Probleme samba Vs active directory

Probleme samba Vs active directory - Installation - Linux et OS Alternatifs

Marsh Posté le 20-08-2008 à 11:14:36    

Bonjour,
J'aimerai accéder à la liste des user et groups de mon active directory pour pouvoir configurer un proxy, mais après plusieurs tentatives impossible d'y accéder je suis encore novice en ubuntu mais j'aimerai savoir si ce que je veux faire est possible
 
ma configuration:
Samba 3.0.28a
winbind 3.0.28a
krb5-config 1.17
krb5-user 1.6
domaine : audi.lan
contrôleur de domaine : serveur.audi.lan
 
krb5.conf

Code :
  1. [libdefaults]
  2.         default_realm = AUDI.LAN
  3.         clock_skew = 300
  4.         ticket_lifetime = 24000
  5.         default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
  6.         default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
  7.         dns_lookup_realm = false
  8.         dns_lookup_kdc = true
  10. [realms]
  11.         AUDI.LAN = {
  12.                 kdc = serveur.audi.lan
  13.                 admin_server = serveur.audi.lan
  14.                 }
  15. [domain_realm]
  16.         .audi = AUDI
  17.         audi = AUDI


smb.conf

Code :
  1. [global]
  2.    workgroup = audi
  3.    realm = AUDI.LAN
  4.    security = ads
  5.    encrypt passwords = yes
  7.    password server = serveur.audi.lan
  9.    idmap uid = 10000-20000
  10.    idmap gid = 10000-20000
  11.    winbind enum groups = yes
  12.    winbind enum users = yes
  13.    winbind use default domain = yes


j'ai fait un kinit pour créer un ticket

Code :
  1. root@chdourdan:/etc/samba# kinit administrateur
  2. Password for administrateur@AUDI.LAN:


klist pour voir le ticket

Code :
  1. root@chdourdan:/etc/samba# klist
  2. Ticket cache: FILE:/tmp/krb5cc_0
  3. Default principal: administrateur@AUDI.LAN
  5. Valid starting     Expires            Service principal
  6. 08/20/08 10:52:16  08/20/08 17:32:16  krbtgt/AUDI.LAN@AUDI.LAN
  9. Kerberos 4 ticket cache: /tmp/tkt0
  10. klist: You have no tickets cached


puis je joins le domaine
 

Code :
  1. root@chdourdan:/etc/samba# net join -U administrateur
  2. administrateur's password:
  3. [2008/08/20 10:52:53, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  4.   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
  5. Failed to join domain: Invalid credentials
  6. ADS join did not work, falling back to RPC...
  7. Joined domain AUDI.


Mais la se pose le problème j'ai une erreur ^^
 
je fais un jointest

Code :
  1. root@chdourdan:/etc/samba# net ads testjoin
  2. [2008/08/20 10:53:24, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  3.   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
  4. [2008/08/20 10:53:25, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  5.   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
  6. Join to domain is not valid: Invalid credentials


encore des erreurs  
 
 
Si quelqu'un pourrais me renseigner sur l'origine des erreurs ce se serai super
 
Merci d'avance  
 
Baptiste

Reply

Marsh Posté le 20-08-2008 à 11:14:36   

Reply

Marsh Posté le 20-08-2008 à 16:01:01    

Tu es sur quelle distro ?

 

Ton resolv.conf pointe bien vers le contrôleur de domaine ?


Message édité par roscocoltran le 20-08-2008 à 16:06:56

---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 21-08-2008 à 08:17:31    

Bonjour,
vérifier également que l'heure système est la même sur le Dc et sur la machine ubuntu.

Code :
  1. ntpdate server.audi.lan


sinon ta conf krb et smb m'a l'air correct ..
++


---------------
www.google.fr  
Reply

Marsh Posté le 21-08-2008 à 09:18:54    

Merci de vos réponses  
Je suis sous ubuntu 8.04
 
voila mon resolv.conf

Code :
  1. nameserver 194.133.14.66
  2. nameserver 172.16.2.1


 
172.16.2.1 est mon controleur de domaine  
 
sinon pour la synchronisation des serveurs c'est fait ^^
 
Merci d'avance
 
Baptiste

Reply

Marsh Posté le 21-08-2008 à 09:48:02    

J'avais pas vu le ubuntu...

