[RESOLU] Active directory et Linux

volrod · Le 04/05/2021, à 10:45

(Pour ceux cherchant une solution, tout est indiqué limite pas à pas via mes différents posts. N'hésitez pas à aller voir les docs samba pour les erreurs de type DNS)

Bonjour à tous,
J'ai fais un post il y a quelques jours pour un problème de débutant assez bénin.
Aujourd'hui, je suis face à ce que je considère comme un boss de fin, mais qui est sûrement pour vous tout aussi con à résoudre que mon problème bénin de base.
En effet, j'installe mes services samba kerberos winbind, toute la panoplie requise dans les différents tutoriels.
Je les lances, boum les services sont on, c'est la fête. J'éteins les services, je modifies les fichiers conf, je redémarres les services tout va bien.
Je dois modifier correctement le fichier /etc/krb5.conf qui ressemble à ça pour le moment, sûrement faux)
Voici aussi mon smb.conf (
puis j'essaye de faire sudo net join -u Administrateur et j'ai ce carnage
J'ai regardé en ligne, je ne vois pas quoi modifier sur mes fichiers conf.
Donc svp, à l'aide.

Dernière modification par volrod (Le 05/05/2021, à 11:15)

michel_04 · Le 04/05/2021, à 11:07

Bonjour.

volrod a écrit :

puis j'essaye de faure sudo net join -u Administrateur et j'ai ce carnage https://prnt.sc/12gwhd0

Pourquoi es-tu sur le compte root pour lancer une commande avec sudo...?

A+

volrod · Le 04/05/2021, à 11:14

Je faisais un copier coller depuis le tuto, et le gars n'était pas en root
Mais je doute que ça change quelque chose ici, c'est plus au niveau de la conf

volrod · Le 04/05/2021, à 12:44

Je pense vraiment que mon problème vient de la configuration de mon smb.conf mais je ne sais pas quelle valeur mettre pour qu'il marche mieux ..

iznobe · Le 04/05/2021, à 13:01

Bonjour , je ne sais pas mais d' apres les messages d' erreur , je dirais plutot que le probleme est qu il ne trouve pas l ' user = Administrateur

En tout cas il n ' y a acune reference a samba , ou a un quelconque fichier de conf dans les messages d' erreur .

peut etre avec une recherche sur le net " winbind enum user " , ou alors si tu as modifie des comptes utilisateurs , un fichier erroné .

quel est la commande precedent le message d' erreur ?

Dernière modification par iznobe (Le 04/05/2021, à 13:05)

volrod · Le 04/05/2021, à 13:16

nouvelle erreur ! Quand je change le nom de mon workgroup en ******, winbind refuse de se lancer. Si je laisse ******.LOCAL, c'est samba qui refuse que je me connecte

Dernière modification par cqfd93 (Le 11/05/2021, à 17:19)

volrod · Le 04/05/2021, à 13:18

Iznobe : j'ai essayé avec différents users (dont celui que j'utilise pour me connecter),
Pour les multiples erreurs " ignoring " voilà ce que ça donne quand je clean un peu mon fichier conf https://prnt.sc/12h53b0

Dernière modification par volrod (Le 04/05/2021, à 13:21)

iznobe · Le 04/05/2021, à 13:34

Dans les 2 derniers screens , l ' erreur resultante est la meme : " failed to join domain ", donc pas en rapport avec un user .
si on continue a lirel ' explication de l' erreur ce qui ne lui va pas c ' est le suffixe " .LOCAL " il dit que ca ne devrait etre que " ****** " tout court ...

Pourquoi il arrive a la conclusion que le nom de domaine est ******.LOCAL ?

Dernière modification par cqfd93 (Le 11/05/2021, à 17:19)

volrod · Le 04/05/2021, à 14:01

dans mon smb.conf, j'ai mis que workgroup = ******.LOCAL (je pense qu'il va le chercher là)
Et si je modifie ce paramètre en ne laissant que ****** (ce qu'il sous entend vouloir pour que tout fonctionne) je me retrouve avec ça https://prnt.sc/12h7a6c quand je souhaite redémarrer mes services
il y a aussi ce ADS join did not work, falling back to RPC... qui m'intrigue ..

