-cl sshd[4636]: subsystem request for sftp
Nov 15 13:35:00 srv-cl seahorse-daemon[4708]: init gpgme version 1.1.8
Nov 15 13:35:08 srv-cl dbus-daemon: Rejected send message, 3 matched rules; type="method_call", sender=":1.120" (uid=1005 pid=4875 comm="/usr/lib/indicator-messages/indicator-messages-ser") interface="org.freedesktop.DBus.Introspectable" member="Introspect" error name="(unset)" requested_reply=0 destination=":1.8" (uid=0 pid=828 comm="/sbin/wpa_supplicant))

___________________________________________________________________________________

Le second : l'utilisateur n'existe pas sur le serveur de client léger et je me connecte avec son mot de passe D' Active directory
___________________________________________________________________________________

Nov 15 13:43:00 srv-cl sshd[5411]: Invalid user cazoulay from 10.134.1.111
Nov 15 13:43:00 srv-cl sshd[5411]: PAM unable to dlopen(/lib/security/pam_ldap.so): /lib/security/pam_ldap.so: cannot open shared object file: No such file or directory
Nov 15 13:43:00 srv-cl sshd[5411]: PAM adding faulty module: /lib/security/pam_ldap.so
Nov 15 13:43:00 srv-cl sshd[5411]: Failed none for invalid user cazoulay from 10.134.1.111 port 55636 ssh2
Nov 15 13:43:00 srv-cl sshd[5414]: pam_winbind(sshd:auth): getting password (0x00000000)
Nov 15 13:43:00 srv-cl sshd[5414]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_WRONG_PASSWORD, Error message was: Wrong Password
Nov 15 13:43:00 srv-cl sshd[5414]: pam_winbind(sshd:auth): user 'cazoulay' denied access (incorrect password or invalid membership)
Nov 15 13:43:00 srv-cl sshd[5414]: pam_unix(sshd:auth): check pass; user unknown
Nov 15 13:43:00 srv-cl sshd[5414]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.134.1.111
Nov 15 13:43:02 srv-cl sshd[5411]: Failed keyboard-interactive/pam for invalid user cazoulay from 10.134.1.111 port 55636 ssh2
Nov 15 13:43:25 srv-cl sshd[5411]: pam_winbind(sshd:auth): getting password (0x00000000)
Nov 15 13:43:25 srv-cl sshd[5411]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_WRONG_PASSWORD, Error message was: Wrong Password
Nov 15 13:43:25 srv-cl sshd[5411]: pam_winbind(sshd:auth): user 'cazoulay' denied access (incorrect password or invalid membership)
Nov 15 13:43:25 srv-cl sshd[5411]: pam_unix(sshd:auth): check pass; user unknown
Nov 15 13:43:25 srv-cl sshd[5411]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.134.1.111
Nov 15 13:43:27 srv-cl sshd[5411]: Failed password for invalid user cazoulay from 10.134.1.111 port 55636 ssh2
__________________________________________________________________________________________________________

J'avoue que Je suis plutôt à classer dans les débutants même si je ne m'en sort pas trop mal. Et donc ci-dessus, c'est un peu du chinois pour moi.

Merci pour ton aide.

Oscour

Re : Impossible de se connecter avec compte windows sur client leger

Je viens de m'aperçevoir d'un truc :

Dans le fichier   " /etc/pam.d/common-auth"     Je viens de changer "sufficient" par "required" :

auth required pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so

et je ne peux plus me connecter avec mon utilisateur.
le client léger me dit : pmoreno@10.134.1.121   c'est à dire utilisateur@adresse_serveur_client_léger
puis il me propose de retenter le mot de passe, je le tape et il m'affiche "no response from server, restarting" et redémarre.

Mon fichier /var/log/auth.log :

______________________________________________________

Nov 15 15:43:54 srv-cl sshd[5482]: pam_winbind(sshd:auth): getting password (0x00000000)
Nov 15 15:43:54 srv-cl sshd[5482]: pam_winbind(sshd:auth): user 'pmoreno' granted access
Nov 15 15:43:54 srv-cl sshd[5482]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.134.1.111  user=pmoreno
Nov 15 15:43:57 srv-cl sshd[5480]: error: PAM: Authentication failure for pmoreno from 10.134.1.111
Nov 15 15:44:12 srv-cl sshd[5480]: pam_winbind(sshd:auth): getting password (0x00000000)
Nov 15 15:44:12 srv-cl sshd[5480]: pam_winbind(sshd:auth): user 'pmoreno' granted access
Nov 15 15:44:12 srv-cl sshd[5480]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.134.1.111  user=pmoreno
Nov 15 15:44:14 srv-cl sshd[5480]: Failed password for pmoreno from 10.134.1.111 port 44398 ssh2
Nov 15 15:44:22 srv-cl inetd[5484]: nss_ldap: could not connect to any LDAP server as cn=franck,dc=srv-pdc,dc=dialo - Can't contact LDAP server
Nov 15 15:44:22 srv-cl inetd[5484]: nss_ldap: failed to bind to LDAP server ldapi:///10.134.1.253: Can't contact LDAP server
Nov 15 15:44:22 srv-cl inetd[5484]: nss_ldap: reconnecting to LDAP server...
Nov 15 15:44:22 srv-cl inetd[5484]: nss_ldap: could not connect to any LDAP server as cn=franck,dc=srv-pdc,dc=dialo - Can't contact LDAP server
Nov 15 15:44:22 srv-cl inetd[5484]: nss_ldap: failed to bind to LDAP server ldapi:///10.134.1.253: Can't contact LDAP server
Nov 15 15:44:22 srv-cl inetd[5484]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Nov 15 15:44:23 srv-cl inetd[5484]: nss_ldap: could not connect to any LDAP server as cn=franck,dc=srv-pdc,dc=dialo - Can't contact LDAP server
Nov 15 15:44:23 srv-cl inetd[5484]: nss_ldap: failed to bind to LDAP server ldapi:///10.134.1.253: Can't contact LDAP server
Nov 15 15:44:23 srv-cl inetd[5484]: nss_ldap: could not search LDAP server - Server is unavailable

