[Résolu]Samba 3.0

mariop31 · Le 27/02/2007, à 16:38

Bonjour à tous.

Grosse galère avec samba3.

Un serveur linux Debian configuré avec Samba.
Des machines daube xp sp2.

Pas de pb pour les machines daube s'accroche dans le domaine. J'obtiens "Bienvenue dans le Domaine".

Là ou ca se gatte, c'est quand j'essaye de me loguer dans le Domaine à partir des machines daube.

Voilà le message que daube me dit:

Windows ne peut pas trouver de copie serveur de votre profil itinérant et tente de vous ouvrir une session avec votre profil local. Les modifications apportées au profil ne seront pas copiées sur le serveur lorsque vous fermerez votre session. Les causes possibles de cette erreur incluent des problèmes réseau ou des droits de sécurité insuffisants. Si ce problème persiste, contactez votre administrateur réseau.

DÉTAIL - Nom de réseau introuvable.

Un truc qui fonctionne depuis peu c'est le fichier bat de netlogon.

Je ne comprends ce que ce message veut dire.
Je pense que c'est un pb de droits, mais de quel coté ( nux ou daube).
En ce qui concerne nux le répertoire profiles est à la racine avec 777 comme droits.

Ci joint mon fichier smb.conf:

=> testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[Personnel]"
Processing section "[Partage]"
Processing section "[Special]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

# Global parameters
[global]
workgroup = DOMAINE
server string = Serveur
obey pam restrictions = Yes
passdb backend = tdbsam, guest
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
name resolve order = wins host lmhosts bcast
logon script = user.bat
logon home = \\%L\profiles\%U
domain logons = Yes
os level = 95
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
panic action = /usr/share/samba/panic-action %d
admin users = root

[netlogon]
comment = Repertoires scripts
path = /netlogon
browseable = No

[profiles]
comment = Homes windows
path = /profiles
read only = No
create mask = 0777
directory mask = 0777
browseable = No

[Personnel]
comment = Votre ràƒÂ©pertoire personnel
path = /home/%u
read only = No
create mask = 0700
directory mask = 0700

[Partage]
comment = Partage
path = /home/Partage
read only = No
create mask = 0644
guest ok = Yes

[Special]
comment = RàƒÂ©pertoire special
path = /home/admin
valid users = xxx, yyyy
read only = No
create mask = 0644
guest ok = Yes

J'ai consulté un tas de doc sur google, mais je ne trouve toujours pas pourquoi.
J'ai bien modifie la clé :
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters]"requiresignorseal"= dword:00000000, avant elle avait pour valeur 00000001

Pouvez vous m'aider s'il vous plait.

Dernière modification par mariop31 (Le 02/03/2007, à 18:59)

chapi · Le 28/02/2007, à 19:39

Bonjour,

ton option "logon home = \\%L\profiles\%U" est fausse si ton dossier de profile est à la racine.

%L correspond au nom netbios du serveur et %U le nom d'utilisateur de la session (http://us1.samba.org/samba/docs/man/man … onf.5.html)

mariop31 · Le 28/02/2007, à 20:23

Merci chapi pour ta réponse.

chapi a écrit :

Bonjour,
ton option "logon home = \\%L\profiles\%U" est fausse si ton dossier de profile est à la racine.
%L correspond au nom netbios du serveur et %U le nom d'utilisateur de la session (http://us1.samba.org/samba/docs/man/man … onf.5.html)

Effectivement j'ai un peu merdé pendant deux jours avec ça, j'ai réglé ce matin ma connerie .
Celà dit j'ai été confronté à un pb de droits coté Linux, du coup le profile je l'ai collé dans /home/%u/profiles
et enfin :D:D:D:D:D:D:D ca a fonctionné.

Deux petites questions.

1) Est t' il est possible d'automatiser la manip suivante dans le fichier smb.conf ???

Manip:

Ajout des noms de machines qui pourront se connecter à samba.
Exemple "poste1".

Création d'un groupe pc : (Une seule fois)

# addgroup pc

Ajout d' un utilisateur spécial "nom de machine$" :

# adduser --ingroup pc --shell /dev/false --no-create-home --force-badname poste1$

Ajout dans /etc/samba/smbpasswd :

# smbpasswd -m -a poste1$

Bien entendu,l'inconvénient de cette méthode c'est que chaque fois qu'une nouvelle machine veut entrer dans le domaine, il faut que je fasse cette manip, c'est un peu pénible.

2) Sous daube j'avais crée un utilisateur un peu spécial, en effet il faisait parti du groupe "Opérateur de comptes". Ca m'arrangeait bien parce que je n'avais à donner le mot de passe de Administrateur aux utilisateurs pour s'accrocher la première fois dans le domaine . Cet utilisateur n'avait aucun droits sur les différents partages.

Sous nux il a fallu que je crée un mot de passe Samba pour root :

# smbpasswd -a root

D'après ce que j'ai lu sur http://www.gcolpart.com/howto/samba.php4
On doit faire cela car pour joindre les machines Windows au domaine, il faudra préciser un utilisateur qui a l'UID égal à zéro !

Ok mais je me vois mal donner aux utilisateurs ce mot de passe, en effet il donne les droits maxi.

