Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Intégration Linux dans Active Directory

padri18

Bonjour.
Voici ma situation : je dois intégrer une station Linux Fedora 8 dans un contrôleur de domaine Active Directory installé sur un Windows Server 2003.

J'ai donc installé les paquets suivants :

 samba-client-3.0.28-0
 libsmb-client-3.0.28-0
 samba-3.0.28-0
 system-config-samba-1.2.58-1
 samba-common-3.0.28-0

 pam_krb5-2.2.18-1
 krb5-devel-1.6-2-13
 krbafs-devel-1.2.2-10.1
 krb5-libs-1.6-2-13
 krb5-workstation-1.6-2-13
 krb5-auth-dialog-0.7-5
 krbafs-1.2.2-10.1

Mon fichier krb5.conf :

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = TEST.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24000

[realms]
 TEST.LOCAL = {
  kdc = 192.168.100.2
  kdc = srv-ad.TEST.LOCAL
  kdc = srv-ad.TEST.LOCAL
  default_domain = TEST.LOCAL
  kdc = srv-ad.TEST.LOCAL
 }

[domain_realm]
 .test.local = TEST.LOCAL
 test.local = TEST.LOCAL

 .TEST.LOCAL = TEST.LOCAL
 TEST.LOCAL = TEST.LOCAL

[kdc]
 profile = /usr/kerberos/share/examples/krb5/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

Mon fichier smb.conf (qui a été modifié en partie par winbind) :

[global]
#--authconfig--start-line--

# Generated by authconfig on 2008/03/25 10:24:42
# DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
# Any modification may be deleted or altered by authconfig in future

   workgroup = TEST
   password server = TEST.LOCAL
   realm = TEST.LOCAL
   security = ads
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431
   winbind separator = +
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false

#--authconfig--end-line--
;    workgroup = TEST
;    security = ads
;    realm = TEST.LOCAL
    client use spnego = no
    server signing = auto
    netbios name = fr1fu0003
;    winbind use default domain = yes
;    winbind separator = +
    encrypt passwords = yes
;    password server = TEST.LOCAL
;    template shell = /bin/bash

[tests]
    comment = Test Share using Active Directory
    path = /data
    valid users = @"TEST\Users"
    writeable = yes
    browseable = yes

Bref, Kerberos me délivre un ticket avec la commande kinit administrator.

Seulement le problème vient avec la commande :

[root@localhost ~]# net ads join -U administrator
administrator's password:
Failed to join domain: Invalid credentials

De cette façon, je n'arrive donc pas à joindre le domaine mais je peux le faire par la commande suivante :

[root@localhost ~]# net join -U administrator
administrator's password:
$Failed to join domain: Invalid credentials
ADS join did not work, falling back to RPC...
Joined domain TEST.

Seulement je ne suis pas sûr que cette commande corresponde vraiment à ce que je veuille, c'est pour cela que je m'entête a vouloir faire fonctionner le net ads join.

J'aimerais votre avis sur cette question qui me hante littéralement depuis quelques semaines.

pmarion

Lorsque tu ne précise pas de protocole (ads ou autre) la commande 'net' essaie tous les protocoles ads, rap ou rpc.

man net wrote:The samba net utility is meant to work just like the net utility available for windows and DOS. The first argument should be used to specify the protocol
to use when executing a certain command. ADS is used for ActiveDirectory, RAP is using for old (Win9x/NT3) clients and RPC can be used for NT4 and Windows
2000. If this argument is omitted, net will try to determine it automatically. Not all commands are available on all protocols.

Je pense que tu as un problème avec ADS.

Essaie l'option '-d 9' (niveau de debug) pour voir éventuellement le problème.

padri18

Tout d'abord : merci pour la réponse, ça fait plaisir !

Ensuite, la commande net ads join -U administrator -d 9 renvoie un bon petit paquet de lignes dont :

[2008/03/25 11:27:08, 1] utils/net_ads.c:net_ads_join(1470)
  error on ads_startup: Invalid credentials
Failed to join domain: Invalid credentials

Pour l'instant, mes recherches n'ont rien donné de concret sur ce message d'erreur...

pmarion

Peux-tu faire un
net ads info
ou
net -d3 ads info
ou
net -d9 ads info

padri18

Voilà ce que donne le net ads info :

LDAP server: 192.168.100.2
LDAP server name: srv-ad.test.local
Realm: TEST.LOCAL
Bind Path: dc=TEST,dc=LOCAL
LDAP port: 389
Server time: mar, 25 mar 2008 13:01:16 CET
KDC server: 192.168.100.2
Server time offset: -8

pmarion

Excuse-moi, j'ai oublié
cat /etc/hosts
net ads lookup

padri18

Pas de problème.
Alors le hosts donne ça :

