Winbind et active directory probleme


#1

Bonjour a tous j’essaie de faire fonctionne samba+ winbind avec mon AD (2000 server ).

j’ai suivis cette methode coagul.org/article.php3?id_article=178.
je suis sous debian.

quand je suis le tuto je vais jusqu’a

getent passwd et getent group les 2 sont OK j’ai bien ma liste avec

Code:

PANIDOR\vmyller:x:10082:10000:valérie Myller:/home/PANIDOR/vmyller:/bin/false
PANIDOR\vrichard:x:10083:10000:Virginie Richard:/home/PANIDOR/vrichard:/bin/fals e
PANIDOR\vrodrigues:x:10084:10000:vrodrigues:/home/PANIDOR/vrodrigues:/bin/false
PANIDOR\ybourion:x:10085:10000:Yolaine BOURION:/home/PANIDOR/ybourion:/bin/false
PANIDOR\ymathieu:x:10086:10000:Yvon Mathieu:/home/PANIDOR/ymathieu:/bin/false
PANIDOR\ymorizot:x:10087:10000:Yannick Morizot:/home/PANIDOR/ymorizot:/bin/false

jusqu’a la sa fonctionne .

Mais apres cela ne passe pas.

cette commande :
wbinfo -a MonDomaine/tony%LeMotDePasse

il me sort ca :
Code:

server-dhcp:~# wbinfo -a panidor/p***%azerty
plaintext password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user panidor/p***%azerty with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user p***/azerty with challenge/response

d’ou peu venir le probleme ??

Je vois bien mon server dans mon favoris reseaux mais pour rentré dedans je suis obliger d’utiliser les utilisateur locaux de samba que j ai crée .

merci d’avance pour votre aide.

guigui69


#2

juste une idée: et en mettant PANIDOR en majuscules ?


#3

je ne pense pas car meme si cela fontionnairait si j essaie de me connecter depuis un oste sur la machine linux il veut toujour pas les mot et login du domaine


#4

tu as bien un ‘encrypt passwords = true’ dans la section [global] ?
Tu mettrais sur le site ton smb.conf ?


#5

re bonjour voici mon smb.conf :



#sample configuration file for the Samba suite for Debian GNU/Linux.
#
#
# This is the main Samba configuration file. You should read the
# smb.conf(5) manual page in order to understand the options listed
# here. Samba has a huge number of configurable options most of which
# are not shown in this example
#
# Any line which starts with a ; (semi-colon) or a # (hash)
# is a comment and is ignored. In this example we will use a #
# for commentary and a ; for parts of the config file that you
# may wish to enable
#
# NOTE: Whenever you modify this file you should run the command
# "testparm" to check that you have not many any basic syntactic
# errors.
#

#======================= Global Settings =======================

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
#   workgroup = panidor

#   netbios name = server-dhcp
# server string is the equivalent of the NT Description field
#   server string = %h server (Samba %v)

# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable its WINS Server
;   wins support = no

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both

   wins server = 172.16.0.252

# If we receive WINS server info from DHCP, override the options above.
   include = /etc/samba/dhcp.conf

# This will prevent nmbd to search for NetBIOS names through DNS.
   dns proxy = no

# What naming service and in what order should we use to resolve host names
# to IP addresses
;   name resolve order = lmhosts host wins bcast


#### Debugging/Accounting ####

# This tells Samba to use a separate log file for each machine
# that connects
   log file = /var/log/samba/log.%m

# Put a capping on the size of the log files (in Kb).
   max log size = 1000


# If you want Samba to only log through syslog then set the following
# parameter to 'yes'.
;   syslog only = no

# We want Samba to log a minimum amount of information to syslog. Everything
# should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
# through syslog you should set the following parameter to something higher.
   syslog = 0

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d


####### Authentication #######

# "security = user" is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/ServerType.html in the samba-doc
# package for details.
   security = DOMAIN 

# You may wish to use password encryption.  See the section on
# 'encrypt passwords' in the smb.conf(5) manpage before enabling.
   encrypt passwords = true

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.  
   passdb backend = tdbsam guest

   obey pam restrictions = yes

;   guest account = nobody
   invalid users = root

# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
;   unix password sync = no

# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Augustin Luton <aluton@hybrigenics.fr> for
# sending the correct chat script for the passwd program in Debian Potato).
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .

# This boolean controls whether PAM will be used for password changes
# when requested by an SMB client instead of the program listed in
# 'passwd program'. The default is 'no'.
;   pam password change = no


########## Printing ##########

# If you want to automatically load your printer list rather
# than setting them up individually then you'll need this
;   load printers = yes

# lpr(ng) printing. You may wish to override the location of the

# printcap file
;   printing = bsd
;   printcap name = /etc/printcap

# CUPS printing.  See also the cupsaddsmb(8) manpage in the
# cupsys-client package.
;   printing = cups
;   printcap name = cups

# When using [print$], root is implicitly a 'printer admin', but you can
# also give this right to other users to add drivers and set printer
# properties
;   printer admin = @ntadmin


######## File sharing ########

# Name mangling options
;   preserve case = yes
;   short preserve case = yes


############ Misc ############

# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting
;   include = /home/samba/etc/smb.conf.%m

# Most people will find that this option gives better performance.
# See smb.conf(5) and /usr/share/doc/samba-doc/htmldocs/speed.html
# for details
# You may want to add the following on a Linux system:
#         SO_RCVBUF=8192 SO_SNDBUF=8192
   socket options = TCP_NODELAY

# The following parameter is useful only if you have the linpopup package
# installed. The samba maintainer and the linpopup maintainer are
# working to ease installation and configuration of linpopup and samba.
;   message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &

# Domain Master specifies Samba to be the Domain Master Browser. If this
# machine will be configured as a BDC (a secondary logon server), you
# must set this to 'no'; otherwise, the default behavior is recommended.
;   domain master = auto

# Some defaults for winbind (make sure you're not using the ranges
# for something else.)
   idmap uid = 10000-20000
   idmap gid = 10000-20000
;   template shell = /bin/bash

#======================= Share Definitions =======================

[homes]
   comment = Home Directories
   browseable = no

# By default, the home directories are exported read-only. Change next
# parameter to 'yes' if you want to be able to write to them.
   writable = no

# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
   create mask = 0700

# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
   directory mask = 0700

# Un-comment the following and create the netlogon directory for Domain Logons
# (you need to configure Samba to act as a domain controller too.)
;[netlogon]
;   comment = Network Logon Service
;   path = /home/samba/netlogon
;   guest ok = yes
;   writable = no
;   share modes = no

[printers]
   comment = All Printers
   browseable = no
   path = /tmp
   printable = yes
   public = no
   writable = no
   create mode = 0700

# Windows clients look for this share name as a source of downloadable
# printer drivers
[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no
# Uncomment to allow remote administration of Windows print drivers.
# Replace 'ntadmin' with the name of the group your admin users are
# members of.
;   write list = root, @ntadmin

# A sample share for sharing your CD-ROM with others.
;[cdrom]
;   comment = Samba server's CD-ROM
;   writable = no
;   locking = no
;   path = /cdrom
;   public = yes

# The next two parameters show how to auto-mount a CD-ROM when the
#	cdrom share is accesed. For this to work /etc/fstab must contain
#	an entry like this:
#
#       /dev/scd0   /cdrom  iso9660 defaults,noauto,ro,user   0 0
#
# The CD-ROM gets unmounted automatically after the connection to the
#
# If you don't want to use auto-mounting/unmounting make sure the CD
#	is mounted on /cdrom
#
;   preexec = /bin/mount /cdrom
;   postexec = /bin/umount /cdrom

[partage]
comment = partage

path = /etc/samba/
public = yes
browseable = yes
writeable = yes



#6

Tu as beaucoup de chose qui sont bizarrement en commentaire :confused: :

[quote=“guigui69”]# workgroup = panidor
; name resolve order = lmhosts host wins bcast[/quote]
Il y en a d’autres, mais AMHA, ceux là, il faudrait leur donner une valeur cohérente, et ne pas présumer de leurs valeurs par défaut.
Je verrais bien les valeurs suivantes:

workgroup = panidor # définit le domaine name resolve order = lmhosts host wins bcast # sinon, pas de résolution dns

par ailleurs, je ne vois nulle part d’instruction désignant le PDC ! comment veux tu que ton serveur sache à qui demander l’authentification si tu ne lui précises pas :

devrait te permettre de te mettre en autodetection de controleur, mais tu peux préciser (man smb.conf).

Par ailleurs, la sécurité domain necessite un enregistrement du serveur samba auprés du PDC, avec la commande “net”. Tu as fait ça ?


#7

bonjour je vait regarder ca des mercredi dans smb.conf encore merci je vait voir si cela pose pas de soucis.

Et j’ai bien join mon linux au PDC car je le voit dans l’AD (2000).


#8

Tu le vois dans les serveurs ?
Parceque si c’est juste dans le voisinage réseau, ca ne veut pas dire que tu lui aies fait joindre le domaine…


#9

bonjour a tous je voit mon serveur dans mon actie directory dans computer.