Dernière modification par cqfd93 (Le 11/05/2021, à 17:20)

volrod · Le 04/05/2021, à 14:04

[global]

 ## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
  workgroup = ******.LOCAL
  realm = ******.local
  password server = ******.******.local
  security = ADS
  domain logons = yes
  domain master = no

voilà ce qu'il y a dans le smb.conf

[libdefaults]
        default_realm = ******.LOCAL
        clock_skew = 300
        ticket_lifetime = 24000
        default_tkt_enctypes = aes128-cts-hmac-sha1-96 rc4-hmac
        default_tgs_enctypes = aes128-cts-hmac-sha1-96  rc4-hmac
        permitted_enctypes = aes128-cts-hmac-sha1-96 rc4-hmac
        default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
        default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
        ******.LOCAL = {
                kdc = ******.******.local
                admin_server = ******.******.local
                default_domain = ******.LOCAL
        }
[domain_realm]
        .****** = ******
        ****** = ******

[login]
        krb4_convert = true
        krb4_get_tickets = false

voilà ce qu'il y a dans krb5.conf (ça peut aider peut-être)

Dernière modification par cqfd93 (Le 11/05/2021, à 17:23)

cqfd93 · Le 04/05/2021, à 14:17

Modération

Bonjour,

Pour ajouter toi-même les balises code à ton message #10 :

Cliquer sur le lien « Modifier » en bas à droite du message
Sélectionner le texte
Cliquer sur le <> de l'éditeur de message

Et tous les textes des messages précédents doivent être postés sous forme de texte entre balises code, pas d'images.

volrod · Le 04/05/2021, à 14:40

root@proxy:/var/log/samba# net join -U Administrateur
Enter Administrateur password:
Failed to join domain: Invalid configuration ("workgroup" set to '******.LOCAL', should be '******') and configuration modification was not requested
ADS join did not work, falling back to RPC...

mon erreur ..

Dernière modification par cqfd93 (Le 11/05/2021, à 17:24)

iznobe · Le 04/05/2021, à 14:41

que donne :

testparm -s

et

smbclient -L 127.0.0.1

Dernière modification par iznobe (Le 04/05/2021, à 14:42)

volrod · Le 04/05/2021, à 15:35

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).

idmap range not specified for domain '*'
ERROR: Invalid idmap range for domain *!

Server role: ROLE_DOMAIN_MEMBER

# Global parameters
[global]
        domain logons = Yes
        domain master = No
        log file = /var/log/samba/log.%m
        logging = file
        max log size = 1000
        panic action = /usr/share/samba/panic-action %d
        password server = 
        realm = ******.LOCAL
        security = ADS
        usershare allow guests = Yes
        winbind use default domain = Yes
        workgroup = ******.LOCAL
        idmap config * : backend = tdb


[homes]
        browseable = No
        comment = Home Directories
        create mask = 0700
        directory mask = 0700
        valid users = %S


[printers]
        browseable = No
        comment = All Printers
        create mask = 0700
        path = /var/spool/samba
        printable = Yes


[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

Commande introuveable pour l'autre

Dernière modification par cqfd93 (Le 11/05/2021, à 17:25)

iznobe · Le 04/05/2021, à 15:52

oui , il faut installer le paquet avant , il sert a verifier que les partages sont bien executés et prend tres peu de place

sudo apt install smbclient

par contre ca n' est pas trop normal ca :

idmap range not specified for domain '*'
ERROR: Invalid idmap range for domain *!

le nom de domain est invalide donc , je suppose qu ' il doit y avoir une syntaxe pour celui-ci et que certains caracteres ne sont pas autorisés : reference ici : https://docs.microsoft.com/fr-FR/troubl … in-site-ou

