AUTHENTIFICATION sur un serveur SME : gestion utilisateurs

Support Debian
#1

Bonsoir,

Tout ce qui est écrit ci-dessous concerne une machine DEBIAN AMD64 Wheezy Gnome.

Dans le cadre de l’authentification de ce poste client Debian sur un serveur SME wiki.contribs.org/Client_Authentication:Debian , tous les utilisateurs du serveur ont été ajoutés dans le fichier passwd de la machine Debian mais sont désactivés, c-a-d avec une étoile dans la 2e colonne.
Je suppose qu’ils ont été ajoutés dans passwd au moment de la dernière commande effectuée sur la Debian à la fin de la procédure d’authentification, soit “# net rpc join -D WORKGROUP -U admin”.

Ces utilisateurs ont été créés sur le serveur SME mais aucun n’a encore été créé sur la Debian qui n’a comme utilisateur que “utilisateur_local”.

Je les vois très bien avec la commande getent passwd mais pas avec vi ou cat.

Mais si je veux en réactiver un avec passwd -u nom_de_l_utilisateur, la réponse est “cet utilisateur n’existe pas” !

Comment faire ?

Merci et bonne soirée.

#2

Bonsoir,

Comment ont été créés les users ?
Que donne la commande

id <user>

A+

#3

Salut,

Comment ?

Émanant de ?

#4

Bonjour,
Merci pour votre intérêt.

@jelopo

Tous ces utilisateurs désactivés ont été créés sur le serveur SME mais aucun n’a encore été créé sur la Debian qui n’a comme utilisateur que utilisateur_local.

[quote]Que donne la commande
Code:
id [/quote]
la commande id gieres donne :
uid=10001(gieres) gid=10001(WORKGROUP) groupes=10001(WORKGROUP),10003(domain users),10002(grenoble)

@BelZéButh

[quote]les utilisateurs […] désactivés
Comment ?[/quote]
Je ne sais pas. La seule commande de la procédure d’authentification qui peut importer ces utilisateurs et les désactiver est à mon avis la dernière :

net rpc join -D WORKGROUP -U admin

[quote]cad avec une étoile dans la 2e colonne
Émanant de ?[/quote]
Quand je veux créer l’utilisateur gieres dans la Debian fraîchement installée, la réponse est que l’utilisateur existe déjà. Quand je le cherche avec cat /etc/passwd, on ne le voit pas. Quand on fait getent /etc/passwd, tous les utilisateurs créés sur le serveur SME sont visibles en bas du tableau et, par exemple pour gieres, on a :
gieres:*:10001:10003:WORKGROUP:/home/WORKGROUP/gieres:/bin/bash

Je crois que l’étoile dans la 2e colonne signifie que le compte est verrouillé.

#5

Salut,

[quote=“gieres”]La seule commande de la procédure d’authentification qui peut importer ces utilisateurs et les désactiver est à mon avis la dernière :

net rpc join -D WORKGROUP -U admin[/quote]

Je ne connais pas, cela doit être propre à SME (parles tu de SME Server ?) je suppose.

Où cherches tu ?
SME, n’a t-il pas ses propres services et fichiers …

[quote=“gieres”]Quand on fait [mono]getent passwd[/mono], tous les utilisateurs créés sur le serveur SME sont visibles en bas du tableau et, par exemple pour gieres, on a :

Ce group est-il présent ?

C’est juste.

4.1. Authentification normale d’UNIX

[quote]Tableau 4.2. Contenu de la seconde entrée de « /etc/passwd »

contenu signification

(vide) compte sans mot de passe
x le mot de passe chiffré se trouve dans « /etc/shadow »

  •       ce compte ne peut pas se connecter

! ce compte ne peut pas se connecter
[/quote]

Quel est le status du compte.

~ # passwd -S gieres ~ # getent shadow gieres

PS : [mono]$ man passwd[/mono]

[quote]-S, --status

Afficher l’état d’un compte. Cet état est constitué de 7 champs. Le premier champ est le nom du compte.

Le second champ indique si le mot de passe est bloqué (L), n’a pas de mot de passe (NP) ou a un mot de passe utilisable §.

Le troisième champ donne la date de dernière modification du mot de passe. Les quatre champs suivants sont : la durée minimum avant modification, la durée maximum de validité, la durée d’avertissement, et la durée d’inactivité autorisée pour le mot de passe.

Les durées sont exprimées en jours.[/quote]

#6

Bonjour,

Merci pour ton appui.

[quote]# net rpc join -D WORKGROUP -U admin
Je ne connais pas, cela doit être propre à SME (parles tu de SME Server ?) je suppose.[/quote]

Non, je ne pense pas, c’est une commande saisie dans la Debian.

[quote] Quand je le cherche avec cat /etc/passwd, on ne le voit pas
Où cherches tu ?
SME, n’a t-il pas ses propres services et fichiers …[/quote]

Je suis toujours dans la Debian en cause.

[quote]gieres:*:10001:10003:WORKGROUP:/home/WORKGROUP/gieres:/bin/bash
Ce group est-il présent ?
Code:
:~$ getent group WORKGROUP[/quote]

la commande getent group WORKGROUP renvoie :
WORKGROUP:x:10001:gieres

[quote]gieres:*:10001:10003:WORKGROUP:/home/WORKGROUP/gieres:/bin/bash
Ce group est-il présent ?
Code:
~ # passwd -S gieres
:~# getent group WORKGROUP[/quote]

passwd -S gieres donne : gieres L

passwd -u gieres donne : l’utilisateur “gieres” n’existe pas dans /etc/passwd

getent shadow gieres donne : rien.

Les droits du fichier passwd sont rw-r–r-- 1 root root

#7

Au fait, comment as-tu procédé ?

[quote=“gieres”]
[mono]# passwd -S gieres donne : gieres L

passwd -u gieres donne : l’utilisateur “gieres” n’existe pas dans /etc/passwd

getent shadow gieres donne : rien.[/mono][/quote]

Les fichiers (aussi) [mono]/etc/shadow[/mono], [mono]/etc/gshadow[/mono] et [mono]/etc/group[/mono] en sont-ils informés/modifiés en conséquence ?

Dans ces conditions, il me paraît impossible de réactiver un compte sans mot de passe enregistrer/déclarer, en lieu et place … non ?

* edit *

Est-il utile de faire une copie de sauvegarde (avant toute manipulation) de ces quatre fichiers hyper sensibles ?

* edit-1 *

Ont-ils un [mono]/home/WORKGROUP/trucmuche[/mono] sur le serveur SME, en sera t-il de même sur Debian …

#8

Bonsoir,

[quote] tous les utilisateurs du serveur ont été ajoutés dans le fichier passwd de la machine Debian
Au fait, comment as-tu procédé ?[/quote]

Je n’ai rien fait ! Je suppose que c’est la commande précitée qui l’a fait :

net rpc join -D WORKGROUP -U admin

shadow et gshadow ne semblent pas avoir subi de modifications.
group, oui : il y a tous les groupes du serveur SME.

Je n’ai aucune idée de ce qu’il faut faire !!

Mais merci quand même.

#9

[quote=“gieres”]shadow et gshadow ne semblent pas avoir subi de modifications.

[…]

Je n’ai aucune idée de ce qu’il faut faire !!
[/quote]

Justement, ne faudrait-il pas les renseignés/modifiés en conséquence … (?)

#10

Je ne vais pas reprendre tout le cours du fil, ce fil est déjà beaucoup trop long.

La différence entre
[mono]vi passwd[/mono] ou [mono]cat passwd[/mono]
et
[mono]getent passwd[/mono]
est que getent lit /etc/nsswitch.conf alors que cat et vi lisent un fichier appelé passwd (/etc/passwd si $PWD=/etc).

Pour getent, passwd n’est pas le fichier en entrée, passwd est une option.

$ man getent

passwd When no key is provided, use setpwent(3), getpwent(3), and endpwent(3) to enumerate the passwd database. When one or more key arguments are provided, pass each numeric key to getpwuid(3) and each nonnumeric key to getpwnam(3) and display the result.

[quote]
Open and edit /etc/nsswitch.conf (change these lines where necessary)

passwd: files winbind
group: files winbind
shadow: compat
hosts: files dns wins
networks: files[/quote]

À travers ta volonté de recouper /etc/passwd, nous dirions que tu n’as pas saisi le sens du tuto suivi …
Le but des opérations est de rendre l’authentication indépendante du schéma debian classique basée sur /etc/passwd :
il n’y a pas besoin que les utilisateurs soient des utilisateurs recensés en /etc/passwd. Au contraire, il serait plus net que les utilisateurs concernés ne soient pas inscrits.

[Authentication]
security = domain
invalid users = root
unix password sync = no

#11

9 posts te procèdes, un sujet en libre d’accès, un peu facile, après coup …

PS : dans le même temps, cela évite bien entendu de poser des questions basiques (voir à la c**) pour qui cherche à comprendre/(?) …

* edit *

Balances moi ton speech, si le cœur tant dit.

#12

9 posts te procèdes, un sujet en libre d’accès, un peu facile, après coup …

PS : dans le même temps, cela évite bien entendu de poser des questions basiques (voir à la c**) pour qui cherche à comprendre/(?) …[/quote]

voir à la c**? Où devrions-nous VOIR à la c** ? Où VOIR ces questions basiques VOIRE à la con ? Nous devrions VOIR dans la lucarne VOIRE dans le miroir ?
VOIR VOIR, croire VOIR VOIRE …
%s/voir/voire
Voir, video, vision
Voir voire : fr.wiktionary.org/wiki/voire

[quote]
Étymologie

(Siècle à préciser) Du latin vera, pluriel neutre pris adverbialement de verus (« vrai », « juste »).

Adverbe

voire /vwaʁ/ invariable

Et même, et aussi. [/quote]

Je n’ai pas répondu plus tôt non par rétention d’information mais parce que je ne me suis pas foulé à lire le tuto ni le manuel de getent plus tôt, et qu’en général (pas toujours, il est vrai) quand je ne sais pas je me la ferme …
La réponse aurait pu être donnée tout de suite après le premier message par un quelconque vaillant lecteur précoce qui se serait donné la peine de lire le tuto donné en lien.

#13

Ancré. Trop, facile …

Pareillement.

Tu étais, aux abonnés absents …

#14

Bonjour,

Puisque getent va sur nsswitch, j’ai déconnecté la Debian du LAN et rebooté.
Quand on lance getent passwd, on constate qu’on n’a plus les utilisateurs du serveur. J’ai donc pu créer le groupe WORKGROUP et l’utilisateur gieres sans problème.
Après reconnexion, l’utilisateur gieres a pu se connecter au serveur sans problème.

Merci à etxeberrizahar.