Récupération des comptes de l'AD

Support Debian
#1

Bonjour,
Je suis actuellement ce tutoriel et je suis bloqué lors de la récupération des comptes de l’AD via winbind, celui ci lit bien les comptes lorsque je fais wbinfo -u -g, mais ils n’apparaissent pas lorsque je fais getent passwd et getent group.
J’ai pourtant bien modifié le fichier nsswitch.conf

Et l’authentification Kerberos fonctionne, l’authentification winbind aussi mal-grès un problème de DNS UPDATE.

http://www.supinfo.com/articles/single/324-installer-configuer-ajouter-une-machine-linux-debian-domaine-windows-ad

Vous auriez une idée ?

Merci !

#2

Quel tutoriel ?

Vérifiez d’abord que vous avez bien installé le paquet recommandé libnss-winbind. Il serait bon d’avoir des extraits de /etc/samba/smb.conf en particulier ceux relatifs à la directive idmap

Exemple avec un workgroup EUA

fp2x@drhpcmss:~$ fgrep -i idmap  /etc/samba/smb.conf
   log level = 0 smb:1 passdb:5 sam:5 auth:5 winbind:5 idmap:5 acls:3
    idmap config * : backend = tdb
    idmap config * : range = 1000000-1999999
   idmap config EUA : backend = rid
   idmap config EUA : range = 2000000-3999999
   idmap config DRHPCMSS : backend = rid
   idmap config DRHPCMSS : range = 40000-49999
   idmap config DRHPCMSS : base_rid = 0
fp2x@drhpcmss:~$

Vérifiez aussi la configuration client Kerberos dans /etc/krb5.conf et que vous avez une configuration robuste du réseau avec au moins le contrôleur de domaine AD dans /etc/hosts et que son IP est dans une directive server de /etc/ntp.conf (paquet ntp ).

Chez moi ça marche :slight_smile:

fp2x@drhpcmss:~$ getent passwd adaubert
adaubert:*:2390914:2000513::/homew/adaubert:/bin/bash
fp2x@drhpcmss:~$ getent passwd elebouc
elebouc:x:1049:100:Emilie LEBOUC:/homes/elebouc:/bin/bash
fp2x@drhpcmss:~$ getent passwd shaicheur
shaicheur:*:2085146:2000513:Souhila HAICHEUR:/homew/shaicheur:/bin/bash
fp2x@drhpcmss:~$

Dans la gamme des 2 000 000 ==> utilisateur du domaine.
La commande id adaubert fonctionne aussi, mais elle est lente la première fois (nombreux groupes).

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Il semble que la perfection soit atteinte, non quand il n’y a
plus rien à ajouter mais quand il n’y a plus rien à retrancher »
Saint-Exupéry -Terre des hommes , chapitre III , L’avion.

#3

http://www.supinfo.com/articles/single/324-installer-configuer-ajouter-une-machine-linux-debian-domaine-windows-ad1 Je l’ai mis à la fin du post :slight_smile:

Bon, ma configuration était nickel à priori, il m’a suffit d’installer libnss-winbind dont je n’avais pas connaissance et les comptes de l’AD apparaissent bien lorsque je fais getent passwd.

Qu’elle est la fonction exacte de libnss-winbind ? Ce paquet a l’air de faire le travail que je pensais attribué à winbind.

Merci beaucoup !

#4

Et si on lisait un peu de documentation ?:slight_smile:
Extrait de

aptitude  show libnss-winbind 
Paquet : libnss-winbind
...
Responsable : Debian Samba Maintainers <pkg-samba-maint@lists.alioth.debian.org>
...
Description : Samba nameservice integration plugins
 Samba is an implementation of the SMB/CIFS protocol for Unix systems,
...

 This package provides nss_winbind, a plugin that integrates with a local
 winbindd server to provide user/group name lookups to the system; and nss_wins,
 which provides hostname lookups via both the NBNS and NetBIOS broadcast
 protocols.

Les paquets nommés libnss-machin correspondent à des extensions de bibliothèques C qui permettent d’utiliser le service/protocole machin comme service de noms (NSS).

man nsswitch.conf

Pour la peine, je vous invite à reporter un bug de sévérité minor sur le paquet libnss-db pour une erreur de frappe dans la description française :

fp2x@drhpcmsa:/tmp$ diff -u libnss-db.info.bak libnss-db.info
--- libnss-db.info.bak  2016-10-25 11:51:11.832427871 +0200
+++ libnss-db.info      2016-10-25 11:51:37.664896339 +0200
@@ -8,7 +8,7 @@
 Taille décompressée : 64,5 k
 Dépend: make, libc6 (> 2.19), libc6 (< 2.20), libdb5.3, libselinux1 (>= 1.32)
 Description : Module NSS pour utiliser des bases de données Berkeley comme service de noms
- nss_db est un ensemble d'extensions de bibilothèques C qui permettent
+ nss_db est un ensemble d'extensions de bibliothèques C qui permettent
  d'utiliser des bases de données Berkeley comme source primaire d'alias, de
  groupes, d'hôtes, de réseaux, de protocole, d'utilisateurs, de RPCs, de
  services et de mots de passe (au lieu de ou en plus d'utiliser des fichiers
fp2x@drhpcmsa:/tmp$

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean

« Celui qui, parti de rien, n’est arrivé nulle part n’a de merci à dire à personne !! »
Pierre Dac

#5

Parfait merci beaucoup !
Par contre le “net join ads -U administrateur -S mondomaine” ne fonctionne plus depuis cette manipulation et je ne peux plus me connecter via un compte AD sur ma debian.
As-tu une idée ?
smb.conf

krb5.conf

Erreur:

Edit: Corrigé, erreur de débutant, winbind separator = \\ !

Il me reste une petite erreur si tu as un moment;

Et je ne peux toujours pas me connecter via FRACOM\administrateur :confused:

#6

Quelle manipulation ?
Et pour l’amour de Dieu, on arrête avec les images qui ne contiennent que des informations textuelles de configuration.
On utilise un balisage spécifique, basé sur des lignes contenant seulement trois caractères backticks ALtGr+7

Ceci nous permettrait de voir que vous vous obstinez à utiliser une version obsolète des directives idmap.

Pour winbind separator il me semble plus simple de ne pas tomber dans le piège et d’écrire les comptes (SPN) sous la forme
compte@FRACOM.LOCAL ou compte selon le cas.

Dans les sorties, je vois que la machine Linux s’appellerait DEBVSND2 (en minuscules je suppose), mais dans domaine DNS Fracom.local et realm FRACOM.LOCAL

Pouvez-vous être cohérent dans les notations et configurer la partie domaine DNS dans l’Active Directory en fracom.local.
Il me semblerait plus simple d’avoir la machine Linux debvsnd2.fracom.local en IP fixe (dans AD et sur deb… ).
Et de même, pourquoi avoir choisi ce nom ‘administrateur’ pour le compte AD, alors que vous avez vraisemblablement des noms un peu moins passe partout pour les utilisateurs Linux.
Il me semble plus simple de configurer dans l’AD un compte avec un nom identique que sous Linux et qui a le droit de joindre un système à l’AD, avec un mot de passe qui n’expire pas par exemple.

Si le compte s’appelle untel, vous vous connectez au Linux (avec le mot de passe Linux ou clé SSH), vous lancez

kinit untel@FRACOM.LOCAL

et vous tapez le mot de passe Windows/AD
Un petit

klist

pour vérifier. La commande pour tester que vous pouvez joindre l’AD devient

sudo net ADS testjoin -k -U untel

et remplacer par join pour faire entrer le système dans FRACOM.LOCAL (une seule fois !)

Dans une machine Windows, connectez vous avec l’identifiant untel et tapez les commandes

klist
setspn untel
setspn debvsnd2

Bon courage.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean

« Je préfère le vin d’ici à l’au-delà »
Pierre Dac

#7

Bonjour,

L’installation de libnss-winbind.

Je n’ai malheureusement pas la possibilité de faire de copier/coller.

Je n’ai pas compris ce passage, les idmap qui sont renseignés dans smb.conf?

DebVSND2 exactement, le domaine tel qu’afficher sur le serveur Windows est “Fracom.local”

Le kinit fonctionne parfaitement,
le “net ADS testjoin -k -U administrateur” ne fonctionne pas
le “net join ADS -U administrateur -S AD” fonctionne en affichant toujours la même erreur de mise à jour DNS.

Pour la suite à faire sur le Windows;

Enfin, lorsque je tente de me connecter au dossier partagé j’ai une fenêtre me demandant un login, et lorsque j’utilise “administrateur” j’ai “Accès refusé.”, de même lorsque j’essaie avec nomdelamachine\root.

Merci pour votre réponse. :slight_smile:

#8

C’est étrange. Quel navigateur sur quel système utilisez-vous ?

Exactement. Mais c’est un détail puisque cela marche aussi avec l’ancienne syntaxe.
Vous pouvez vous inspirer des extraits de smb.conf dans le message #2 en remplaçcant

s/EUA/FRACOM/
s/DRHPCMSS/DEBVSND2/

Pour les problèmes de DNS (no DNS domain configured for debvsnd2 …), je ne peux pas vous aider, je vous suggère simplement de mettre une IP fixe pour debvsnd2.fracom.local.

Pour votre connexion depuis Windows et en particulier avec l’explorateur, je vous suggère de ne pas utiliser une session Windows sous le nom Administrateur, mais sous un nom de simple utilisateur du domaine d’une part et d’ajouter une directive

username map = /etc/samba/smbusers

dans le fichier /etc/samba/smb.conf avec pour contenu

# @(#)  smbusers mapping for samba
nom1 = FRACOM\nom1
nom2 = FRACOM\nom2

ceci pour faire la correspondance entre les noms unix (à gauche) et les noms dans l’AD (à droite).

Dans la même logique de “resserrage des boulons”, vous pouvez vérifier que le fichier /etc/hosts contient au minimum les IP du système local (debvsnd2.fracom.local) et du contrôleur de domaine ( AD.fracom.local ).

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Je préfère le vin d’ici à l’au-delà »
Pierre Dac

#10

Bonsoir !
Merci beaucoup à tous vous m’avez beaucoup aidé, par manque de temps j’ai fais ça sans AD !