 

Normalement il ne devrait même pas demander un mot de passe si le ticket est bon. Tu es sûr que le user "administrateur" à le droit d'ajouter une machine au domaine ?

 

Je te suggère de mettre le controleur de domaine en 1er dans la liste dans le resolv.conf, on sait jamais.

 

Sinon tu peux toujours lancer le net join avec l'option debug...


Message édité par roscocoltran le 21-08-2008 à 09:49:37

---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 21-08-2008 à 10:11:54    

L'user "administrateur" est bien l'administrateur du domaine.
J'ai passé le controleur de domaine en premier dans la liste resolv.conf
Mais j'arrive toujours au même sinistre resultat.
 
Comment fait on pour lancer en mode debug ?
 
Merci de ton aide .

Reply

Marsh Posté le 21-08-2008 à 10:29:00    

net ads join -d 3 -U username
 
("net help join" pour plus de détails)
 
Essaie aussi sans faire le kinit avant, juste par curiosité.


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 21-08-2008 à 10:39:49    

J'ai suprimé le ticket avec kdestroy, j'ai essayé de rejoindre le domaine et j'ai exactement le même message que si je fesais un kinit.
 
pour ce qui est du mode debug voila le resultat que je n'arrive pas a interpreter.

Code :
  1. root@chdourdan:/etc# net ads join -d 3 -U administrateur
  2. [2008/08/21 10:33:23, 3] param/loadparm.c:lp_load(5063)
  3.   lp_load: refreshing parameters
  4. [2008/08/21 10:33:23, 3] param/loadparm.c:init_globals(1448)
  5.   Initialising global parameters
  6. [2008/08/21 10:33:23, 3] param/params.c:pm_process(572)
  7.   params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
  8. [2008/08/21 10:33:23, 3] param/loadparm.c:do_section(3802)
  9.   Processing section "[global]"
  10. [2008/08/21 10:33:23, 2] lib/interface.c:add_interface(81)
  11.   added interface ip=172.16.254.250 bcast=172.16.255.255 nmask=255.255.0.0
  12. [2008/08/21 10:33:23, 3] libsmb/namequery.c:get_dc_list(1489)
  13.   get_dc_list: preferred server list: "172.16.2.1, serveur.audi.lan"
  14. [2008/08/21 10:33:23, 3] libads/ldap.c:ads_connect(394)
  15.   Connected to LDAP server 172.16.2.1
  16. [2008/08/21 10:33:23, 3] libsmb/namequery.c:get_dc_list(1489)
  17.   get_dc_list: preferred server list: "172.16.2.1, serveur.audi.lan"
  18. [2008/08/21 10:33:23, 3] libsmb/namequery.c:get_dc_list(1489)
  19.   get_dc_list: preferred server list: "172.16.2.1, serveur.audi.lan"
  20. administrateur's password:
  21. [2008/08/21 10:34:04, 3] libsmb/namequery.c:get_dc_list(1489)
  22.   get_dc_list: preferred server list: "172.16.2.1, serveur.audi.lan"
  23. [2008/08/21 10:34:04, 3] libads/ldap.c:ads_connect(394)
  24.   Connected to LDAP server 172.16.2.1
  25. [2008/08/21 10:34:04, 3] libads/sasl.c:ads_sasl_spnego_bind(291)
  26.   ads_sasl_spnego_bind: got OID=1 2 840 48018 1 2 2
  27. [2008/08/21 10:34:04, 3] libads/sasl.c:ads_sasl_spnego_bind(291)
  28.   ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2
  29. [2008/08/21 10:34:04, 3] libads/sasl.c:ads_sasl_spnego_bind(291)
  30.   ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2 3
  31. [2008/08/21 10:34:04, 3] libads/sasl.c:ads_sasl_spnego_bind(291)
  32.   ads_sasl_spnego_bind: got OID=1 3 6 1 4 1 311 2 2 10
  33. [2008/08/21 10:34:04, 3] libads/sasl.c:ads_sasl_spnego_bind(300)
  34.   ads_sasl_spnego_bind: got server principal name = serveur$@AUDI.LAN
  35. [2008/08/21 10:34:04, 3] libsmb/clikrb5.c:ads_krb5_mk_req(593)
  36.   ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found)
  37. [2008/08/21 10:34:04, 3] libsmb/clikrb5.c:ads_cleanup_expired_creds(528)
  38.   ads_cleanup_expired_creds: Ticket in ccache[MEMORY:net_ads] expiration jeu, 21 aoû 2008 20:33:38 CEST
  39. [2008/08/21 10:34:04, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  40.   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
  41. [2008/08/21 10:34:04, 1] utils/net_ads.c:net_ads_join(1470)
  42.   error on ads_startup: Invalid credentials
  43. Failed to join domain: Invalid credentials
  44. [2008/08/21 10:34:04, 2] utils/net.c:main(1046)
  45.   return code = -1

