Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 28/07/2015, à 10:17

HPIR40

Probleme avec Openpbis

Bonjour

Je suis en train de deployer 14.04LTS en utilisant un domaine active directory. En local sur mon réseau cela fonctionne parfairtement, l'ouerture de session sur les PC ne pose aucun problème.

La ou cela se corse, c'est sur mon réseau distant sur Paris. L'installation de Ubuntu pas de soucis, la mise sur le domaine pas de soucis, mais impossible d'ouvrir une session sur les ubuntu 14.04LTS.

Le repertoire /home/user se crée bien, mais l'ecran de connexion indique "mauvais mot de passe"

Pensant à un probleme de mot de passe, j'ai reinitilisé celui ci, l'ecran de connexion demande bien à l'uilisateur de changer son mot de passe et la rebelotte, impossible de se connecter

Par contre sur le même réseau, l'utilisateur peut se connecter sans soucis sur un PC windows 7 via son login/mdp du domaine.

J'ai essayé de débuguer openpbis:

   

    Make Sure You Are Joined to the Domain
    /opt/pbis/bin/domainjoin-cli query
    Name = chou-l64
    Domain = mydomain.LAN
    Distinguished Name = CN=CHOU-L64,CN=Computers,DC=mydomain,DC=lan
    

Donc là c'est OK

   

    Check Whether You Are Using a Valid Logon Form
    MYDOMAIN\username
    

La pas de soucis il répond bien

   

    Clear the Cache
    /opt/pbis/bin/ad-cache --delete-all
    

Pas de soucis

   

    Check the Status of the PBIS Authentication Service
    /opt/pbis/bin/lwsm status lsass
    running (container: 1436)
    

Il tourne bien

   

    Check Communication between the PBIS Service and AD
    /opt/pbis/bin/get-dc-name mydomain.lan

    Printing LWNET_DC_INFO fields:
    ===============================
    dwDomainControllerAddressType = 24
    dwFlags = 312
    dwVersion = 5
    wLMToken = 65535
    wNTToken = 65535
    pszDomainControllerName = robinson.mydomain.lan
    pszDomainControllerAddress = 172.16.0.253
    pucDomainGUID(hex) = 21 40 5F 7F EB EA 19 4E 8E 42 0E 13 96 19 AF EB 
    pszNetBIOSDomainName = MYDOMAIN
    pszFullyQualifiedDomainName = mydomain.lan
    pszDnsForestName = mydomain.lan
    pszDCSiteName = Lyon
    pszClientSiteName = Paris
    pszNetBIOSHostName = ROBINSON
    pszUserName = <EMPTY>
    

Ils communiquent bien

   

    Verify that PBIS Can Find a User in AD
    /opt/pbis/bin/find-user-by-name MYDOMAIN.lan\\dupond
    User info (Level-0):
    ====================
    Name:              dupond
    SID:               S-1-5-21-545202174-1067577326-598125351-6851
    Uid:               1657281219
    Gid:               1657274881
    Gecos:             dupond dupond
    Shell:             /bin/bash
    Home dir:          /home/dupond
    Logon restriction: NO

    /opt/pbis/bin/find-user-by-name mydomain.lan\\admindupont
    User info (Level-0):
    ====================
    Name:              admindupont
    SID:               S-1-5-21-545202174-1067577326-598125351-6830
    Uid:               1657281198
    Gid:               1657274881
    Gecos:             Administrateur dupont
    Shell:             /bin/bash
    Home dir:          /home/admindupont
    Logon restriction: NO
    

Il trouve bien les users du moment qu'ils ont un répertoire dans /home, si ils n'ont pas de répertoire dans /home il ne les trouve pas !!

   

    Make Sure the AD Authentication Provider Is Running

    /opt/pbis/bin/get-status
    LSA Server Status:

    Compiled daemon version: 8.3.0.3287
    Packaged product version: 8.3.3287.68880
    Uptime:        0 days 1 hours 47 minutes 43 seconds

    [Authentication provider: lsa-activedirectory-provider]

        Status:        Online
        Mode:          Un-provisioned
        Domain:        MYDOMAIN.LAN
        Domain SID:    S-1-5-21-545202174-1067577326-598125351
        Forest:        mydomain.lan
        Site:          Lyon
        Online check interval:  300 seconds
        [Trusted Domains: 1]

        [Domain: MYDOMAIN]

                DNS Domain:       mydomain.lan
                Netbios name:     MYDOMAIN
                Forest name:      mydomain.lan
                Trustee DNS name: 
                Client site name: Paris
                Domain SID:       S-1-5-21-545202174-1067577326-598125351
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x001d]
                                  [0x0001 - In forest]
                                  [0x0004 - Tree root]
                                  [0x0008 - Primary]
                                  [0x0010 - Native]
                Trust type:       Up Level
                Trust Attributes: [0x0000]
                Trust Direction:  Primary Domain
                Trust Mode:       In my forest Trust (MFT)
                Domain flags:     [0x0003]
                                  [0x0001 - Primary]
                                  [0x0002 - Offline]

                [Domain Controller (DC) Information]

                        DC Name:              robinson.mydomain.lan
                        DC Address:           172.16.0.253
                        DC Site:              Lyon
                        DC Flags:             [0x00000138]
                        DC Is PDC:            no
                        DC is time server:    no
                        DC has writeable DS:  yes
                        DC is Global Catalog: no
                        DC is running KDC:    yes
    

Oui il tourne

   

    Run the id Command to Check the User
    id mydomain.lan\\dupond
    uid=1657281219(dupond) gid=1657274881(utilisa.^du^domaine groupes=1657274881(utilisa.^du^domaine)
    

ID fonctionne

   

    /etc/nsswitch.conf
    passwd:         compat lsass
    group:          compat lsass
    shadow:         compat
    hosts:          files dns
    networks:       files
    protocols:      db files
    services:       db files
    ethers:         db files
    rpc:            db files
    netgroup:       nis
    

   

    /etc/pam.d/less common-session

    session [default=1]                     pam_permit.so
    session requisite                       pam_deny.so
    session required                        pam_permit.so
    session optional        pam_umask.so
    session required        pam_unix.so 
    session [success=ok default=ignore]     pam_lsass.so 
    session optional        pam_mount.so 
    session optional        pam_systemd.so 
    session optional                        pam_ck_connector.so nox11
    

Voila les erreurs trouvé dans  /var/log/auth.log:

    Jul 23 15:22:26 chou-l64 login[1728]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:dupond][error code:40355]
    Jul 23 15:22:29 chou-l64 login[1728]: FAILED LOGIN (1) on '/dev/tty1' FOR 'dupond', Authentication failure
    Jul 23 15:24:25 chou-l64 sshd[11898]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:dupond][error code:40355]
    Jul 23 15:24:26 chou-l64 sshd[11896]: error: PAM: Authentication failure for dupond from localhost
    Jul 23 15:24:34 chou-l64 sshd[11919]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:dupond][error code:40355]
    Jul 23 15:24:39 chou-l64 sshd[11922]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:dupond][error code:40022]
    Jul 23 15:24:41 chou-l64 sshd[11896]: message repeated 2 times: [ error: PAM: Authentication failure for dupond from localhost]
    Jul 23 15:24:50 chou-l64 sshd[11896]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:dupond][error code:40022]
    Jul 23 15:24:52 chou-l64 sshd[11896]: Failed password for dupond from 127.0.0.1 port 39657 ssh2
    Jul 23 15:24:58 chou-l64 sshd[11896]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:dupond][error code:40355]
    Jul 23 15:25:01 chou-l64 sshd[11896]: Failed password for dupond from 127.0.0.1 port 39657 ssh2

Mais je ne sais pas comment résoudre ce problème

Pouvez vous m'aider?

Par avance merci

Dernière modification par HPIR40 (Le 28/07/2015, à 10:28)

Hors ligne

#2 Le 21/10/2015, à 15:54

HPIR40

Re : Probleme avec Openpbis

Bon je donne quand même des news

le vpn entre les deux sites a été modifié (on est passé d'une gestion via openvpn sur des serveurs vieillissants,  a une gestion via boitier utm), ca fonctionne du feu de dieu, et maintenant tous les Ubuntu 14.04LTS sont sous AD sans aucun soucis de connexion.

Je pense que mon problème venait justement de la connexion VPN qui n'était plus très fiable, je ne vois pas d'autres causes vu que c'est la seule modification majeure du dernier mois.

Hors ligne

#3 Le 18/01/2016, à 11:59

gnoomnet

Re : Probleme avec Openpbis

bonjour,

globalement, ca marche bien... mais j'ai quand même un soucis récurrent...

lorsque je me connecte pour la premiere fois sur un poste, je dois saisir plusieurs fois mes identifiants pour que ca passe. dans le syslog, on peut lire "error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH,"

ce qui n'arrive jamais sur celui que j'utilise au quotidien ...

autre chose, pour répondre à des besoins du type "profil itinérant, j'utilise rsync en complément du montage automatique de dossiers sur le serveur en NTFS. j'avais tenté le montage direct du home mais ca marche pas à cause des liens symboliques dans certaines dossiers et du bureau. Dommage ca aurait été simple de faire comme du NIS.

quelqu'un a une idée ?

merci

seb

Hors ligne

#4 Le 18/01/2016, à 20:07

HPIR40

Re : Probleme avec Openpbis

ca ressemble a un probleme avec la config samba, donc à tester:

https://www.thogan.com/blog/likewise-ad … ry-7-days/

Hors ligne