Installation de Winbind pour intégrer Samba dans un Domaine Windows

Forum

• Authentification multi domaines

  29 septembre 2005, par ToF

  Salut,

  Merci pour cet article, toute contribution est toujours un acte généreux.

  Je n’ai pas encore testé cela mais je suis confronté à une interrogation à laquelle vous pourrez peut être répondre : Un serveur Samba peut il, avec (ou sans...) winbind, permettre l’authentification d’utilisateurs au sein de plusieurs domaines NT ? Plus clairement : J’ai une application qui s’appuie sur des partages Samba. Je souhaite que des utilisateurs de 3 domaines NT différents (avec des noms de domaines et des PDC différents sur un même réseau physique) mais appartenant à un groupe donné (déclaré dans chacun de ces 3 domaines), soient autorisés à se connecter aux partages Samba utilisés pour cette application.

  Est ce possible avec Samba et Winbind ?

  • > Authentification multi domaines

    29 septembre 2005, par Tony

    Je ne sais pas trop, car je n’ai jamais travaillé sur plusieurs domaines, mais voici quand-même ce que j’en pense :
     A mon avis, cela dépend si les utilisateurs sur les 3 domaines sont les mêmes ou pas (Même login / mot de passe). Winbind se contente de récupérer la liste des utilisateurs du contrôleur de domaine indiqué. Si ce contrôleur contient tous les utilisateurs de tous les domaines, cela devrait fonctionner.
    • > Authentification multi domaines

      10 octobre 2005

      Salut Tony,

      merci de ta réponse. Malheureusement non, les utilisateurs des 3 domaines ne sont pas les mêmes... Ce sont bien 3 domaines différents avec des utilisateurs différents... Je vais continuer à creuser, mais j’ai peur que ce soit infaisable.

• Débutant bloqué

  5 juillet 2005, par Haya

  Bonjour à tous et un grand merci au rédacteur de ce super article très clair pour les débutants comme moi. En fait je suis bloqué dans les premières étapes car je n’arrive pas à modifier le fichier nsswitch.conf :

  �Le document n’a pas pu être enregistré, car il n’a pas été possible d’écrire dans file :/etc/nsswitch.conf. Vérifiez que vous avez des droits d’écriture dans ce fichier ou qu’il y a suffisamment d’espace disque disponible.�

  Donc je suppose qu’il faut être en super utilisateur pour le modifier mais comment faire car je ne peux pas le logguer en superutilisateur ??!! Pour info j’utilise la distribution Kaella 2.0 installée sur le disque dur.

  Merci pour votre aide.

  • Débutant bloqué

    19 juin 2006

    il faut pour pouvoir le modifier que tu te log en root pour cela tu entre la commande : su

    voila à la suite tu pourra modifier ton fichier à partir de la console ouverte. grace aux outils gedit kwrite vim vi .... en espérant avoir donner une réponse a ta question amicalement swann

• > Installation de Winbind pour intégrer Samba dans un Domaine Windows

  7 mai 2005

  Salut !

  J’ai suivit la procédure avec la Sarge (connectée à un controleur W2K Active Directory).

  Toutes les commandes passent bien sauf que quand je fait :

  smbclient -L //Debian -U administrateur

  J’entre bien mon mot de passe et j’obtient : "session setup failed : NT_STATUS_LOGON_FAILURE"

  D’autre part j’ai remarqué que si j’entre un mot de passe vide avec ce compte ou un compte bidon je n’ai pas cette erreur et j’ai "Anonymous login successful".

  Une idée ?

  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

    8 mai 2005, par Tony

    Le login administrateur est un login d’un poste Windows et je doute que l’ordinateur Debian soit un poste Windows :-)

    Il faut que le login existe sur l’ordinateur à afficher les ressources partagées.

    Et pour un poste Linux il faut un utilisateur reconnu par Samba.

    • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

      8 mai 2005

      hum... c’est moi qui comprend rien alors ! lol

      Y’a un truc qui me parait pas clair en fait : si le CDP est Windows, on devrait pas utiliser un utilisateur provenant de celui-ci pour accéder aux ressources systèmes (en fait j’ai ajouté un utilisateur samba et fait le test après un redémarrage de samba... et j’ai la même erreur) ?

      J’ai trouvé des docs qui ajoutent des lignes :

      passwd program = /usr/bin/passwd %u

      passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd :*all*authentification*tokens*updated*successfully*

      add user script = /usr/sbin/useradd %U -d /home/%u -m -s /bin/sh

      delete user script = /usr/sbin/userdel -r %U

      C’est ca qui me permetrait de créer automatiquement mes utilisateurs Windows sur Linux et donc utiliser la commande smbclient comme je le faisait ? (j’ai ajouté ces lignes et redémarrer samba mais ca n’a pas l’air de marcher)

      Y’a autre chose sur lequel je me pose des questions également, c’est la ligne "wins server = x.x.x.x"... C’est vraiment obligatoire de metre ca de nos jour avec un serveur 2000 en AD ? Je crois savoir que Wins n’est plus utilisé de nos jours (c’est ce qu’on m’a dit à l’école en tout cas)

      Désolé pour toutes ces questions mais toutes les docs que j’ai trouvé sur samba/winbind semblent utiliser des démarches plus ou moins différentes les unes avec les autres...

      • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

        8 mai 2005, par Tony

        Avec Winbind, il n’est pas necessaire d’utiliser de script pour ajouter des utilisateurs à Samba. C’est justement le but de Winbind d’éviter ce travail de duplication des utilsiateurs.

        Concernant Wins, je pense que tu as raison, car Win 2000 ne fonctionne pas du tout pareil avec AD. Mon how-to fonctionne avec Win NT, mais je ne l’ai jamais testé avec Win 2000 et AD.

        Il est vrai qu’il existe beaucoup de doc sur Internet et j’ai également galéré. Mais chaque configuration est également différente. Je pense que tu auras plus de chance avec une doc utilisant Win 2000 et AD.

        • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

          8 mai 2005

          D’accord, donc si je regarde dans la liste des utilisateurs samba je devrait voir les utilisateurs créés sous Windows, non ?

          Si c’est le cas il y a une problème car je ne les voit pas !

          Sinon j’ai viré la ligne "obey pam restrictions = yes" et maintenant j’arrive à aller sur mon partage samba depuis windows. Par contre le partage home rèste inaccessible (un peu normal vu que le dossier home de l’utilisateur n’existe pas). Y’a un moyen pour mettre ca en place automatiquement ?

          j’ai aussi essayé de faire ca :

          adduser test smbpasswd -a test smbclient -L //Debian -U test

          et j’ai encore "session setup failed : NT_STATUS_LOGON_FAILURE" !

          Normal ou pas normal ?

          • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

            9 mai 2005

            Ca marche !

            J’ai réinstallé AD en mettant un vrais nom de domaine de type "nomdedomaine.com" (avant j’avais mis un nom sans extension de type "nomdedomaine").

            Je ne sais pas si ca a un rapport mais j’ai l’imprèssion que winbind ne faisait pas son travail avant.

            Me rèste plus qu’a voir pour la création automatique des comptes Unix liés (pour avoir un dossier home) mais je pense que c’est pas trop compliqué. Apparement y’a une ligne qui permet de synchroniser les comptes samba et les comptes unix.

            • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

              10 mai 2005, par Tony

              Merci d’avoir donné la solution sur ce forum.

              Si tu trouves la solution pour la création des comptes, n’hésite pas à la donner aussi :-)

              • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

                15 mai 2005, par Slasher

                Pour la création de comptes j’ai ajouté les lignes suivantes dans smb.conf :

                unix password sync = yes

                passwd program = /usr/bin/passwd %u

                passwd chat = *Enter\snew\sUNIX\spassword :* %n\n *Retype\snew\sUNIX\spassword :* %n\n .

                add user script = /usr/sbin/useradd %U -d /home/%u -m -s /bin/bash

                delete user script = /usr/sbin/userdel -r %U

                Par contre le partage home n’est pas correct. J’ai pas encore eu le temps d’aprofondir le problème mois je crois que c’est juste le chemin qui n’est pas bon car si je modifie les lignes pour faire le partage manuellement en indiquant le path du home d’un utilisateur, ca marche.

                http://www.HeavyMetalMaster.com
                • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

                  15 mai 2005, par Slasher

                  Et je vient de voir que j’avais déjà posté ces lignes un peu plus haut. En fait si elles ne marchaient pas au début c’est parce que winbind ne faisait pas son travail et ne créait pas les comptes samba -> pas de comptes samba, donc pas de synchro avec les comptes UNIX.

                  http://www.HeavyMetalMaster.com
                  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

                    18 mai 2005, par Slasher

                    Petite rectification : j’ai refait l’install depuis le début pour etre sur de mon coup et cette fois ca ne marche pas.

                    D’après ce site : http://elricyo.free.fr/ProjetReseau/parti5.htm Ce serait lié à PAM. Le problème c’est qu’il fournit une solution pour une distribution autre que Debian et que les fichiers de config semblent un peu différents.

                    Si je trouve une solution sure je donnerai les explication ici.