______________________________________________________

Manu_Ubu

Re : Impossible de se connecter avec compte windows sur client leger

Bonjour,

D'après les messages d'erreur j'ai l'impression que ton serveur ne se connecte pas correctement à ton MS-Windows© serveur.
Petit test à faire sur ton serveur LTSP :
D'abord que donne les commandes : sudo getent passwd pmoreno  (si pmoreno n'est connu que de l'annuaire active directory sinon utilise un autre compte)
si tu essais un : su pmoreno (ou un autre compte connu que par l'AD) que se passe t'il ?

Le truc qui m'étonne c'est que tu as des erreurs LDAP alors qu'à ma connaissance c'est Samba qui se connecte à l'AD ?

Perso je suis plus utilisateur de domaine Samba

J'ai fais il y a longtemps cette doc
http://doc.ubuntu-fr.org/tutoriel/comme … e_nt_samba mais il y a le coté Kerbéros que je ne connais pas.

Manu

---

je ne suis pas un numéro....de licence....
je suis un pingouin libre..... :-p
Pour LTSP voir http://doc.ubuntu-fr.org/ltsp et les pages tag ltsp
Liste de diffusion https://eshu.ubuntu-eu.org/mailman/listinfo/edubuntu-fr

hackensolo

Re : Impossible de se connecter avec compte windows sur client leger

Essai en rajoutant dans samba

encrypt passwords = true

Redémarre samba et winbind

Dernière modification par hackensolo (Le 17/11/2010, à 07:34)

Oscour

Re : Impossible de se connecter avec compte windows sur client leger

Merci à tous, Manu et Hacksolo, mais j'ai du faire une bêtise et je n'arrivais plus à me connecter sur le serveur de client leger, "wrong password"

Donc j'ai tous réinstallé et j'ai utilisé LIKEWISE-OPEN pour integrer mon serveur dans l'AD, j'ai un peu galéré mais au final ça MAAARCHE !!! (ou presque)

Je peux me connecter sur le serveur de CL à l'invite de connection avec un user de l'(Active directory) de cette façon : "domaine\user" . Et ça fonctionne
Ou je peux me connecter aussi avec un user du domaine (Active directory) sur mon client léger de cette façon : "user@domaine.fr" . Et ça fonctionne mais pas avec "domaine\user" et encore moins "user" .

Je suis en train de chercher une solution, si quelqu'un à la réponse ???

En attendant,  je suis un surement un gros NAZE car je pense que je n'ai jamais essayer de me connecter de la façon que je décrit plus haut !!! Donc aussi bien mon serveur était très bien configurer mais je ne rajoutez pas le nom du domaine en plus de l'utilisateur pour me connecter. Et j'ai tellement trafiquer mon serveur que je l'ai bousillé
A bon entendeur.

Alors pour ceux qui galère comme moi, voici une solution (parmi d'autres je pense) pour intégrer son serveur de client-léger à un active directory avec likewise-open et ubuntu 9.10 :

Après avoir installer votre serveur LTSP
Installé le paquet likewise-open :

sudo apt-get install likewise-open5

Ensuite joindre votre domaine de cette maniére ou example.com = votredomaine.fr et administrator = le compte d'un administrateur du domaine

sudo domainjoin-cli join example.com administrator

Vous allez saisir le mot de passe correspondant au compte administrateur.

le serveur va vous demander de redémarrer et c'est dans la poche, vous pouvez vous connecter de cette façon à l'invite du serveur : domaine\utilisateur ou de cette façon pour les clients légers utilisateur@domaine.fr .

Normalement pour éviter de saisir le nom du domaine on modifie ce fichier : /etc/samba/lwiauthd.conf   en rajoutant cette ligne :

winbind use default domain = yes

puis on redemarre le demon comme ceci :

sudo /etc/init.d/likewise-open restart

Voila, le tuto ou j'ai trouvé les info en anglais se trouve ici : LIKEWISE-OPEN

Dernière modification par Oscour (Le 19/11/2010, à 16:35)

Oscour

Re : Impossible de se connecter avec compte windows sur client leger

Ok, j'ai trouvé ce post :   http://forum.ubuntu-fr.org/viewtopic.php?pid=3506219

________________________________________________________________________________________

Moi j'utilisais la procédure Likewise-open (version 4.1) avec Ubuntu 9.10 et je n'avais pas rencontré trop de difficultés.

Je suis passé à la Ubuntu 10.04 (likewise-open version 5.1) et je ne retrouve plus le fichier /etc/samba/lwiauthd.conf.

Si quelqu'un a une idée merci.

P Sibra

___________________________________________

Salut,

il y a eu quelques changement entre 9.10 et 10.4. et notamment la version de likewise des dépôts officiels est bugguée et ne gère pas le domaine par défaut au moment de l'authentification : il faut entrer : DOMAINE\user au lien de user. C'est pour cela que dans le script ci-dessus je télécharge une version PPA de likewise et pouvoir enter juste le nom de l'utilisateur au moment de l'authentification.

___________________________________________

Et voila je suis sous ubuntu 9.10 et j'utilise likewise 5.0.3991.1
C'est peut-être pour cela que l'authentification sans le nom de domaine ne marche pas !!?