J’ai réalisé les modification que vous m’avez dit mais meme avec sa j’ai toujour le message d’erreur.

server-dhcp:~# wbinfo -a panidor/fguillot% plaintext password authentication failed error code was NT_STATUS_NO_SUCH_USER (0xc0000064) error messsage was: No such user Could not authenticate user panidor/fguillot% with plaintext password challenge/response password authentication failed error code was NT_STATUS_NO_SUCH_USER (0xc0000064) error messsage was: No such user Could not authenticate user panidor/fguillot with challenge/response

je vous remet les paramettre que j’ai modifier :

workgroup : PANIDOR (majucule ou miniscule a t elle une importance)?
security = DOMAIN

netbios name = SERVER-DHCP
server string = %h server (Samba %v)

wins server = 172.16.0.256

idmap uid = 10000-20000
idmap gid = 10000-20000

winbind separator = / (j’ai pas trouver cette commande)

log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
name resolve order = lmhosts host wins bcast (quelque chose a modifier ici??)
password server = * ou 172.16.0.3 (aucune difference)
encrypt passwords = true

qu’est qui va pas dans mon fichier de config.


#10

déjà, le message d’echec d’autentification “plain text” est bizarre: normalement, la gestion des domaines se fait en crypté (encrypt passwd = true), mais bon…
Ensuite as tu essayé en utilisant une syntaxe différente pour ton nom d’user:
PANIDOR\fguillot
fguillot@PANIDOR


#11

pour le probleme de “plain txt” il faut bien mettre :
encrypt passwords = true

Commentca utiliser une autre syntaxe different dans quoi dans le smb.conf ou wbinfo -a panidor\fguillot ???


#12

alors j’ai efectuer un test en fesant ca :

server-dhcp:~# wbinfo -a panidor\ajusseau%alice812
plaintext password authentication succeeded
challenge/response password authentication succeeded

Donc normalement c’est bon ca fonctionne bien ?

mais dans mon smb.conf j’ai ca

[partage]
path=/etc/samba
browseable = yes
writeable = yes
valid users = panidor/germond
valid admin = panidor/fguillot

Normarlement si dans la fenetre de windows me demande un mot de passe je met germond en login et le mot de pass et il veut pas .pk ??


#13

[quote=“guigui69”]alors j’ai efectuer un test en fesant ca :

server-dhcp:~# wbinfo -a panidor\ajusseau%alice812
plaintext password authentication succeeded
challenge/response password authentication succeeded

Donc normalement c’est bon ca fonctionne bien ?

mais dans mon smb.conf j’ai ca

[partage]
path=/etc/samba
browseable = yes
writeable = yes
valid users = panidor/germond
valid admin = panidor/fguillot

quand je vait pour me loger dessus (il me demande login et pass) je met ggermond et son mot de pass mais il veut pas le laisser rentré ?? pk ?? :frowning:


#14

quand j’essaie de me loger dessus avec cettte commande voila la reponse.
smbclient -L //server-dhcp -U germond
password *****
session setup failed: NT_STATUS_LOGON_FAILURE


#15

je suis allez voir dans le fichier de log :
/var/log/samba/log.dhcp-server j’ai ca dedans :

[2006/01/25 16:25:49, 0] auth/pampass.c:smb_pam_accountcheck(781)
smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User PANIDOR\ajusseau!

qu est qu’il me manque ??


#16

wbinfo -a panidor\ajusseau%alice812
fonctionne toujours ?

tu as essayé le même type de syntaxe pour les “valid users” dans smb.conf ?


#17

J’ai vraiment besoin d’aide la ca commence a me ****.alors je resume la commande que tu a marqué fonctionnait hier. j’ai essaie le smbclient il etait pas installé .
je fait apt-get install smbclient il mettait la fameuse erreur du post avant.
Je revient se matin plus rien ne pass

wbinfo -u wbinfo -g :arrow_right: Error looking up domain users

getent passwd et ge"tent group donne les users et group de mon linux et plus les user de Active directory.

Qu’est qui c’est passé ? qu’est qu a fait le smb client ?,


#18

encore moi c’est ou que je pourrait trouver les package pour samba (telecharger amnuellement) car en utilisant apt-get il me les install mais j’ai pas de répertoire dans /etc/samba et ni dans ini.d/samba

ca deja 2 semaine que je suis dessus pour arrive a faire fonctionner


#19

2 semaines, ca n’est pas anormal.
Je te dirais que sans domaine, samba est d’une configuration enfantine (2 minutes de travail), mais dès qu’on passe à l’AD… :cry:
Et même sans AD, ma première configuration de PDC samba m’a pris prés d’un mois et demi, et j’etais pourtant déja linuxien+windowsien+professionnel de longue date.

Bon, pour ton problême, je pense qu’il faudrait que tu reprennes en synthèse ou tu en es, que tu republies ton smb.conf intègral (sauf les shares, on s’en moque), et que tu traites POINT PAR POINT les problêmes que tu rencontres, parceque même ayant suivi tout depuis le début, je ne sais déjà plus ou tu en es: tu avais bien réussi une fois une authentification, non ?

Tu peux faire des allers retour rapides sur le forum: cet AM je suis dispo pour t’aider.


#20

ok .je vait surment réessaie la semaine prochaine.
Car la j’ai une autre machine de test j’ai refait une installe identique que celle précédament dans winbind et samba les meme option tout ca et la directement il me met erreur looking up users.