Je compatis, j'ai galéré, mais j'ai réussi au final (un peu de pub, j'ai expliqué comment faire sur mon site http://www.tuxalafenetre.net/index.php/Ins%C3%A9rer_un_poste_Linux_dans_un_Active_Directory). Voici ma conf :
[kcou...@pc-kco spin-kickstarts]$ cat /etc/krb5.conf
[libdefaults]
default_realm = AD.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = yes
[realms]
AD.LOCAL = {
kdc = DC01.AD.LOCAL
admin_server = DC01.AD.LOCAL
default_domain = AD
}
[domain_realm]
.AD.LOCAL = AD.LOCAL
AD.LOCAL = AD.LOCAL
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[kcou...@pc-kco spin-kickstarts]$ egrep -v -e '^(;|#|\s*$)' /etc/samba/smb.conf
[global]
workgroup = AD
realm = AD.LOCAL
security = ads
idmap backend = rid: TEST = 7000-19999999
idmap uid = 7000-19999999
idmap gid = 7000-19999999
winbind separator = +
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = true
log level = 10
server string = Samba Server Version %v
netbios name = PC-KCO
# logs split per machine
log file = /var/log/samba/log.%m
# max 50KB per log file, then rotate
max log size = 50
passdb backend = tdbsam
realm = AD.LOCAL
winbind enum users = yes
winbind enum groups = yes
client use spnego = yes
# the login script name depends on the machine name
# the login script name depends on the unix user used
# disables profiles support by specifing an empty path
add user script = /usr/sbin/useradd "%u" -n -g users
add group script = /usr/sbin/groupadd "%g"
add machine script = /usr/sbin/useradd -n -c "Workstation (%u)" -M -d
/nohome -s /bin/false "%u"
delete user script = /usr/sbin/userdel "%u"
delete user from group script = /usr/sbin/userdel "%u" "%g"
delete group script = /usr/sbin/groupdel "%g"
load printers = yes
cups options = raw
#obtain list of printers automatically on SystemV
store dos attributes = yes
[homes]
comment = Home Directories
browseable = no
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
Kevin COUSIN
De : [email protected] [mailto:[email protected]] De la part de
Eric Maida
Envoyé : mardi 11 janvier 2011 12:27
À : [email protected]
Objet : [FRsAG] Problème liaison Fedora/active directory
Bonjour a tous.
Depuis plusieurs jours je travail sur la mise en domaine des machines Fedora
dans mon réseau.
Je suis confronté au problème suivant: la commande "id NomUtilisateur" me
renvoi un gid correct mais un mauvais uid.
voila ma config:
dans le smb.conf:
# Global parameters
[global]
workgroup = MonDomaine
password server = *
encrypt passwords = yes
realm = MonRealName
security = ads
template shell = /bin/bash
winbind use default domain = yes
winbind offline logon = on
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
winbind separator = +
winbind nss info = rfc2307
idmap config MonDomaine : backend = ad
idmap config MonDomaine : range = 10000-49999
idmap config MonDomaine : schema_mode = rfc2307
idmap config MonDomaine : readonly = yes
idmap backend = tdb
idmap uid = 50000-99999
idmap gid = 50000-99999
le nsswitch.conf est configuré en files winbind
les commandes wbinfo -u et -g fonctionnent parfaitement.
Du côté de l'AD (2008 serveur), tout est renseigné dans la parti linux avec le
uid qui va bien et le gid que me renvoi bien la commande "id Utilisateur"
Il ne s'agit pas d'un problème de cache ou alors qui m'échappe à moitié car si
je change le gid dans l'AD, la commande sur le poste client renvoi
instantanément le nouveau gid
mais si je change le "idmap uid = 50000-99999" du smb.conf il me renvoi
toujours un uid dans l'ancien range...il doit donc y avoir un cache pour les
infos qui ne remontent pas bien mais introuvable...
Si j'ajoute dans le smb.conf un "winbind cache time = 10" ca ne change
rien...je suis un peu perdu.
J'ai parcouru l'ensemble des forums qui traitent de ces discutions et
ajouté/enlevé pas mal d'options qui n'ont jamais rien changé....
Si vous avez des idées je suis très très preneur :)
Merci d'avance.
Eric.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
