Samba\Active directory Authentification Pam Impossible

Support Debian
#1

Bonjour à tous,

Petit nouveau du forum, je viens demander votre aide car j’ai un sérieux problème avec l’authentification avec Active directory.

Pour résumer, l’authentification Kerberos s’effectue car le kinit fonctionne et avec klist je vois bien mon ticket kerberos correspondant.

L’ajout du serveur au domaine est bien effective, car “net ads testjoin” me dit "Join OK"
Winbind est bien installé et j’arrive à lister les utilisateurs et les groupes du domaines.
En revanche, impossible d’accédés via le partage samba ou en ssh, avec un utilisateur du domaine.

J’ai bien modifier les fichiers pam.d.

Autant j’ai fais l’authentification SVN\AD avec Apache les doigts dans le nez autant la je tourne un peu en rond sa fait 2 jours. :confused:

Merci de votre aide

Information
Debian Lenny
Linux era 2.6.26-2-amd64 #1 SMP Wed Aug 19 22:33:18 UTC 2009 x86_64 GNU/Linux
Samba Version 3.2.5
Winbind Version 3.2.5

Fichier de configuration
/etc/krb5.conf

[logging]
        default = FILE:/var/log/krb5.log

[libdefaults]
        default_realm = ABC.LAN
        ticket_lifetime = 24000
        clock_skew = 300
        dns_lookup_realm = yes
        dns_lookup_kdc = true
        default_keytab_name = FILE:/etc/krb5.keytab


[realms]
ABC.LAN = {
        kdc = girelle.abc.lan:88
        admin_server = girelle.abc.lan
        default_domain = abc.lan
        kpasswd_server = girelle.abc.lan
}
[domain_realm]
        .abc.lan = ABC.LAN
        abc.lan = ABC.LAN

/etc/samba/smb.conf

[global]
workgroup               =       ABC
server string           =       server
wins server             =       192.168.0.47

netbios name = era
security = ADS
realm = ABC.LAN
encrypt passwords = yes
use kerberos keytab = yes

log level = 3
log file = /var/log/samba/%m
max log size = 50

winbind refresh tickets = true
winbind trusted domains only = no
winbind use default domain      =       yes
winbind enum users      =       yes
winbind enum groups     =       yes

template shell          =       /bin/bash
template homedir = /home/%D/%U
idmap uid               =       10000-20000
idmap gid               =       10000-20000

[data]
available = yes
  comment = data
  path = /data
  guest ok = no
  browsable = yes
  writable = yes
  valid users = @"ABC\Domain Users"

[archive]
available = yes
  comment = archive
  path = /data/archive
  guest ok = no
  browsable = yes
  writable = yes

/etc/pam.d
common-account

account sufficient      pam_winbind.so
account required        pam_unix.so

common-auth

auth    sufficient      pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth    required        pam_unix.so nullok_secure use_first_pass

common-password

password   required   pam_unix.so nullok obscure md5

common-session

session required        pam_mkhomedir.so skel=/etc/skel/ umask=0022
session sufficient      pam_winbind.so
session required        pam_unix.so