Tu as quel niveau de log sur samba ?
samba.org/samba/docs/man/man … l#LOGLEVEL
Le seul moyen d’avancer ce sont les log à ce niveau. 
je l’ai mis en level 5 donc j’ai les log mais 300k de txt la bebette 
voila ce que j’ai, j’ai un peu commenter le tout et modifié bien sur quelques identitées
En balise code tout ne passe pas
Merci pour votre aide
PCTESTapresrejointsamba.txt (306 KB)
Que te donnes le retour de
Voila
/etc/init.d/windbind status
-bash: /etc/init.d/windbind: Aucun fichier ou dossier de ce typeet
less /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Excuse-moi je me suis trompé c’est
je n’ai pas pas de fichier ou dossier winbind dans /etc/init.d/ donc
/etc/init.d/windbind status
-bash: /etc/init.d/windbind: Aucun fichier ou dossier de ce typeJe vais pas être d’une grande utilité mais étant donné que c’est suite à une coupure électrique, n’auriez vous pas fait une modification avant la coupure et que vous n’avez pas reloadé ou redemarrer samba ? Les modifications aurait donc été prise en compte uniquement après la coupure…
J’aide pas trop mais j’essaye déjà de comprendre la cause… Et peut être amenées des idées…
Après pour le fait que les anciens utilisateurs arrivent toujours à se connecter, cela me parait normal car la session est stocké en local sur la machine. Essaie sur une de tes anciennes machines de te connecter avec un ancien utilisateur qui ne c’est jamais connecté sur cette machine, je pense que ça ne fonctionnera pas…
A essayer c’est vrai on ne sais jamais d’ailleurs.
Pour le serveur je ne sais vraiment pas si il y a eu des trucs modifiés et non sauvés avant puisque je prend le relais sur l’admin qui est parti.
Mais bon que ce soit sur des modifs samba ou openldap, il faut restarter les services pour que les modifs prennent effet, donc à ce moment la c’est sauvegardé.
Il y a un truc qui a dû partir en vrille à cause du stop sauvage du serveur, mais avant de trouver quoi, ca va être la galère.
[quote=“Minus”]A essayer c’est vrai on ne sais jamais d’ailleurs.
[/quote]
Salut !
Tu as eu le temps d’essayer du coup ?
Pardon, debut de semaine agitée comme toujours ^^
Oui j’ai essayé et effectivement, même sur une machine fonctionnant parfaitement sous samba, impossible de se loguer dessus avec un ancien compte
J’ai même relancé le serveur dns ce matin.
Rien à faire 
c’est comme si le serveur de domaine samba n’était pas là, mais pourtant il est bien là et répond sans problème.
[quote=“Minus”]je l’ai mis en level 5 donc j’ai les log mais 300k de txt la bebette
voila ce que j’ai, j’ai un peu commenter le tout et modifié bien sur quelques identitées
En balise code tout ne passe pas
Merci pour votre aide[/quote]
Quand tu rentres sur le domaine.
Ligne 318 : La connexion au serveur ldap se fait bien :
"[2014/10/10 10:23:19.491958, 4] lib/smbldap.c:1242(smbldap_open)
The LDAP server is successfully connected"
Ligne 320, ton user est bien trouvé dans ldap :
"[2014/10/10 10:23:19.493147, 2] passdb/pdb_ldap.c:572(init_sam_from_ldap)
init_sam_from_ldap: Entry found for user: joindomain"
Par contre,
Ligne 517 :
"[2014/10/10 10:23:19.506196, 4] passdb/pdb_ldap.c:2562(ldapsam_getgroup)
ldapsam_getgroup: Did not find group, filter was (&(objectClass=sambaGroupMapping)(sambaSID=S-1-5-32-544))"
Puis un échec évident ligne 521 :
"[2014/10/10 10:23:19.506251, 5] auth/token_util.c:306(create_builtin_administrators)
create_builtin_administrators: Failed to create Administrators
Quand je reprend tes posts au-dessus il y a en effet une incohérence !
LDAP cherche un groupe samba au SID S-1-5-32-544 mapper avec le groupe Administrators.
Or, d’après le résultat de ta commande net groupmap list plus haut, le SID du groupe Administrators est S-1-5-32-1544
Il y a donc eu une erreur je pense lors de la création…
arf en effet
faut que je modifie ça et regarde pour faire un test.
Par contre faut aussi que je trouve comment on modifie cette valeur 
En parcourant le dossier /etc/init.d/ j’ai vu qu’il y avait:
-rwxr-xr-x 1 root root 2,8K 2 juin 2011 krb5-kdcil me semble de kerberos joue un role dans l’authetification windows non?
donc j’ai fait ça:
service krb5-kdc restart
Restarting Kerberos KDC: krb5kdckrb5kdc: cannot initialize realm mondomaine.LAN - see log file for details failed!je suis allé voir dans /var/log/ aucun fichier krb5*.log
voila la suite de mes recherches:
/etc # less krb5.conf
[libdefaults]
default_realm = mondomaine.LAN
ticket_lifetime = 24000
#default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
#default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
mondomaine.LAN = {
kdc = serveuractivedirectory.mondomaine.LAN
#admin_server = serveuractivedirectory.mondomaine.lan
#default_domain = mondomaine.lan
}
#[domain_realm]
# .mondomaine.lan = mondomaine.LAN
# mondomaine.lan = mondomaine.LAN
[login]
default = FILE10000:/var/log/krb5lib.log
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}et
auth: /etc/krb5kdc # less kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
mondomaine.LAN = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauthseulement
/etc/krb5kdc # ls
kdc.confpas de fichier kadm5.acl, kadm5.keytab etc… Uniquement le fichier kdc.conf
c’est un comportement normal du service krb5-kdc?
kerberos est indispensable dans un domaine samba?
