Changer mot de passe AD depuis une debian

Support Debian
#1

Bonjour tout le monde,
je suis nouveau sur ce forum, après plusieurs jours de recherche sur le net je n’ai pas trouvé mon bonheur et je me tourne donc vers vous.

Etant étudiant en informatique je suis actuellement en stage et je rencontre en quelque sorte un problème.
Il m’a était demandé d’installer windows server2008 + authentification AD sur un parc informatique Debian5.
Tout fonctionne comme il faut après configuration de kerberos et samba, la machine debian se connecte bien sur le réseau avec les identifiants et mdp d’active directory.

Mon problème est le suivant :
Il m’est demandé que chaque utilisateur se connectant au réseau doit changer son mot de passe AD à la première connexion ou le changer quand il le souhaite (pas encore définit par mon maître de stage, mais l’utilisateur devra d’une manière ou d’une autre changer son mot de passe).
Or quand je coche la case, suite à la création d’un compte AD “changer le mot de passe à la première connexion”, lorsque l’utilisateur souhaite s’identifier sur une Debian du parc informatique l’authentification marche et il est bien demandé à l’utilisateur de changer son mot de passe mais lorsque celui-ci valide le nouveau mot de passe une erreur d’authentification de jetons apparaît.

Même chose lorsque que je souhaite changer le mot de passe avec la commande passwd.
Il semblerait qu’un problème de jetons empêche le paramétrage des mot de passe.

J’espère avoir était clair, quelqu’un peut’il m’éclairer? Une partie d’entre vous détestes surement le fait d’utiliser une authentification windows avec du linux mais ce n’est pas mon choix!!!

N’ayant pas le matériel sous les yeux je serais en mesure de vous fournir des imprime écran des erreurs demain si vous le souhaitez.

En attente de vos nouvelles, merci de votre aide.

#2

Question bête est certainement “hors de propos”…( :blush: )
Les utilisateurs ont bien le droit de changer leur mot de passe sur le “serveur” windo*? :unamused: (et avec un client windo*, tu arrives à changer de mot de passe? …)

:006

#3

Merci de ta réponse.
Je viens de vérifier à l’instant, l’utilisateur peut changer son mot de passe et on lui demande de le faire à la première connexion.

Test sur windows 7 : cela fonctionne, l’authentification marche, windows demande à l’utilisateur de changer son mot de passe, l’utilisateur valide et windows prend en compte le nouveau mot de passe.

Test debian5 : l’authentification marche, debian détecte bien qu’il faut changer le mot de passe à la première connexion mais une fois le nouveau mot de passe saisie et validé l’erreur suivante apparaît “l’authentification de jeton à échoué”.

Je ne sait vraiment pas par où commencer car je ne trouve rien sur le net pour l’instant je continu mais recherche.

#4

Je regarderais dans les supports de formation (=“cours”) que j’ai sur 2008 si je trouve quelque chose (mais pour l’instant je ne peux pas… :confused: je ne suis pas là où ils sont… :unamused: )

Du coté Debian, tout ce qui est “résolution DNS” marche correctement? (c’est encore une question pour épurer les "possibilités… :wink: )

Tu as des retours d’erreurs dans les “journaux” système du serveur 2008? (journaux est un bien grand mot… je te l’accorde… :mrgreen: :005 :mrgreen: … quoique je me suis laissé dire que sous 2008 ils étaient plus “complets”… :unamused: … mais je n’en ai pas encore sous la main pour vérifier… (quelle chance!!! :005 ))

:006

#5

tout ce qui est résolution DNS marche bien, d’après server2008 l’observateur d’évènements ne constate aucune erreur au niveau de l’authentification, pour lui tout ce passe bien…

L’erreur d’authentification pourrait elle venir de samba? ou PAM?
car si je comprend bien c’est samba qui fait la relation entre debian et AD donc en toute logique samba doit transmettre le mot de passe à AD et je pense que c’est à cette endroit que cela coince…

#6

[quote=“zouakan”]Même chose lorsque que je souhaite changer le mot de passe avec la commande passwd.[/quote]ça m’avait échappé ça… :unamused: … pour changer un mot de passe via samba, de mémoire (et je n’en suis pas à 100% sûr… :blush: ) c’est smbpwd (ou smbpassword ou… je ne me souviens plus de la commande exacte mais c’est smbkekchoz’) plutôt… nan?

Promis… je jetterai un oeil sur ce que j’ai … il me semble avoir vu passer quelque chose sur l’intégration de postes GNU/Linux avec un 2008…

:006

#7

voilà ce que je constate après avoir fouillé dans les logs (/var/log/auth.log)

pam_winbind(gdm:auth): request failed :Must change password, PAM error was Le jeton d’authentification n’est plus valide; un nouveau jeton est requis (12), NT error was NT_STATUS_PASSWORD_MUST_CHANGE

En ce qui concerne la commande que vous m’avez conseillé : smbpasswd
voici l’erreur que j’obtient : failed to change passwd for …
après plusieurs recherches je constate que dans le fichier /etc/passwd aucun utilisateur de AD n’y est renseigné c’est pour cela que la commande passwd ne fonctionne pas pour les utilisateurs AD pour les autres elles fonctionnent.

Je ne sais plus trop vers où chercher…

#8

Bon ben désolé… :confused: … j’ai jeté un oeil à mes supports de formation sur 2008, pas de trace d’intégration d’une GNU/Linux dans un domaine AD… :confused: (me semblait pourtant qu’on en avait parlé… :blush: … ça devait être pendant une sieste digestive… :005 )

Essaies peut-être en cherchant avec le message d’erreur (par “parties”…), pour l’instant je n’ai rien de mieux… :confused:

:006