Bonjour à tous,
Dans un domaine enfant Active Directory, principalement Windows 2000,
mais compatible Windows 2003, j'essaye de configurer Samba 3 + Winbind
pour pouvoir faire des partages sur mon serveur Debian et faire
l'authentification auprès de mes serveurs AD.
Mon problème se situe clairement au niveau de Winbind, mais en
cherchant sur le net je n'ai trouvé aucune info pour déceler mon erreur
(je pense que c'est avant tout une erreur de conf....), je me demandais
donc si quelqu'un pouvait m'aider.
En gros, j'arrive sans problème a rejoindre le domaine avec
# net ads join -U <administrator>
et mon serveur apparait bien dans Active Directory
je peux mettre faire un kinit
# kinit <administrator>@NOM-DE-DOMAINE.SOCIETE.TLD
et kerberos me renvoie bien un ticket.
Le problème se situe essentiellement au niveau de winbind, voici des exemples :
# wbinfo -u
Error looking up domain users
# wbinfo -g
Error looking up domain users
# wbinfo -p
Ping to winbindd succeeded on fd 4
mais m'a plusieurs rendu "could not ping winbindd!"
et le log de winbind m'envoie des erreurs de ce type :
ads_connect for domain DOMAIN-X failed: Cannot read password
ads_connect for domain DOMAIN-Y failed: Cannot read password
ads_connect for domain NOM-DOMAINE failed: Cannot read password
ainsi que :
failed tcon_X with NT_STATUS_ACCESS_DENIED
En sachant que nous sommes dans une architecture assez complexe et que
DOMAIN-X et DOMAIN-Y sont des domaines enfants du même niveau que
MON-DOMAINE, c-a-d des sous-domaines de SOCIETE.TLD
Je ne sais pas si c'est clair, et si les informations fournies sont
suffisantes, mais en tout cas je galère vraiment pour comprendre ce qui
se passe, et j'appele donc à l'aide(!) pour si quelqu'un peut m'aider
un peu ou me donner des pistes de recherche
merci d'avance.
ci-dessous des extraits des fichiers de conf
<smb.conf>
-----------
workgroup = nom-domaine
security = ADS
realm = nom-de-domaine.societe.tld
encrypt password = yes
password server = dc1.nom-de-domaine.societe.tld dc2.nom-de-domaine.societe.tld dc3.nom-de-domaine.societe.tld
client signing = yes
winbind separator = /
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%U
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
----------
_notes_ : nom-domaine est le nom court NETBIOS de mon domaine, <20 caractères, et nom-de-domaine est le nom long >20 car.
les @ IP des serveurs dc1, dc2 et dc3 sont dans /etc/hosts
<krb5.conf>
--------------
[libdefaults]
default_realm = NOM-DE-DOMAINE.SOCIETE.TLD
.....
[realms]
NOM-DE-DOMAINE.SOCIETE.TLD = {
kdc = DC1.NOM-DE-DOMAINE.SOCIETE.TLD
kdc = DC2.NOM-DE-DOMAINE.SOCIETE.TLD
kdc = DC3.NOM-DE-DOMAINE.SOCIETE.TLD
}
[domain_realm]
.nom-de-domaine.societe.tld = NOM-DE-DOMAINE.SOCIETE.TLD
-----------
<nsswitch.conf>
---------
passwd: files winbind
group: files winbind
shadow: files
--------
