Résumé très synthétique :
Dans un environnement Active Directory, un serveur DEBIAN/SAMBA ne reconnaît
pas les utilisateurs nouvellement créés dans AD, tandis qu'un autre serveur,
quasiment identique, y parvient ?
Comment identifier le problème.
========
J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur de fichier pour des
utilisateurs.
A l'origine je déclinais mes utilisateurs sous LINUX (passwd) et SAMBA
(smbpasswd) et créait les partages qui vont bien (en mode SHARE).
Notre ministére a migré la gestion de tous les utilisateurs/machines vers
Active Directory.
J'ai fait un pseudo-clône (presque identique) de mon serveur pour préparer
la migration. Je n'ai pas utiliser l'utilitaire SADMS, mais j'ai pu
installer l'ensemble recommandé : nntp, kerberos, winbind, pam, samba.
Malgré des difficultés, le clône a migré correctement.
J'ai donc migré le serveur opérationnel et les utilisateurs se connectent
(et montent des partagent disques) correctement avec leurs identifiants
Windows.
Mais je découvre un problème qui affecte les utilisateurs nouvellement créés
(post-migration).
Je vais vous exposer le problème, mais pressentant des difficultés certaines
dans la recherche de la solution, j'aimerais surtout que me soit indiqué des
pistes de recherches, dans quel log ? Quel commande pour connaître tel
comportement etc.
Problème sur serveur SFIC01, la commande :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
Répond :
AT+DUPONT 1
C'est-à-dire Utilisateur Dupont dans le domaine AT qui correspond au SID
indiqué.
Tandis que la commande inverse :
# wbinfo --name-to-sid DUPONT (ou wbinfo --name-to-sid
AT+DUPONT)
Répond :
Could not get info for user AT+DUPONT
Les mêmes commandes sur serveur clône SFIC02 sont correctes :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
AT+DUPONT 1
la commande inverse :
# wbinfo --name-to-sid DUPONT
S-1-5-21-2218686169-3860314717-31487677-38844 User (1)
Les commandes wbinfo -u ou -g répondent très partiellement, que je sois en
enum ou pas, car l'ensemble du Ministère est accessible et représentent un
nombre d'objet trop important à lister, à énumérer...
Les commandes getent passwd ou group ne répondent qu'avec les données
locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation de clause
"deprecated" (printer admin...)
Auriez-vous des pistes que me permettent d'examiner pourquoi les nouveaux
utilisateurs sont inconnus alors que les anciens ont l'accès direct (montage
de disque lors du logon, etc).
Nota: Les serveurs différents très légèrement au niveau de kerberos, car sur
SFIC02 je n'ai pas tout installé???
SFIC02 # dpkg -l | grep krb
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
SFIC01 # dpkg -l | grep krb
ii krb5-admin-server 1.4.4-7etch5 MIT Kerberos master server (kadmind)
ii krb5-config 1.16 Configuration files for
Kerberos Version 5
ii krb5-kdc 1.4.4-7etch5 MIT Kerberos key server (KDC)
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using
MIT Ker
rc libkrb-1-kerberos4kth 1.2.2-11.2 Kerberos Libraries for
Kerberos4 From KTH
ii libkrb5-17-heimdal 0.7.2.dfsg.1-10 Libraries for Heimdal Kerberos
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
ii libpam-krb5 2.6-1 PAM module for MIT Kerberos
Mais je doute que ces différences kerberos participent du problème...
A vous écouter/vous lire...
Merci.
Pierre Touzeau
----------------------------------------------------------
Chargé de mission / Préfecture de region Basse-Normandie
SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 306 306
[EMAIL PROTECTED] / Fax: ... 564
----------------------------------------------------------