Merci
Bon ben Kerberos n’est pas même pas utilisé dans le domaine samba (dixit l’ancien admin)
Parc contre il ne sait pas non plus pourquoi le domaine déconne… 
donc un petit up 
Voila ce que j’ai pu extraire de windows 7 quand j’ai fait basculer un ancien pc de nouveau dans le domaine SAMBA
Erreur 20/10/2014 14:28:55 NETLOGON 3210 Aucun Cet ordinateur ne peut pas authentifier avec \authsamba, un contrôleur de domaine Windows pour le domaine SAMBA.
Cet ordinateur pourrait par conséquent refuser les demandes d’ouvertures de session.
Cette impossibilité d’authentification pourrait avoir été causée par un autre ordinateur sur le même réseau,
utilisant le même nom ou ayant un mot de passe non reconnu pour ce compte d’ordinateur.
Si ce message s’affiche encore, contactez votre administrateur système.
Information 20/10/2014 14:28:55 Workstation 3260 Aucun Cet ordinateur a été joint correctement au domaine ‘SAMBA’
En résumé, je suis bien dans le domaine samba, par contre tu ne pourra rien faire
up, personne n’a d’idée ? 
Bonjour
Je viens de finir de me taper les fichiers conf samba, dhcp et dns, je n’ai pas détecté d’anomalies
quelqu’un a une idée pour mon soucis qui est toujours présent?
Merci
Je peux te donner quelques infos sur une config qui tourne chez nous, samba 3.0 /ldap sur cent os. A prendre avec des pincettes, mais si ça donne quelques pistes :
Le controleur de domaine n’est PAS compatible pour win7 (on tarde à migrer), il y a bien /etc/krb5.conf, mais il n’est pas configuré :
[…]
[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com:88
admin_server = kerberos.example.com:749
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
(je ne mets pas le reste du log qui est identique au tien).
il n’y a pas de /etc/krb5kdc/
comme c’est centos :
wwhereis krb5
krb5: /etc/krb5.conf /usr/lib/krb5 /usr/include/krb5 /usr/include/krb5.h
et tree /usr/lib/krb5
-- plugins |-- kdb |-- libkrb5– preauth
vides de fichier.
ça veut donc dire qu’il y a bien kerberos qui tourne chez toi, et avec des références à mondomaine.LAN
Regarde la procédure là ( badministrateur.com/fr/node/30) ; ça date franchement, mais il est bien question de kerberos (yum install kerberos-devel, qui devait encore être en développement à l’époque du tuto).
En plus tu as une erreur sur service krb5-kdc restart (cannot initialize realm mondomaine.LAN )
C’est peut être une fausse piste. je redis : mes connaissances sur les questions de compatibilité samba win7/8 sont inexistantes.
Bon courage. il y a bien quand meme quelqu’un qui a fait ça sur debian ?
Merci pour ton post
Je vais regarder du coté de kerberos en effet, je ne vois plus que cette piste.
J’ai pu avoir l’ancien admin et il m’a dit qu’il n’avait pas installé kerberos, pourtant je le vois bien dans /etc/, mais par contre je ne le vois effectivement pas dans les processus en court
Par contre le fichier /etc/krb5.conf pointe non pas sur mon serveur de domaine Samba mais sur mon serveur de domaine AD
/etc # less krb5.conf
[libdefaults]
default_realm = MONDOMAINE.LAN
ticket_lifetime = 24000
#default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
#default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
MONDOMAINE.LAN = {
[libdefaults]
default_realm = MONDOMAINE.LAN
ticket_lifetime = 24000
#default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
#default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
MONDOMAINE.LAN = {
kdc = SERVEUR_AD.MONDOMAINE.LAN
#admin_server = SERVEUR_AD.MONDOMAINE.lan
#default_domain = MONDOMAINE.lan
}
#[domain_realm]
# .MONDOMAINE = MONDOMAINE.LAN
# MONDOMAINE.lan = MONDOMAINE.LAN
et
dans /etc/krb5kdc je n’ai qu’un seul fichier c’est kdc.conf
/etc/krb5kdc # less kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
MONDOMAINE.LAN = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}Il doit bien y avoir ici des spécialistes de SAMBA et qui l’utilisent comme serveur de domaine ?
merci pour votre aide
EDIT: Bon j’ai regardé un peu partout et en effet il semble que kerberos n’est utilisé que si samba fait appel à un active directory windows
Dans mon cas, samba travaille avec openldap, donc pas besoin de Kerberos
Bonjour
Alors;
Coté windows tout est bien ok pour rejoindre le domaine samba
- modification comme il se doit des clés de registre
- inscription du serveur samba dans les parametres wins de la carte réseau
- désactivation de l’uac
- désactivation du firewall windows
Coté ldap tout est ok puisque un smbldap-usershow nomdu user ou smbldap-usershow nomdelamachine$ me donne les bonnes entrées avec les bonnes valeurs
C’est vraiment comme si windows n’arrivait pas a dialoguer avec le serveur samba pour ouvrir une session.
Par contre, si par exemple je crée une session en local sur la machine pour un user ne pouvant pas se connecter via le domaine, donc je ne passe pas par le domaine, je vais ensuite sur le partage (qui est géré par samba et ldap) pas de soucis d’accès aux répertoires et les droits d’accés sont bien respectés 
Personne n’a d’idée ou peut me donner un coup de main?