Erreur authentification partage SMB Debian à partir des comptes AD

terreemer · Août 1, 2019, 12:55pm

Bonjour à tous,

Je rencontre une erreur d’authentification ( la fenêtre d’authentification réapparait en permanence) lorsque je tente de me connecter à mon serveur SMB DEBIAN version 9 à partir de mon serveur AD ou des postes du domaine.

Sur le serveur Debian le wbinfo -u me retourne correctement la liste des users de l’AD de mon serveur microsoft 2012.
le winfo -g idem me retourne correctement la liste des groupes.

Mon serveur samba est bien membre du domaine et je le voit sur mon serveur AD/DNS

J’ai crée un partage informatique dont voici l’extrait de smb.conf

[global]
workgroup = MONDOMAIN
realm = MONDOMAINE.INFRA
password server = SRV-AD1.mondomaine.infra
preferred master = no
server string = SRV-ADMIN
security = ADS
encrypt passwords = yes
log level = 3
log file = /var/log/samba/%m
max log size = 50
printcap name = cups
printing = cups
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = +
idmap uid = 10000-29999
idmap gid = 10000-29999
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes

[Informatique]
	path = /Informatique
	write list = @MONDOMAINE+administrateur
	writeable = yes
	directory mode = 777
	valid user = @MONDOMAINE+administrateur
	create mode = 777
	comment = Partage pour l'informatique

Contenu du fichier common-account :

account sufficient                      pam_unix.so
account required                        pam_winbind.so  use_first_pass
account required                        pam_mount.so    use_first_pass

Contenu du fichier common-auth :

auth    sufficient                      pam_unix.so     nullok_secure
auth    required                        pam_group.so    use_first-pass
auth    required                        pam_mount.so    use_first_pass
auth    required                        pam_winbind.so  use_first_pass_nullok_s$
auth    [success=1 default=ignore]      pam_unix.so     nullok_secure

Je ne vois pas pourquoi il me refuse que je monte mon partage

\\10.4.3.75\informatique

Il me demande les credentials

mondomaine.infra\administrateur
MDP

Et en boucle il me demande l’authentification…

Merci pour votre aide.

terreemer · Août 1, 2019, 9:29am

En complément je viens de m’apercevoir que je n’arrive pas a me connecter en putty sur le serveur debian via les credentials :
administrateur@MONDOMAIN.INFRA
il me demande le mot de passe en boucle comme pour les partages.

terreemer · Août 1, 2019, 11:31am

A présent j’arrive à m’authentifier sur mon serveur linux samba a travers les comptes AD via putty seulement si je suis loggé dans la session en question.

Si je me connecte en administrateur sur ma session Windows et que je tente d’ouvrir un le partage via:
\10.4.3.75\informatique
et un compte utilisateur autre cela ne fonctionne pas.

littlejohn75 · Août 1, 2019, 3:03pm

J’ai une sainte horreur de cette manière de procéder : il y a une incohérence entre workgroup et realm Au lieu de cette recopie, mettez REDACTED si vous voulez absolument cacher les informations.

Parmi cette foultitude d’utilisateurs, choisissez-en un pour lequel vous connaissez le mot de passe de connexion Windows. Après avoir installé et paramétré le paquet krb5-user tentez la commande suivante -depuis Debian )

kinit user@MONDOMAINE.INFRA

Vous pouvez même configurer le REALM kerberos pour ne plus avoir à vous soucier des @REALM
Ceci étant utilisez l’option -k pour les commandes samba.
Et voir aussi la commande ktutil pour confirmer l’intégration du serveur dans l’AD.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Je préfère le vin d’ici à l’au-delà »
Pierre Dac