127.0.0.1               localhost.localdomain localhost localhost
::1             localhost6.localdomain6 localhost6
192.168.100.2   srv-ad srv-ad.test.local test.local

Et net ads lookup donne cela :

Information for Domain Controller: 192.168.100.2

Response Type: SAMLOGON
GUID: c23c8112-8ede-46be-b0ca-f7aafeb30635
Flags:
        Is a PDC:                                   yes
        Is a GC of the forest:                      yes
        Is an LDAP server:                          yes
        Supports DS:                                yes
        Is running a KDC:                           yes
        Is running time services:                   yes
        Is the closest DC:                          yes
        Is writable:                                yes
        Has a hardware clock:                       yes
        Is a non-domain NC serviced by LDAP server: no
Forest:                 test.local
Domain:                 test.local
Domain Controller:      srv-ad.test.local
Pre-Win2k Domain:       TEST
Pre-Win2k Hostname:     SRV-AD
Server Site Name :              Premier-Site-par-defaut
Client Site Name :              Premier-Site-par-defaut
NT Version: 5
LMNT Token: ffff
LM20 Token: ffff

pmarion

Pour voir si c'est un problème de résolution d'adresse :
net ads join -I adresse_ip_serveur -U administrator

padri18

Nop, ça renvoie la même erreur que dans mon premier post.

pmarion

Avec l'option -d9 existe-t-il des lignes significatives avant 'error on ads_startup' ou 'utils/net_ads.c:net_ads_join(1470)' ?

padri18

Effectivement, je n'avais pas fais attention à ces lignes :

[2008/03/25 13:42:16, 3] libsmb/clikrb5.c:ads_krb5_mk_req(593)
  ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found)

pmarion

Problème de cache ?

ls -l /tmp/krb5cc_*
ls -l /tmp/tkt*

padri18

La commande me renvoie :

-rw------- 1 root root 1130 mar 25 13:42 /tmp/krb5cc_0

Le fichier en question contient :

^E^D^@^L^@^A^@^Hÿÿÿøÿû¬¢^@^@^@^A^@^@^@^A^@^@^@
TEST.LOCAL^@^@^@^Madministrator^@^@^@^A^@^@^@^A^@^@^@
TEST.LOCAL^@^@^@^Madministrator^@^@^@^@^@^@^@^B^@^@^@
TEST.LOCAL^@^@^@^Fkrbtgt^@^@^@
TEST.LOCAL^@^W^@^@^@^PÎ|ïR|bdWÄî^G^U<87><97>^Z^UGèó^VGèó^YGéPÙ^@^@^@^@^@^@`^@^@^@^@^@^@^@^@^@^@^@^@^C£a<82>^C<9f>0<82>^C<9b> ^C^B^A^E¡^L^[
TEST.LOCAL¢^_0^] ^C^B^A^@¡^V0^T^[^Fkrbtgt^[
TEST.LOCAL£<82>^Cc0<82>^C_ ^C^B^A^W¡^C^B^A^B¢<82>^CQ^D<82>^CMz^@éè'peáÂK_JÍO^ODÚTÕ<95>ÑÅ+S¦Ø^MßPÄ<8b>ãirã¶^Y^\¨©ºW"½ÖäÈ^@4l¯uIf<91>ú<99>HÕ©     ¸^Ké<97>}d<91>òxB<98>^^úl5[L,k*=Üì~/nÙÚÙ<91>¹pÉ[AÅ fwîS¨<9e>ÝgìwÆ<83>ª`ð^Q^U^Gú#<8d>^Y<9d>yãôOz¢<8e>Pg\G×D{ÚIÿ¥¾x<83>^G9¹^Rdå©tûI¹}×^P
Op<96>gÛ2<95>=^C(<9e>oÖUÒÛ!ÓÂ<84>³<82>Æ*AÅ^B<81>{|î¨RÔ<9d>?<93>B>«^MË±z<88>^B{zôWÈÐy1~Í´à{c?eZÛåø<93>^^M^DöKµ»¤(ÑªU¯.*Éª÷^Z±Í<94><x±æd><91>Ø<9d>3<8b>ôÕZj¾åJ<9e>"|Ä^\±í«^B<89>gköÖý&>Ñ7¿B<87>ãÿÉG^M÷6u;¦Á^T$FÍ^D²^Dmø°ÐÿácD#<8f>Ö¬[<85>Ò#á:n(íó<89>^LÿI½ª³^<88><86>c:FSÌÏôÄd§R<8d>c^Uø^V4Ã      ¥Ø|ê(TYïí×Ù<84> zCÞ<9c>Ë$Ýÿµ<90>È?´Ö&-HlJ¹Ü<92><90>·<9f>B¡b¼ÎÍ"<83>Ü8Æ  y£^?ÖÀ'w.$Ä<8e>~ÍsP^S^_¢=<8a>,Ñ<9f>^PÃZ÷F^Mñ<97>Ï^O^BXÜ^N<9b><97><8b><86>á¾Ö<8f>        ^RªSà^F^Aªm^DhÞ7e^U<86>«¿^Sfî<8b>ý@<8d><8a><8a>mÖüÆé¶^GÁ[^A3Fÿ^G<86>^E°»r(¶~ëëO5'<9d>ì^Si¡^]?ø6ÁÏÀÎ<85><86>PÏAï^B;ôÆÌ7kvÇ<97>i¡Þ¥¼V\<94>^LÍô^D÷]ºÚï<81>óÒK|^DÜD1^O<8a>ù]Ñ^Dä?î<96>Á^Hÿ^<95>^^6ï¢Æa^^^Û^N©|<97>¼×·t^\^D8<85>Ã<92>Á?^Z'Egh¥<9e>:<88>^Kð<8d>R><8b>^T^D<87>Ì´ç^P<86>-oEÔ_<85>JW¥<9b>7é^Wv4øQ:D<93>ÕC$W<80>ª&`ü^Yúñln^A3ëDJË`
 <92><88>Ë^W»<8a><93><95>dxUaè`ÿ+<95>Ã%<9c>ÕB^O^WÅ<9b><92>/<8e>ié<91>Z^\<98>$^]ã¯¼y¿<9b>ÏÆC`}52=(û<8e>djewù<9b>#üØýàcs^?g,w<9e><83>B¿NÂª^^¥^[<93><99>`ôÉ^X(}<8d>õÑùîj<98>à{%jtu<9b>vx[^Sª^U°¾>OÕØ^M¨^Uý`vb§<89>äÔ<89>   é<97>cÊ\û<9c>YÝü®amÍsQÈ<96>å<9a>ÕÜÜ<84>o¹^S¥å§
ê÷2Þ<97>Qäâ7Ù\~^®<92>·WMyÕ¤^@^@^@^@

