Résumé très synthétique :
Dans un environnement Active Directory, un serveur DEBIAN/SAMBA ne reconnaît pas les utilisateurs nouvellement créés dans AD, tandis qu'un autre serveur, quasiment identique, y parvient ?
Comment identifier le problème.
========
J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur de fichier pour des utilisateurs.
A l'origine je déclinais mes utilisateurs sous LINUX (passwd) et SAMBA (smbpasswd) et créait les partages qui vont bien (en mode SHARE).
Notre ministére a migré la gestion de tous les utilisateurs/machines vers Active Directory.
J'ai fait un pseudo-clône (presque identique) de mon serveur pour préparer la migration. Je n'ai pas utiliser l'utilitaire SADMS, mais j'ai pu installer l'ensemble recommandé : nntp, kerberos, winbind, pam, samba.
Malgré des difficultés, le clône a migré correctement.
J'ai donc migré le serveur opérationnel et les utilisateurs se connectent (et montent des partagent disques) correctement avec leurs identifiants Windows.
Mais je découvre un problème qui affecte les utilisateurs nouvellement créés (post-migration).
Je vais vous exposer le problème, mais pressentant des difficultés certaines dans la recherche de la solution, j'aimerais surtout que me soit indiqué des pistes de recherches, dans quel log ? Quel commande pour connaître tel comportement etc.
Problème sur serveur SFIC01, la commande :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
Répond :
AT+DUPONT 1
C'est-à-dire Utilisateur Dupont dans le domaine AT qui correspond au SID indiqué.
Tandis que la commande inverse :
# wbinfo --name-to-sid DUPONT (ou wbinfo --name-to-sid AT+DUPONT)
Répond :
Could not get info for user AT+DUPONT
Les mêmes commandes sur serveur clône SFIC02 sont correctes :
# wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
AT+DUPONT 1
la commande inverse :
# wbinfo --name-to-sid DUPONT
S-1-5-21-2218686169-3860314717-31487677-38844 User (1)
Les commandes wbinfo -u ou -g répondent très partiellement, que je sois en enum ou pas, car l'ensemble du Ministère est accessible et représentent un nombre d'objet trop important à lister, à énumérer...
Les commandes getent passwd ou group ne répondent qu'avec les données locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation de clause "deprecated" (printer admin...)
Auriez-vous des pistes que me permettent d'examiner pourquoi les nouveaux utilisateurs sont inconnus alors que les anciens ont l'accès direct (montage de disque lors du logon, etc).
Nota: Les serveurs différents très légèrement au niveau de kerberos, car sur SFIC02 je n'ai pas tout installé???
SFIC02 # dpkg -l | grep krb
ii krb5-config 1.16 Configuration files for Kerberos Version 5
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using MIT Ker
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
SFIC01 # dpkg -l | grep krb
ii krb5-admin-server 1.4.4-7etch5 MIT Kerberos master server (kadmind)
ii krb5-config 1.16 Configuration files for Kerberos Version 5
ii krb5-kdc 1.4.4-7etch5 MIT Kerberos key server (KDC)
ii krb5-user 1.4.4-7etch5 Basic programs to authenticate using MIT Ker
rc libkrb-1-kerberos4kth 1.2.2-11.2 Kerberos Libraries for Kerberos4 From KTH
ii libkrb5-17-heimdal 0.7.2.dfsg.1-10 Libraries for Heimdal Kerberos
ii libkrb53 1.4.4-7etch5 MIT Kerberos runtime libraries
ii libpam-krb5 2.6-1 PAM module for MIT Kerberos
Mais je doute que ces différences kerberos participent du problème...
A vous écouter/vous lire...
Merci.
Pierre Touzeau
----------------------------------------------------------
Chargé de mission / Préfecture de region Basse-Normandie
SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 306 306
pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: ... 564
----------------------------------------------------------