                    Heavy Metal Master
                    • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

                      21 janvier 2006, par elesar

                      sur debian sarge dans /etc/pam.d (en commentaire se trouve la ligne d’origine )

                      common-auth :

                      #auth required pam_unix.so nullok_secure

                      auth sufficient pam_unix.so nullok_secure

                      auth sufficient /lib/security/pam_winbind.so

                      common-account :

                      #account required pam_unix.so

                      account sufficient pam_unix.so

                      account sufficient /lib/security/pam_winbind.so

                      samba :

                      @include common-auth

                      @include common-account

                      @include common-session

                      Pour ceux qui veulent en plus se logger en shell :

                      common-auth :

                      auth required pam_env.so

                      auth required pam_mount.so

                      auth sufficient pam_winbind.so use_first_pass

                      auth sufficient pam_unix.so use_first_pass likeauth nullok_secure

                      auth required pam_deny.so

                      (LE pam_mount c’est pour monter automatiquement un partage nfs/cifs, vous pouvez donc le retirer )

• > Installation de Winbind pour intégrer Samba dans un Domaine Windows

  21 avril 2005, par françois

  Je n’arrive pas à accéder à mon serveur samba depuis mes Windows XP SP2. Je ne comprends pas ce qu’est un contrôleur de domaine. Mon serveur est le seul alumé 24/24, doit-il obligatoirement être contrôleur ? ou est-ce un des deux Windows, qui étais en premier sur le réseau ? N’y a-t-il pas un moyen d’avoir juste le samba en partage sur tout le réseau interne ?

  Merci d’avence de vos éclaircissements...

  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

    22 avril 2005, par Tony

    Un controleur de domaine, permet de centraliser la création des utilisateurs sur un seul ordinateur.

    Ce mémo se base sur un controleur de domaine déja existant.

    Un serveur Samba peut faire office de controleur de domaine, mais cela dépasse le cadre de ce mémo.

    Autrement, si le nombre de postes est très limité, il faut créer les mêmes utilisateurs sur tous les postes y compris sur le serveur Samba.

• > Installation de Winbind pour intégrer Samba dans un Domaine Windows

  9 février 2005

  Pour moi tout marche jusqu’à la ligne smbclient -L //pgdebian -U tony

  Pourquoi ne faut-il pas faire smbclient -L //pgdebian -U NT1/tony ?

  moi j’ai essayé avec NT1/Administrator, mais ca ne marche pas, pourtant wbinfo -a a marché... Faut-il vraiment créer les utilisateurs du domaine localement ?? Il me semblait qu’avec winbind y’avait plus besoin de le faire, mais là j’ai un doute...

  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

    9 février 2005, par Tony

    Non, il ne faut pas créer les utilisateurs du domaine sur le serveur Linux. C’est le but de Winbind d’éviter ce travail.

    Si le serveur Linux est ajouté au domaine (net rpc join) et si toutes les commandes de ce document fonctionnent (wbinfo, getent, smbclient) tout devrait rouler :-)

    Concernant la commande « smbclient -L », il ne faut pas indiquer le domaine mais uniquement un utilisateur quelconque du domaine.

  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

    9 février 2005

    Voilà le log log.nt4a (du serveur ou j’ai essayé de me connecter avec l’exploreur en tant que domain administrator)

    [2005/02/09 11:19:04, 0] smbd/service.c:make_connection(800) nt4a (192.168.2.75) couldn’t find service benuzer

    Voilà un erreur du log.winbind [2005/02/09 11:31:37, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(298) group NT1+Domänen-Admins in domain BOREALIS does not exist

    et enfin voilà mon smb.conf [global] workgroup = NT1 netbios name = Borealis server string = %h server (Samba %v) wins support = no wins server = 192.168.2.67 dns proxy = no name resolve order = lmhosts host wins bcast

    #### Debugging/Accounting #### log file = /var/log/samba/log.%m max log size = 1000  ; syslog only = no syslog = 0 # Do something sensible when Samba crashes : mail the admin a backtrace panic action = /usr/share/samba/panic-action %d

    ####### Authentication ####### security = domain encrypt passwords = true passdb backend = tdbsam guest obey pam restrictions = yes  ; guest account = nobody invalid users = root  ; unix password sync = no

    ############ Misc ############

    # You may want to add the following on a Linux system : # SO_RCVBUF=8192 SO_SNDBUF=8192 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

    # The following parameter is useful only if you have the linpopup package # installed. The samba maintainer and the linpopup maintainer are # working to ease installation and configuration of linpopup and samba.  ; message command = /bin/sh -c ’/usr/bin/linpopup "%f" "%m" %s ; rm %s’ &

    ########### DOMAIN ###############  ; domain master = auto

    idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash winbind separator = /

    #======================= Share Definitions =======================

    [samba] path = /home/samba/users browseable=yes writeable=yes valid users = NT1/Administrator admin users = NT1/Administrator

    • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

      10 février 2005, par Tony

      Bonjour,

      J’ai un peu étudié ta configuration et je me pose plusieurs questions :
       C’est quoi le service « benuzer » ?
       Samba fonctionne t’il sans Winbind en créant les utilisateurs sur le poste Linux ?
       Il me semble qu’il y un une contradiction entre « wins support = no » et « wins server = 192.168.2.67 »
       Tu utilises beaucoup de paramètres que personnellement je n’utilise pas (et ne connais même pas), comme « passdb backend = tdbsam guest obey pam restrictions = yes,... ». Il faudrait peut-être faire un essai avec le minimum de paramètres comme ceux donnés dans mon document.

