Bonjour,
J’ai un poste débian que j’aimerais connecter à un serveur Windows 20008 pour qu’il puisse accéder à des ressources sur le réseau.
Données d’environnement (j’ai modifié mon nom de domaine par aaa, les ip sont réelles) :
- nom du poste à connecter : srv3 (192.168.0.200)
- nom des dns / contrôleurs de domaines : srv1 (192.168.0.244) et srv2 (192.168.0.251)
- nom du domaine : aaa.lan
J’ai suivi pas mal de tuto et ai modifié les fichiers suivants de la manière suivante :
/etc/network/interfaces :
iface bond0 inet static
…
dns-nameservers 192.168.0.244 192.168.0.251
dns-search aaa.lan
/etc/resolv.conf :
domain aaa.lan
search aaa.lan
nameserver 192.168.0.244
nameserver 192.168.0.251
/etc/krb5.conf :
[libdefaults]
default_realm = AAA.LAN # en majuscule
[realms]
AAA.LAN = { # # en majuscule
kdc = srv1.aaa.lan
admin_server = srv1.aaa.lan
}
[domain_realm]
.aaa.lan = AAA.LAN # minuscule / majuscule
aaa.lan = AAA.LAN # aussi
[login]
krb4_convert = true
krb4_get_tickets = false
/etc/nsswitch/ :
passwd: compat winbind
group: compat winbind
shadow: compat winbind
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Puis j’ai relancé les services (samba / winbind / network). De toute manière j’ai redémarré la machine au bout d’un moment (dans le doute).
- la commande kinit rend ceci :
root@srv3:/var/cache/samba# kinit
Password for administrateur@AAA.LAN: <= Saisie du passwd du domaine
root@srv3:/var/cache/samba#
==> semble normal (je n’y connais rien mais je le sens bien, il enregistre mon mot de passe admin)
- la commande klist rend ceci :
root@srv3:/var/cache/samba# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrateur@AAA.LAN
Valid starting Expires Service principal
06/21/13 11:45:53 06/21/13 21:45:58 krbtgt/AAA.LAN@AAA.LAN
renew until 06/21/13 21:45:53
root@srv3:/var/cache/samba#
==> semble normal , j’ai (semble-t-il) un ticket kerberos
Mais impossible d’effectuer la commande net ads join –U Administrateur proprement.
j’ai essayé pas mal de pattern pour le login : administrateur, aaa\administrateur, AAA\administrateur, administrateur@aaa, aaa.lan\administrateur, … bref dans tout les sens.
J’ai l’erreur suivante :
root@srv3:/var/cache/samba# net ads join -U administrateur
Host is not configured as a member server.
Invalid configuration. Exiting…
Failed to join domain: This operation is only allowed for the PDC of the domain.
Invalid configuration…
Ou ca ?
J’ai ceci :
root@srv3:/var/cache/samba# wbinfo -u
SRV3\nobody
SRV3[mon login windows mais j’ai un partage samba -configuré en dur- ouvert dessus]
SRV3\repository
qui n’est pas clair et ceci
wbinfo -g
qui ne rend rien…
Par contre :
root@srv3:/var/cache/samba# net ads info
LDAP server: 192.168.0.244
LDAP server name: SRV1.aaa.lan
Realm: AAA.LAN
Bind Path: dc=AAA,dc=LAN
LDAP port: 389
Server time: ven., 21 juin 2013 11:58:05 CEST
KDC server: 192.168.0.244
Server time offset: 1
Un indice : j’ai pourtant remarqué ceci :
Si mon poste n’est pas déclaré dans l’ad, j’ai ceci :
root@srv3:/var/cache/samba# net ads testjoin -U administrateur
Enter SRV3$@AAA.LAN’s password:
[2013/06/21 11:54:51.499578, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password SRV3$@AAA.LAN failed: Client not found in Kerberos database
Join to domain is not valid: Improperly formed account name
root@srv3:/var/cache/samba# net ads status -U administrateur
Enter administrateur’s password:
No machine account for ‘SRV3’ found
Si mon poste est déclaré dans l’ad, j’ai ceci :
root@srv3:/var/cache/samba# net ads testjoin -U administrateur
Enter SRV3$@AAA.LAN’s password:
[2013/06/21 12:05:53.393272, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password SRV3$@AAA.LAN failed: Preauthentication failed
Join to domain is not valid: Logon failure
root@srv3:/var/cache/samba# net ads status -U administrateur | less
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: computer
cn: srv3
distinguishedName: CN=srv3,OU=Ordinateurs,OU=aaa,DC=aaa,DC=lan
instanceType: 4
whenCreated: 20130621100030.0Z
whenChanged: 20130621100030.0Z
uSNCreated: 2517528
uSNChanged: 2517532
name: srv3
objectGUID: ac161d4a-a4a1-4cb7-a072-07f5884658ca
userAccountControl: 4128
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
localPolicyFlags: 0
pwdLastSet: 130162824302721541
primaryGroupID: 515
objectSid: S-1-5-21-347627566-1935121152-739830673-4735
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: SRV3$
sAMAccountType: 805306369
objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=aaa,DC=lan
isCriticalSystemObject: FALSE
Conclusion, le poste sait interroger l’ad mais n’arrive pas a s’y authentifier !?!
Quelqu’un aurait-il une idée d’ou cela pourrait venir ?
D’avance Merci.