Dernière modification par iznobe (Le 04/05/2021, à 15:59)

volrod · Le 04/05/2021, à 15:57

Ok pour le nom de domaine ! Je sais bien que j'ai un problème avec ma conf, sauf que je ne sais pas dans quel cas je dois mettre juste ******, quand il faut rajouter le .local, quand il faut mettre en maj etc .. je t'avoue être perdu.
Par rapport à sa syntaxe, elle est correcte et fonctionne bien (celle de l'AD hein), ils utilisent cet AD depuis un an sans soucis, mais c'est le premier poste qu'ils essaient de mettre sur l'AD et qui est un linux, donc je pense sincérement que c'est moi qui ai merdé en tapant le fichier conf et qui ai rajouté un .local là où il fallait pas, ou une connerie du genre

 root@proxy:/var/log/samba# smbclient -L 127.0.0.1
Enter Administrateur@******.LOCAL's password:
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        print$          Disk      Printer Drivers
        IPC$            IPC       IPC Service (Samba 4.9.5-Debian)
Reconnecting with SMB1 for workgroup listing.
Anonymous login successful

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        WORKGROUP            PC_MPA_W8

Pour ta commande
Edit : attends pourquoi il voit le PC de ma collègue comme workgroup alors que je l'ai mentionné nul part ? Qu'est ce qu'il vient faire là son pc

Dernière modification par cqfd93 (Le 11/05/2021, à 17:26)

iznobe · Le 04/05/2021, à 16:05

il faut voir ca dans l ' ensemble du reseau local , ca veut dire que dans ton reseau local , tu as un ordi qui joue le role de serveur et les autres sont des clients , cc' est le fondement du partage samba incluant les ordis windows .

quelle est la topologie de ton reseau local ? combien d' ordinateurs ?
Et surtout quel est ton objectif ? , " active directory " fait reference a windows , mais veut dire bien plus de chose qu ' un simple partage samba .
si tu veux juste faire un partage samba et que l' ordi d ' ou tu passes les commandes est censé etre le serveur alors effectivement la configuration n' est pas bonne du tout .

Apres chaque changement du nom de groupe de travail , il faut relancer le service samba pour la prise en compte .

Tous les ordis ( serveur et clients ) que tu veux qui puisse interagir ensemble doivent faire partie du meme groupe de travail . les ordis windoz sont de base comme linux dans un groupe de travail nommé workgroup , si tu en change un , il faut tous les changer ( sous entendu dans un meme reseau ) .

EDIT : ok donc il y a deja un serveur AD sur le reseau local , il suffit donc de regarder le nom du groupe de travail du serveur et de mettre exactement le meme alors , tout simplement .

si il voit le PC de ta collegue , c ' est parce qu ' ils ont le meme nom de groupe de travail , c ' est d ' ailleurs indiqué dans le retour de la commande smbclient : " workgroup " et qu ' ils sont sur un meme sous reseau local .

Dernière modification par iznobe (Le 04/05/2021, à 16:15)

volrod · Le 04/05/2021, à 16:17

Dans mon entreprise, on a un active directory (windows donc) et tous nos postes sont sous windows, géré par l'AD (chaque PC est référencé, on ne peut se connecter aux différents services de ma boîte qu'avec son user, mis sur l'AD)
Le windows serveur dans sa globalité fait AD et DNS.
On a 60 Pc sous windows environ.
Je n'ai aucun mal à mettre mes PC windows dans l'AD étant donné que c'est fait pour, j'avoue avoir beaucoup plus de mal avec les fichiers confs sous linux car j'ai l'impression qu'ils changent les appellations.
Mon objectif actuel est d'avoir un proxy (squid) avec authentification pour avoir des logs qui notent nomutilisateur : url lorsqu'ils naviguent (on se met à jour car la loi nous le demande ahah)
Actuellement, j'avais réussi à avoir le proxy seul et des logs, mais je n'ai pas réussi à lier ma machine linux à mon AD.
Voilà le tuto que je suis https://doc.ubuntu-fr.org/tutoriel/comm … _directory
Je relance samba et winbind à chaque modification de fichier, que ce soit smb.conf ou krb5.conf