pmarion

C'est normalement le fichier de cache :
lsof /tmp/krbcc_0

Peux-tu le renommer (ou l'effacer) et relancer
kinit
et
kinit administrator

puis refaire
ls -l /tmp/krb*

padri18

J'ai donc supprimé le fichier krb5cc_0 et lancé les commandes kinit (qui elle n'a rien donné puisqu'il n'y avait plus de ticket dans le cache :normal donc) Puis kinit administrator qui a donc créé un ticket ainsi que le fichier krb5cc_0.

padri18

Afin de repartir sur de bonnes bases (le serveur 2003 se comportant étrangement), j'ai procédé à une réinstalle de celui-ci. J'ai donc recréé mon domaine TEST.LOCAL sans pour autant y ajouter mes utilisateurs.

J'ai maintenant droit à cette erreur lorsque je tape net ads join -U administrator

[root@localhost /]# net ads join -U administrator
administrator's password:
[2008/03/25 16:52:33, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Logon failure

pmarion

Peux-tu re-essayer avec une option -'d3' ou '-d9' ?

padri18

[root@localhost /]# net ads join -U administrator -d3
[2008/03/26 10:21:53, 3] param/loadparm.c:lp_load(5040)
  lp_load: refreshing parameters
[2008/03/26 10:21:53, 3] param/loadparm.c:init_globals(1430)
  Initialising global parameters
[2008/03/26 10:21:53, 3] param/params.c:pm_process(572)
  params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
[2008/03/26 10:21:53, 3] param/loadparm.c:do_section(3779)
  Processing section "[global]"
[2008/03/26 10:21:53, 2] lib/interface.c:add_interface(81)
  added interface ip=165.195.231.34 bcast=165.195.231.127 nmask=255.255.255.128
[2008/03/26 10:21:53, 2] lib/interface.c:add_interface(81)
  added interface ip=192.168.100.1 bcast=192.168.100.255 nmask=255.255.255.0
[2008/03/26 10:21:53, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: "192.168.100.2, TEST.LOCAL"
[2008/03/26 10:21:53, 3] libads/ldap.c:ads_connect(394)
  Connected to LDAP server 192.168.100.2
[2008/03/26 10:21:53, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: "192.168.100.2, TEST.LOCAL"
[2008/03/26 10:21:53, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: "192.168.100.2, TEST.LOCAL"
administrator's password:
[2008/03/26 10:21:55, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: "192.168.100.2, TEST.LOCAL"
[2008/03/26 10:21:55, 3] libads/ldap.c:ads_connect(394)
  Connected to LDAP server 192.168.100.2
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 2 840 48018 1 2 2
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2 3
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 3 6 1 4 1 311 2 2 10
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(222)
  ads_sasl_spnego_bind: got server principal name = srv-ad$@TEST.LOCAL
[2008/03/26 10:21:55, 3] libsmb/clikrb5.c:ads_krb5_mk_req(593)
  ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found)
[2008/03/26 10:21:55, 3] libsmb/clikrb5.c:ads_cleanup_expired_creds(528)
  ads_cleanup_expired_creds: Ticket in ccache[MEMORY:net_ads] expiration mer, 26 mar 2008 20:21:46 CET
[2008/03/26 10:21:55, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: "192.168.100.2, TEST.LOCAL"
[2008/03/26 10:21:55, 3] libads/ldap.c:ads_connect(394)
  Connected to LDAP server 192.168.100.2
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 2 840 48018 1 2 2
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2 3
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(213)
  ads_sasl_spnego_bind: got OID=1 3 6 1 4 1 311 2 2 10
[2008/03/26 10:21:55, 3] libads/sasl.c:ads_sasl_spnego_bind(222)
  ads_sasl_spnego_bind: got server principal name = srv-ad$@TEST.LOCAL
[2008/03/26 10:21:55, 3] libsmb/clikrb5.c:ads_cleanup_expired_creds(528)
  ads_cleanup_expired_creds: Ticket in ccache[MEMORY:net_ads] expiration mer, 26                          mar 2008 20:21:46 CET
[2008/03/26 10:21:55, 3] libsmb/cliconnect.c:cli_start_connection(1509)
  Connecting to host=srv-ad.test.local
[2008/03/26 10:21:55, 3] lib/util_sock.c:open_socket_out(874)
  Connecting to 192.168.100.2 at port 445
[2008/03/26 10:21:55, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
[2008/03/26 10:21:55, 3] libsmb/cliconnect.c:cli_session_setup(972)
  cli_session_setup: NT1 session setup failed: NT_STATUS_LOGON_FAILURE
[2008/03/26 10:21:55, 1] libsmb/cliconnect.c:cli_full_connection(1606)
  failed session setup with NT_STATUS_LOGON_FAILURE
[2008/03/26 10:21:55, 1] utils/net.c:connect_to_ipc_krb5(294)
  Cannot connect to server using kerberos.  Error was NT_STATUS_LOGON_FAILURE
[2008/03/26 10:21:55, 1] utils/net_ads.c:net_ads_join(1548)
  call of net_join_domain failed: Logon failure
Failed to join domain: Logon failure
[2008/03/26 10:21:55, 2] utils/net.c:main(1036)
  return code = -1

padri18

Alors il y a du nouveau.

J'ai donc rejoins mon domaine avec un net join en rpc et j'ai continué sur cette voie.
Aussi, j'ai accès à mes répertoires partagés depuis Windows à la condition que l'utilisateur Windows existe aussi (en termes d'identifiant et de pass) sur le linux.
Ainsi vient l'intérêt de Winbind qui permet de répliquer les utilisateurs windows dans les utilisateurs unix. Seulement c'est ici que je bloque. Mes wbinfo -u et -g fonctionnent, un getent group m'affiche les groupes BUILTIN, mais un getent passwd ne m'affiche que les utilisateurs locaux (et non ceux de l'AD en plus).

Visiblement, winbind ne fait pas correctement son travail et je sèche un peu là dessus.

Voici mon dernier smb.conf en date :

[global]
    winbind offline logon = false
    write list = @TEST\utilisa.,@du,@domaine
    client use spnego = no
    null passwords = yes
    encrypt passwords = yes
    winbind trusted domains only = yes
    winbind use default domain = yes
    realm = TEST.LOCAL
    netbios name = fr1fu0003
    writeable = yes
    time offset = 5
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    password server = srv-ad.TEST.LOCAL
    unix password sync = yes
    template homedir = /home/%D/%U
    template shell = /bin/bash
    workgroup = TEST
    server signing = auto
;    valid users = @TEST\utilisa.,@du,@domaine
    security = ads
    preferred master = no
    local master = no
    domain master = no
    winbind separator = +
    winbind enum users = yes
    winbind enum groups = yes
    os level = 0
;    getwd cache = yes
#--authconfig--start-line--
# Generated by authconfig on 2008/03/25 10:24:42
# DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
# Any modification may be deleted or altered by authconfig in future
#--authconfig--end-line--

[tests]
    comment = Test Share using Active Directory
    path = /data
    writeable = yes
    browseable = yes
    guest ok = yes

Un extrait du nsswitch.conf pour Winbind :

passwd:     files winbind
shadow:     files
group:      files winbind

Des idées ?

Kxan

Et si tu force winbind pour shadow aussi dans le nsswitch et que tu redemarre le tout ?

Page suivante »