RESOLU : Samba dans Active Directory : pb Winbind

To: "'debian-user-french@lists.debian.org'" <debian-user-french@lists.debian.org>
Subject: RESOLU : Samba dans Active Directory : pb Winbind
From: TOUZEAU Pierre SGAR14 <pierre.touzeau@basse-normandie.pref.gouv.fr>
Date: Wed, 19 Nov 2008 09:18:11 +0100
Message-id: <[🔎] 2B25720ADB3A9145BE6A3F503CA4134020D177@msgpref14.at.int>

Title: RESOLU : Samba dans Active Directory : pb Winbind

J'ai trouvé l'aide auprès d'un service interne qui possède les compétences requises, mais la réponse peut-être utile à certain.

2 points :
Nous sommes dans un domaine Active Directory qui possède un grand nombre d'objet, les requêtes n'aboutissent pas forcément, il y a lieu de revoir le schéma AD, mais c'est un problème qui dépasse le cadre de ce forum.

Il y a un service "AVAHI_DAEMON" qui sert à la recherche de service sur le réseau (si j'ai bien compris) qui est de nature à géner Winbind.

De fait, dès que je l'ai arrêté, tout est redevenu normal et mes nouveaux utilisateurs ont été reconnus. J'ai d'ailleurs vérifié en faisant un dump de la base Winbind.

Pierre
==============================================
Msg d'origine :
--------------
Nous avons les mêmes soucis, le cache Winbind est incomplet, il manque des utilisateurs, des suppressions ou créations de groupes ou utilisateurs ne sont pas forcément pris en compte dans le cache.

Vu le nombre important d'objets sur le domaine, (plus de 10000 utilisateurs, plus de 7000 groupes, plus de 10000 ordinateurs ) et l'utilisation de liaison Wan, le fonctionnement de Winbind (en mode "idmap backend RID ") qui communique avec les contrôleurs de domaine, n'est plus satisfaisant.

L'énumération complète des utilisateurs et des groupes prenant beaucoup de temps et de bande passante, les contrôleurs de domaine A.D. ne répondent qu'en parti (environ 1500 objets) avec des serveurs membres.

Le fonctionnement de Winbind est aléatoire. Vous pouvez avoir après un certain temps, vos utilisateurs en cache mais rien de garanti que l'ajout d'un nouvel utilisateur soit pris en compte.

Le mode de fonctionnement plus approprié sur le domaine active directory, serait d'ajouter les extensions de schéma Microsoft SFU (Services For Unix) au niveau d'A.D. et de paramètrer « idmap backend = ad ».

Ce fonctionnement permet de stocker directement les associations entre SID et UID-GID dans une UO au sein d'A.D. et non plus sur le serveur Samba.

Ce mode de fonctionnement nécessite de gérer des attributs supplémentaires dans A.D. Pour ce faire, les schémas d'A.D doivent être modifiés afin de gérer le schéma LDAP Microsoft S.F.U. (Services For Unix).

....
Pour votre serveur qui pose problème,
S'assurer que le démon avahi_daemon soit arrêter car il peux géner Winbind.
mettre AVAHI_DAEMON_START=0 dans le fichier /etc/default/avahi-daemon

Vous pouvez visualiser le fichier winbindd_idmap.tdb pour vérifier la récupération des données Winbind par la commande :

net idmap dump /var/lib/samba/winbindd_idmap.tdb > winbindd_idmap.tdb.dump
cat winbindd_idmap.tdb.dump |more

De même, vous pouvez restaurer un fichier par la commande :
net idmap restore < winbindd_idmap.tdb.dump

-----Message d'origine-----
De : debian-user-french-request@lists.debian.org [mailto:debian-user-french-request@lists.debian.org] De la part de TOUZEAU Pierre SGAR14

Envoyé : vendredi 3 octobre 2008 12:43
À : 'debian-user-french@lists.debian.org'
Objet : Samba dans Active Directory : pb Winbind

Résumé très synthétique :
Dans un environnement Active Directory, un serveur DEBIAN/SAMBA ne reconnaît pas les utilisateurs nouvellement créés dans AD, tandis qu'un autre serveur, quasiment identique, y parvient ?

Comment identifier le problème.
========
J'ai une DEBIAN(Etch-2.6.8)/SAMBA(3.0.24) en serveur de fichier pour des utilisateurs.
A l'origine je déclinais mes utilisateurs sous LINUX (passwd) et SAMBA (smbpasswd) et créait les partages qui vont bien (en mode SHARE).

Notre ministére a migré la gestion de tous les utilisateurs/machines vers Active Directory.
J'ai fait un pseudo-clône (presque identique) de mon serveur pour préparer la migration. Je n'ai pas utiliser l'utilitaire SADMS, mais j'ai pu installer l'ensemble recommandé : nntp, kerberos, winbind, pam, samba.

Malgré des difficultés, le clône a migré correctement.
J'ai donc migré le serveur opérationnel et les utilisateurs se connectent (et montent des partagent disques) correctement avec leurs identifiants Windows.

Mais je découvre un problème qui affecte les utilisateurs nouvellement créés (post-migration).
Je vais vous exposer le problème, mais pressentant des difficultés certaines dans la recherche de la solution, j'aimerais surtout que me soit indiqué des pistes de recherches, dans quel log ? Quel commande pour connaître tel comportement etc.

Problème sur serveur SFIC01, la commande :
        # wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
Répond :
        AT+DUPONT 1
C'est-à-dire Utilisateur Dupont dans le domaine AT qui correspond au SID indiqué.
Tandis que la commande inverse :
        # wbinfo --name-to-sid DUPONT     (ou wbinfo --name-to-sid AT+DUPONT)
Répond :
        Could not get info for user AT+DUPONT
Les mêmes commandes sur serveur clône SFIC02 sont correctes :
        # wbinfo --sid-to-name S-1-5-21-2218686169-3860314717-31487677-38844
        AT+DUPONT 1
la commande inverse :
        # wbinfo --name-to-sid DUPONT
        S-1-5-21-2218686169-3860314717-31487677-38844 User (1)
Les commandes wbinfo -u ou -g répondent très partiellement, que je sois en enum ou pas, car l'ensemble du Ministère est accessible et représentent un nombre d'objet trop important à lister, à énumérer...

Les commandes getent passwd ou group ne répondent qu'avec les données locales pour les mêmes raisons.
Le log de winbindd n'indique que des warnings liés à l'utilsation de clause "deprecated" (printer admin...)
Auriez-vous des pistes que me permettent d'examiner pourquoi les nouveaux utilisateurs sont inconnus alors que les anciens ont l'accès direct (montage de disque lors du logon, etc).

Nota: Les serveurs différents très légèrement au niveau de kerberos, car sur SFIC02 je n'ai pas tout installé???
SFIC02 # dpkg -l | grep krb
ii krb5-config         1.16                    Configuration files for Kerberos Version 5
ii krb5-user           1.4.4-7etch5    Basic programs to authenticate using MIT Ker
ii libkrb53            1.4.4-7etch5    MIT Kerberos runtime libraries
SFIC01 # dpkg -l | grep krb
ii krb5-admin-server   1.4.4-7etch5    MIT Kerberos master server (kadmind)
ii krb5-config         1.16                    Configuration files for Kerberos Version 5
ii krb5-kdc            1.4.4-7etch5    MIT Kerberos key server (KDC)
ii krb5-user           1.4.4-7etch5    Basic programs to authenticate using MIT Ker
rc libkrb-1-kerberos4kth       1.2.2-11.2      Kerberos Libraries for Kerberos4 From KTH
ii libkrb5-17-heimdal 0.7.2.dfsg.1-10 Libraries for Heimdal Kerberos
ii libkrb53            1.4.4-7etch5    MIT Kerberos runtime libraries
ii libpam-krb5         2.6-1                   PAM module for MIT Kerberos
Mais je doute que ces différences kerberos participent du problème...
A vous écouter/vous lire...
Merci.
Pierre Touzeau
----------------------------------------------------------
Chargé de mission / Préfecture de region Basse-Normandie
SGAR/rue Daniel HUET/14038 CAEN CEDEX/Tel: +33 231 306 306
pierre.touzeau@basse-normandie.pref.gouv.fr / Fax: ... 564
----------------------------------------------------------

Reply to:

Prev by Date: Re: Recette de partitionnement dans un preseed etch
Next by Date: Re: Qui a utilise xen 3.2 sous Lenny avec succes?
Previous by thread: Re: Recette de partitionnement dans un preseed etch
Next by thread: Installation de Debian sur un MacBook Pro (modèle fin 2008)
Index(es):
- Date
- Thread