Edit : " EDIT : ok donc il y a deja un serveur AD sur le reseau local , il suffit donc de regarder le nom du groupe de travail du serveur et de mettre exactement le meme alors , tout simplement . "
Ok donc je pense que je mélange workgroup et domaine dans ma conf .. je galère trop

Dernière modification par volrod (Le 04/05/2021, à 16:23)

iznobe · Le 04/05/2021, à 16:42

ok , dans le tuto ils citent samba , met on voit clairement que ce n' est pas lui l ' acteur principal , c ' est winbind qui fait la com avec le AD .
au paragraphe 2 ils indiquent pourtant clairement quel doit etre le fichier de configuration de samba :

doc AD a écrit :

Éditer le fichier /etc/samba/smb.conf, et n'y mettre que le contenu suivant :
[global]
workgroup = domainead
realm = DOMAINEAD.LOCAL

donc dans workgroup , tu ne dois pas mettre " .LOCAL " seulement dans realm .

Par contre elle date un peu cette page de doc ... ubuntu vers 9.10 , wouaw ... deja 10 ans

EDIT cela dit , tu n ' as pas respecter ce qu ' ils preconisent de faire a la lettre dans le tuto , pas bien ca

Pour cette partie la , je te propose de partir sur une bonne base , j' espere que tu as sauvegarder le fichier original /etc/samba/smb.conf meme si il ne sert pas .

la bonne pratique veut que l ' on fasse comme cela pour linux :
on sauvegarde le fichier de conf par defaut avant de le modifier , generalement on utilise la commande cp , mais comme ils nous disent de virer tout pour n' y mettre que ce qu ' ils veulents on va utiliser mv , on n ' aura plus de fichier du tout du coup temporairement donc stopper les services samba et winbind avant comme il est preconisé dans la doc , puis :

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.original

ensuite il ne reste plus qu ' a copier le fichier de la doc pour le mettre en place :

sudo nano  /etc/samba/smb.conf

coller dans le fichier les lignes de la doc :

[global]
   workgroup = domainead
   realm = DOMAINEAD.LOCAL
   security = ads
   encrypt passwords = yes

   password server = dcad.domainead.local

   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes

sauvegarder et quiiter en faisant CTRL + X , O , puis entrée .

ensuite , dans ton cas c ' est plutot ce fichier qu il faut conserver comme base en cas de changement etc donc on le sauvegarde sans y apporter de changement histoire de :

sudo cp  /etc/samba/smb.conf /etc/samba/smb.conf.AD.base

Maintenant il suffit de rediter le vrai fichier de conf en remplaceant "domaineAD" par le nom de ton domaine AD .

sudo nano  /etc/samba/smb.conf

et meme principe pour sauvegarder et quitter .

une remarque : il y a de grande chance que " .LOCAL " ne soit pas ce qu ' il faut que tu y mettes , il faut certainement remplacer par le DNS local de ton reseau qui peut etre quasiement n ' importe quoi , au bon vouloir de l' admin .

Dernière modification par iznobe (Le 04/05/2021, à 17:08)

volrod · Le 04/05/2021, à 16:49

Justement j'avais trouvé aussi qu'il fallait enlever le .local, sauf que si j'enlève le .local lorsque je redémarre mes services je ne peux plus relancer smbd et winbind...
Et oui ahah, un peu vieille

iznobe · Le 04/05/2021, à 17:10

oui , mais tu as mis plein de truc qui sont du fichier par defaut qu ' il ne faut a priori pas mettre si on suit la doc , comme par exemple server role = stand alone
ca ne marchera pas avec ca , c ' est pour faire un partage de fichier en tant que serveur .

j ' ai edité mon message precedent .

Edit j ' ai trouvé ca , aussi en anglais mais qui a des liens interessants et peut etre moins vieillot :
https://wiki.samba.org/index.php/Settin … ain_Member
https://help.ubuntu.com/community/Activ … nbindHowto

Dernière modification par iznobe (Le 04/05/2021, à 17:14)

volrod · Le 04/05/2021, à 17:15

Voilà, j'ai juste modifié le fichier conf pour écrire

 workgroup = ******
  realm = ******.LOCAL
  password server = ******.******.local
  security = ads
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  winbind enum groups = yes
  winbind enum users = yes
  winbind use default domain = yes

Et je me retrouve avec

root@proxy:~# nano /etc/samba/smb.conf
root@proxy:~# service smbd start
Job for smbd.service failed because the control process exited with error code.
See "systemctl status smbd.service" and "journalctl -xe" for details.
root@proxy:~#

pour ça que je dis être perdu

Donc je rechange mon workgroup en ******.local mon realm j'ai changé en ******

Failed to join domain: Invalid configuration ("workgroup" set to '******.LOCAL', should be '******'"realm" set to '******', should be '******.local') and configuration modification was not requested

voilà l'erreur de retour, donc bon...

Dernière modification par cqfd93 (Le 11/05/2021, à 17:27)

iznobe · Le 04/05/2021, à 17:19

a ce moment là , passe les commandes qu il te dis de passer , il va t ' expliquer ( avec ces mots a lui ) ce qui ne va pas.

journalctl -xe

systemctl status smbd.service

ps : il y a peu de chance que le probleme viennent du workgroup ou du nom de domaine AD .

Dernière modification par iznobe (Le 04/05/2021, à 17:23)

volrod · Le 04/05/2021, à 17:22

En fait ces erreurs je ne les ai plus dès que je remet workgroup = ******.local ..
du coup j'ai pris l'habitude de le laisser comme ça, pour que les services puissent au moins se lancer
Bref je devais finir à 17h, je file et je reviens demain, merci à toi !

Dernière modification par cqfd93 (Le 11/05/2021, à 17:28)

iznobe · Le 04/05/2021, à 17:24

bonne soirée , a demain peut etre

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/05/2021, à 10:45

[RESOLU] Active directory et Linux

#2 Le 04/05/2021, à 11:07

Re : [RESOLU] Active directory et Linux

#3 Le 04/05/2021, à 11:14

Re : [RESOLU] Active directory et Linux

#4 Le 04/05/2021, à 12:44

Re : [RESOLU] Active directory et Linux

#5 Le 04/05/2021, à 13:01

Re : [RESOLU] Active directory et Linux

#6 Le 04/05/2021, à 13:16

Re : [RESOLU] Active directory et Linux

#7 Le 04/05/2021, à 13:18

Re : [RESOLU] Active directory et Linux

#8 Le 04/05/2021, à 13:34

Re : [RESOLU] Active directory et Linux

#9 Le 04/05/2021, à 14:01

Re : [RESOLU] Active directory et Linux

#10 Le 04/05/2021, à 14:04

Re : [RESOLU] Active directory et Linux

#11 Le 04/05/2021, à 14:17

Re : [RESOLU] Active directory et Linux

#12 Le 04/05/2021, à 14:40

Re : [RESOLU] Active directory et Linux

#13 Le 04/05/2021, à 14:41

Re : [RESOLU] Active directory et Linux

#14 Le 04/05/2021, à 15:35

Re : [RESOLU] Active directory et Linux

#15 Le 04/05/2021, à 15:52

Re : [RESOLU] Active directory et Linux

#16 Le 04/05/2021, à 15:57

Re : [RESOLU] Active directory et Linux

#17 Le 04/05/2021, à 16:05

Re : [RESOLU] Active directory et Linux

#18 Le 04/05/2021, à 16:17

Re : [RESOLU] Active directory et Linux

#19 Le 04/05/2021, à 16:42

Re : [RESOLU] Active directory et Linux

#20 Le 04/05/2021, à 16:49

Re : [RESOLU] Active directory et Linux

#21 Le 04/05/2021, à 17:10

Re : [RESOLU] Active directory et Linux

#22 Le 04/05/2021, à 17:15

Re : [RESOLU] Active directory et Linux

#23 Le 04/05/2021, à 17:19

Re : [RESOLU] Active directory et Linux

#24 Le 04/05/2021, à 17:22

Re : [RESOLU] Active directory et Linux

#25 Le 04/05/2021, à 17:24

Re : [RESOLU] Active directory et Linux

Pied de page des forums