On Mon, Jan 12, 2009 at 07:03:36PM +0100, David BERCOT wrote:
> Bonjour,
>
> Je me permets ce mail en direct, au cas où, car, vu les problèmes de
> connexion que j'ai en ce moment, mon serveur n'était pas accessible (en
> ce moment, il l'est, et j'espère que ça va durer ;-))).
>
> Bref, merci d'avance pour ton aide et désolé pour le dérangement...
>
> David.
Je met quand même la liste en copier, ça peut certainement servir.
> Le Tue, 6 Jan 2009 22:57:19 +0100,
> Gilles Mocellin <gilles.mocellin@free.fr> a écrit :
[...]
> > Peux-tu nous montrer toute ta config, surtout ce qui sert à windbind,
> > pas les partages.
>
> En fait, voici l'ensemble :
> http://wilco.bercot.org/debian/debian_ad.html
Bizarre ce mappage distinctif pour les deux domaines. As tu réellement besoind de ça ?
On ne s'est pas préoccupé de ça...
Par contre, quand on aura plus qu'une forêt, on va vite essayer d'utiliser l'extension de schéma AD pour y stocker les ID user et group.
La config kerberos est différente pour nous.
Je l'ai simplifiée au maximum, en indiquant d'utiliser le DNS pour trouver les kdc notament.
Tes kdc et serveurs d'admin, ce sont des Windows Active Directory ou non ?
Si oui, il me semblerait plus simple d'avoir ceci :
[libdefaults]
default_realm = MONDOMAINE.LOCAL
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
Et encore, je ne sais même pas si tout est nécessaire...
Pour samba/winbind, ma conf est celle-ci :
[global]
workgroup = MONDOMAINE
realm = MONDOMAINE.LOCAL
server string = %h server
security = ADS
encrypt passwords = true
obey pam restrictions = Yes
password server = PDCNT1, PDCNT2, *
passdb backend = tdbsam
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
syslog = 0
log file = /var/log/samba/log.%m
max log size = 2000
deadtime = 30
socket options = TCP_NODELAY IPTOS_THROUGHPUT SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-30000
idmap gid = 10000-30000
template shell = /bin/bash
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = No
invalid users = root
admin users = "MONDOMAINE+administrateur"
inherit acls = Yes
map acl inherit = Yes
hide unreadable = Yes
veto files = /lost+found/
D'après le man de smb.conf, je pense que tu ne devrais pas utiliser "winbind trusted domains only".
Si tu es en version Etch de samba, c'est la 3.0.24-6etch10. Les options idmap domains avec config spécifique par domaine, c'est apparu plus tard...
Quelle version utilises donc tu ?
On dirait qu'il te manque un password server, sauf si par defaut ça fait une recherche Netbios et DNS, comme avec le "= *".
D'après le man, la valeur par defaut est bien = *...
Autre chose, j'ai eu des soucis avec le séparateur \, bien que ça soit le défaut.
> > Je trouve bizarre que dans les logs, il parle d'utilisateurs mappés...
Ca doit venir du mappage des ID (idmap) suivant le domaine AC ou AC-NANTES.
> > Pour info, je n'ai pas de soucis avec une foret de plusieurs
> > domaines, des serveurs de fichiers sous samba accédés par des
> > utilisateurs de différents domaines de cette foret, même encore de
> > domaines NT4 avec relation d'aprobation !
>
> Si je comprends bien, ça signifie que je devrais donc, à terme, y
> arriver ;-)
> Il ne reste plus qu'à savoir comment !
C'est sur !
Attachment:
signature.asc
Description: Digital signature