Connais tu une soluce qui serait analogue à celle que j'utilisais sous daube???

chapi · Le 01/03/2007, à 10:04

A partitir de Samba 3.0.11 il est possible de désigner un compte ou un groupe à qui déléguer des tâches d'administration. C'est expliqué ici : http://www.samba.org/samba/docs/man/Sam … ights.html

et particulièrement ici : http://www.samba.org/samba/docs/man/Sam … l#id341486

Par exemple, pour que l'ensemble des utilisateurs du groupe "Admins du domaine" puisse joindre des machine au domaine, il faut utiliser la commande suivante en root :

net -U root rpc rights grant 'domaine_samba\Admins du domaine' SeMachineAccountPrivilege

A noter aussi qu'à partir de Windows 2000 le compte machine se créer automatiquement lors de la jonction de la machine au domaine. Donc pas besoin d'ajouter manuellement le compte machine.

mariop31 · Le 02/03/2007, à 11:18

Bonjour chapi.

Excuse moi de ne t'avoir répondu plus tôt, j'ai pas eu le temps.

Merci beaucoup à propos de ton aide.

Par contre j'y suis depuis ce matin, et j'avoue que j'ai le pain et le couteau et je n'arrive pas à manger.:P

Je m'explique:
Tu me donnes la soluce et je n'y arrive pas.

Voilà ce que je fais:
J'ai crée un user polo et un groupe polo le mot de passe est polo (comme tu vois c'est vraiment basic.
je tape la commande suivante:
=> net -U root rpc rights grant 'Domaine-POIL\polo' SeMachineAccountPrivilege
Password:le mot de passe root que j'ai crée avec la commande smbpasswd -a root
Failed to grant privileges for Domaine-POIL\polo (NT_STATUS_NO_SUCH_PRIVILEGE)

Sachant que dans mon smb.conf le nom de domaine est bien Domaine-POIL.

Je ne vois pas ou je merde.

mariop31 · Le 02/03/2007, à 18:59

mariop31 a écrit :

=> net -U root rpc rights grant 'Domaine-POIL\polo' SeMachineAccountPrivilege
Password:le mot de passe root que j'ai crée avec la commande smbpasswd -a root
Failed to grant privileges for Domaine-POIL\polo (NT_STATUS_NO_SUCH_PRIVILEGE)
Sachant que dans mon smb.conf le nom de domaine est bien Domaine-POIL.
Je ne vois pas ou je merde.

Ca y est j'ai résolu mon pb, en fait il fallait taper:

=> net -U root rpc rights grant 'DOMAIN\polo' SeMachineAccountPrivilege

Merci à toi chapi.

Ciao.
@++

chapi · Le 02/03/2007, à 21:08

de rien !

par contre, si ton domaine est Domaine-POIL, tu dois bien mettre Domaine-POIL dans la ligne de commande et non pas DOMAIN comme c'est écrit dans l'exemple. Quand tu met DOMAINE à la place de ton nom de domaine réel ça ne retourne plus d'erreur mais ça ne doit pas déléguer les droits non plus.

Je suppose que tu as bien "enable privileges = yes" dans la section générale de ton smb.conf

As tu essayé de déléguer les droits à un groupe d'utilisateur plutôt qu'à un utilisateur unique ? (tout en mettant bien sûr ton nom de domaine réel dans la commande)

mariop31 · Le 02/03/2007, à 21:32

chapi a écrit :

par contre, si ton domaine est Domaine-POIL, tu dois bien mettre Domaine-POIL dans la ligne de commande et non pas DOMAIN comme c'est écrit dans l'exemple. Quand tu met DOMAINE à la place de ton nom de domaine réel ça ne retourne plus d'erreur mais ça ne doit pas déléguer les droits non plus.

Ben je ne sais pas, mais force est de constater que ça fonctionne.

chapi a écrit :

Je suppose que tu as bien "enable privileges = yes" dans la section générale de ton smb.conf

Non effectivement je n'y ai pas pensé.

Selon toi, la commande devrait être alors ???

=> net -U root rpc rights grant 'Domaine-POIL\DOMAIN\polo' SeMachineAccountPrivilege

chapi · Le 03/03/2007, à 21:57

non, juste :

net -U root rpc rights grant 'Domaine-POIL\polo' SeMachineAccountPrivilege

La commande doit peut être être exécutée en root donc pense au sudo devant.

mariop31 · Le 04/03/2007, à 09:46

Bon ben dès lundi j'essaye.

Ciao bon week end.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 27/02/2007, à 16:38

[Résolu]Samba 3.0

#2 Le 28/02/2007, à 19:39

Re : [Résolu]Samba 3.0

#3 Le 28/02/2007, à 20:23

Re : [Résolu]Samba 3.0

#4 Le 01/03/2007, à 10:04

Re : [Résolu]Samba 3.0

#5 Le 02/03/2007, à 11:18

Re : [Résolu]Samba 3.0

#6 Le 02/03/2007, à 18:59

Re : [Résolu]Samba 3.0

#7 Le 02/03/2007, à 21:08

Re : [Résolu]Samba 3.0

#8 Le 02/03/2007, à 21:32

Re : [Résolu]Samba 3.0

#9 Le 03/03/2007, à 21:57

Re : [Résolu]Samba 3.0

#10 Le 04/03/2007, à 09:46

Re : [Résolu]Samba 3.0

Pied de page des forums