Reply

Marsh Posté le 25-08-2008 à 09:10:43    

Petit Up

Reply

Marsh Posté le 30-10-2008 à 23:12:29    

Bonsoir Baptiste,
as-tu régler ton problème car j'ai le même et cela fait un bon moment (cela se compte en jours) que je suis dessus :).
Par avance merci.
Si d'autres personnes veulent se pencher sur mon cas, se sera le bien venu.
Cordialement.
Benoît
PS : c'est mon premier message :)


Message édité par benalto le 30-10-2008 à 23:16:43
Reply

Marsh Posté le 30-10-2008 à 23:12:29   

Reply

Marsh Posté le 30-10-2008 à 23:29:12    

...


Message édité par SkadiIsSadik le 20-07-2009 à 19:24:09
Reply

Marsh Posté le 30-10-2008 à 23:56:37    

Merci,
je vais aller regarder ton tuto, mais mon serveur est sous windows 2003 et j'ai cru comprendre, à travers mes nombreuses lectures, qu'il y avait des différences.
Si vous avez besoin que je poste des fichier, pas de soucis.
Par avance merci de t'interresser à mon pauvre cas.
Cordialement.
Benoît

Reply

Marsh Posté le 31-10-2008 à 00:16:25    

Rah la touche TAB vient de sacrifier le post que j'avais commencé :'(
 
Bon je reprends en plus rapide :
 
J'avais aussi bloqué au moment de recevoir mon ticket Kerberos et c'était à cause de mes fichiers DNS, pense bien à tous les remplir correctement et faire les vérifications pas-à-pas.
Pour le WS 2000/2003, je ne pense pas que celà sera un souci, un administrateur réseau qui m'avait bien dépanné avait fait la même procédure avec un WS 2k3 et comme distribution une RedHat.

Reply

Marsh Posté le 31-10-2008 à 00:32:57    

En ce qui me concerne, je suis suis une Mandriva.
Le message d'erreur, lors du

Code :
  1. net ads join -S SERVEURAD%password

est :

Code :
  1. [2008/10/31 00:26:06, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  2.   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
  3. Failed to join domain: Invalid credentials


 
J'ai bien suivi ton tuto mais la je bloque.
Quelque soit le tuto que jhe suis, je bloque au même endroit, je rage...
 
Je suis débutant en linux, mais j'ai remarqué cela (et comme je sais que la case est importante) :
si je reprend la commande précédente avec un -d3, j'ai le message suivant (en autre) :

Code :
  1. ads_sasl_spnego_bind: got server principal name = eshotel-serveur$@ESHOTEL.COM
  2. [2008/10/31 00:24:11, 3] libsmb/clikrb5.c:ads_krb5_mk_req(593)
  3.   ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found)


 
alors qu'avec un klist, j'ai :

Code :
  1. Ticket cache: FILE:/tmp/krb5cc_0
  2. Default principal: administrateur@ESHOTEL.COM
  4. Valid starting     Expires            Service principal
  5. 10/31/08 00:30:57  10/31/08 07:10:57  krbtgt/ESHOTEL.COM@ESHOTEL.COM


La le service est tout en majuscule. Une piste ?
 
Par avance, merci.
Benoît

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed