Ajouter Debian 9 dans un domaine

azrt · Juillet 16, 2018, 9:40am

Bonjour,

Je souhaite ajouter un debian 9 dans un contrôleur de domaine Windows2016.

Configuration du smb.conf

server string = NomDuServeurDebian
netbios name = NomDuServeurDebian
security = ads
realm = MONDOMAINE.LOCAL
password server = AdresseIPDuDC
workgroup = mondomaine
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = yes
template homedir = /data/commun
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
winbind use default domain = yes
restrict anonymous = 2

L’intégration de la machine dans le DC se déroule bien, je vois mes groupes et utilisateur avec la commande wbinfo mais je n’arrive pas à me connecter avec les utilisateurs sur Debian.

Je modifie les fichiers

common-account

account sufficient pam_winbind.so
account required pam_unix.so

common-session
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

common-auth
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so

Après modification, aucune authentification ne fonctionne ni même le root.

Avez-vous une idée du problème ? Cela fonctionne sur une debian 7.

Merci d’avance

littlejohn75 · Juillet 16, 2018, 12:37pm

Pourrait-on voir le contenu du fichier /etc/krb5.conf ?
En particulier les entrées relatives à MONDOMAINE.LOCAL et la sortie des commandes suivantes

getent hosts   AdresseIPDuDC
getent hosts nomDuPDC.mondomaine.local

Notez aussi qu’il est particulièrement difficile de répondre à votre question lorsque les noms réels des systèmes ne sont pas dévoilés.

Je vous conseille de vérifier que vous avez des entrées dans le fichier /etc/hosts concernant les contrôleurs de domaine AD, que le nom de domaine (DNS) par défaut est bien celui défini dans AD, que vous avez installé ntp et que le les contrôleurs de domaine sont bien utilisés comme serveurs de temps dans /etc/ntp.conf, que vous pouvez obtenir des jetons kerberos :s

kinit  votreIdentifiantAD@NOMDOMAINE.LOCAL
klist

Pour le fichier /etc/samba/smb.conf voici des extraits d’une configuration opérationnelle

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = EUA
   realm = EUA.BVCORP.CORP

   kerberos  method = secrets and keytab
# server string is the equivalent of the NT Description field
   server string = %h server

# ...
# This will prevent nmbd to search for NetBIOS names through DNS.
   dns proxy = no
# ...
   security = ADS
   allow trusted domains = no

   password server = vd08frho0100001.eua.bvcorp.corp 
   encrypt passwords = true
# ...
   passdb backend = tdbsam

   obey pam restrictions = yes
# ...
   map to guest = bad user
# ...
# Some defaults for winbind (make sure you're not using the ranges
# for something else.)
;   idmap uid = 10000-20000
;   idmap gid = 10000-20000
    idmap config * : backend = tdb
    idmap config * : range = 1000000-1999999

   idmap config EUA : backend = rid
   idmap config EUA : range = 2000000-3999999

   idmap config DRHPCMSS : backend = rid
   idmap config DRHPCMSS : range = 40000-49999
   idmap config DRHPCMSS : base_rid = 0

   template homedir = /homew/%U

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Un ordinateur c’est comme un frigo : on le branche et ça marche. »
Laurent Serano Directeur informatique, réunion Délégués du Personnel 2010

azrt · Juillet 16, 2018, 12:53pm

Bonjour,

merci pour votre aide, ci-joint les informations

root@samba:~# getent hosts @IPduDC
@IPDuDC nomserveur.mondomaine.local

root@samba:~# getent hosts nomserveur.mondomaine.local
@IPDuDC nomserveur.mondomaine.local

root@samba:~# kinit administrateur@MONDOMAINE.LOCAL
Password for administrateur@MONDOMAINE.LOCAL:
root@samba:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrateur@MONDOMAINE.LOCAL

Valid starting Expires Service principal
16/07/2018 14:48:30 17/07/2018 00:48:30 krbtgt/MONDOMAINE.LOCAL@MONDOMAINE.LOCAL
renew until 17/07/2018 14:48:27

krb5

littlejohn75 · Juillet 16, 2018, 3:27pm

Donner le contenu d’un fichier texte de configuration en collant une image dans le forum, cela ne peut que ralentir les choses. D’autant plus que de toute évidence vous n’avez pas saisi les subtilités syntaxiques et sémantiques liées à cette notion de realm (domaine) kerberos.
Par convention, un domaine kerberos s’écrit tout EN MAJUSCULES, alors que pour un domaine DNS on préfère les minuscules.
Au début du fichier krb5.conf vous devriez avoir

[libdefaults]
        default_realm = MONDOMAINE.LOCAL

et dans la définition de ce realm l’attribut kdc doit être un nom de système complet (FQDN) et non pas AdresseIPDuDC et de même pour admin_server. L’utilisation de FQDN et de DNS est obligatoire.
La partie de krb5.conf devient


[realms]
        MONDOMAINE.LOCAL = {
                kdc = nomserveur.mondomaine.local
                admin_server = nomserveur.mondomaine.local
                auth_to_local_names = {
                    administrateur@MONDOMAINE.LOCAL = root
                }
        }

Je vous invite aussi à compléter le fichier /etc/hosts avec

xx.xx.xx.xx  nomserveur.mondomaine.local nomserveur

et dans smb.conf

password server = nomserveur.mondomaine.local

et dans /etc/ntp.conf

server nomserveur.mondomaine.local

Dans /etc/resolv.conf (éventuellement généré à partir d’autres sources) vous devriez trouver la recherche par défaut

search  mondomaine.local

ainsi que

nameserver xx.xx.xx.xx # IP de nomserveur.mondomaine.local

Comme vous pouvez le constater les chaînes nomserveur.mondomaine.local et MONDOMAINE.LOCAL doivent se retrouver dans un bon nombre de fichiers de configuration.

Pour votre problème initial d’authentification, cela vient vraisemblablement de votre manière de procéder : au lieu de modifier manuellement la configuration pam ce qui est des plus périlleux, il vaut mieux trouver les noms des paquets dont l’installation configurera pam pour la fonctionnalité voulue.
Le paquet libpam-winbind fournit pam-winbind qui apparaît dans vos modifications.
Je vous conseille de sauvegarder votre configuration pam et de lancer

sudo dpkg-reconfigure libpam-krb5
sudo dpkg-reconfigure libpam-winbind

Installer si ce n’est déjà fait le paquet libnss-winbind et faire les modifications dans /etc/nsswitch.confde telle sorte que des commandes comme

id administrateur

vous donne la liste des groupes auquel appartient l’utilisateur de l’AD.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

Il vaut mieux se taire et passer pour un con plutôt que de parler et de ne laisser aucun doute à ce sujet.
Pierre Desproges

azrt · Juillet 17, 2018, 7:55am

Bonjour,

Merci encore pour votre retour, j’ai ajouté sous forme d’image car je n’avais pas la possibilité de mettre sous forme texte car trop de lien et le message était refusé.

Je vais tester les modifications.

MicP · Juillet 17, 2018, 9:23am

Bonjour azrt

Pour éviter l’interprétation des lignes de texte en liens
tu pourrais formater tes blocs de texte en ajoutant

juste avant la première ligne du bloc
une ligne ne contenant que :
```text

et juste après la dernière ligne du bloc
une ligne ne contenant que :
```

ce qui, par exemple, donnera :

https://www.debian-fr.org/
https://linuxfr.org/

au lieu de :
https://www.debian-fr.org/
https://linuxfr.org/

azrt · Juillet 19, 2018, 9:07am

lorsque je tape la commande
wbinfo -u et wbinfo -g
cela m’affiche bien mes groupes et utilisateurs présent dans l’AD

Lorsque je tape la commande id mon_utilisateur, j’ai en retour id: « mon_utilisateur » : utilisateur inexistant

les utilisateurs ne sont pas remontés sur debian, je pense que le problème vient de là. Si vous savez pourquoi ?

Merci

littlejohn75 · Juillet 19, 2018, 10:15am

Cherchez du côté du paquet libnss-winbind (voir message 4)

apt-cache policy libnss-winbind
fgrep winbind /etc/nsswitch.conf
getent passwd nom_utilisateur
getent hosts nom_machine

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Un ordinateur c’est comme un frigo : on le branche et ça marche. »
Laurent Serano Directeur informatique, réunion Délégués du Personnel 2010

azrt · Juillet 20, 2018, 9:05am

Cela fonctionne, merci beaucoup pour votre aide.