      A part ça, je n’ai pas trop d’idées pour te dépanner.

      • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

        16 février 2005, par Marian

        Précision : il n’y a pas contradiction entre les clauses "wins support=no" et "wins server=192.168.2.67" car la première indique à SAMBA s’il doit agir en tant que _serveur_ WINS ou non (ici c’est non), tandis que l’autre lui indique justement vers quel serveur externe envoyer ses requêtes client.

        En résumé, SAMBA est ici configuré en tant que client WINS.

        Il y aurait effectivement (probable) contradiction si la clause "wins support=yes" avait été utilisée en même temps qu’une clause "wins server=192.168.2.67" (quoiqu’il faudrait tester...)

        • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

          17 février 2005, par Tony

          Merci Marian pour ta correction
          • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

            17 février 2005, par Marian

            De rien, c’était plus une précision qu’une correction :o)

            Pour info, j’ai vérifié aujourd’hui, si on indique "wins support = yes" on ne peut pas utiliser "wins server= w.x.y.z" (même SWAT indique l’incohérence !).

  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

    15 février 2005, par kiki

    Bonjour tout le monde,

    je me pose une kestion. Winbind recupère bien les groups et users mais est ce kil les stockent ??

    Et ils possible de supprimer le serveur Windows après la récupération afin que Samba devienne PDC ??? Quand penses tu ?

    Si tu as de la doc , fait me le savoir ???

    kiki :)

    • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

      15 février 2005, par Tony

      Bonjour,

      Je sais que c’est faisable, car je connais une société qu’il l’a fait, mais je n’en sais pas plus :-)

      • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

        21 avril 2005, par Hanène

        Bonjour, Je bloque depuis pas mal de temps sur ce problème : Je voudrais intégrer un client linux, sur mon réseau NT 4.0. Tout ce que que je désire c’est que mon user puisse se loguer sur le poste linux avec usernmae et password comme sur tout les windobe du réseau. J’ai donc un poste sous mandrake 10.0, j’ai installer samba et winbind, tout bien configurer. Les test fonctionnent. smbclient, wbinfo -a pour me logguer. Ils récupèrent ma liste de users, et de groupe. Tout va bien en mode console. Le problème vient au démarrage du poste, a l’écran de connexion. La je vois tou les utilisateurs du domaine, normal. Quand j’essaie de me logger il me dit que mon mot de passe est érroné. Alors que si j essaie avec wbinfo -a username%password sa marche. Quelqu’un aurait-il une idée, je désespere merci
        • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

          21 avril 2005, par Tony

          Ouvrir une session sur un poste Linux en utilisant les utilisateurs du domaine NT est quelsque chose que je n’ai encore jamais fait, mais que j’ai l’intention de tester rapidement.

          Si j’y arrive je ne manquerai pas de faire un memo sur le sujet, mais en attendant je n’ai pas a réponse et ce memo n’a pas été écrit dans ce but.

          • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

            2 mai 2005, par Nononsch

            Bonjour à tous d’abord merci pour ce tutorial beaucoup plus clair et comprehensible que les autres que j’ai pu trouver ailleurs. Sinon g tout de même une couille dans le potage : quand je me joint au domaine Windows tout semble se passer nikel , g bien le message qui me dit que mon poste Linux a rejoint le domaine. Mais quand je lui demande de m’afficher la liste des utilisateurs : nada ! Apparemment il a des problemes à importer les users alors que pour les groupes c nikel.. D’autre part je ne trouve pas l’enregistrement DNS associé sur le PDC.. Voila....D’avance merci
            • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

              2 mai 2005, par Tony

              Il faut bien vérifier la configuration de la ligne "passwd : compat winbind" dans "nsswitch.conf" et également la ligne "idmap uid = 10000-20000" dans "smb.conf"

              Le PDC est bien un serveur sous Win NT ?

              C’est étonnant d’arriver à récupérer les groupes si le serveur Samba n’est pas enregistré sur le PDC.

              Autrement, il faut bien penser à toujours regarder les logs sur le PDC Windows ou le poste Samba.

              A part ça, je n’ai pas d’autre d’idée.

            • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

              6 mars 2006, par celine222

              J’ai exactement le même problème que toi et ça fait un moment que je cherche sans résultat donc si tu as trouvé la solution j’aimerai beaucoup savoir comment, merçi
              • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

                21 décembre 2006, par charly

                bonjour a tous

                moi j’ai un un truc vraiment bizare :

                en effet j’arrive bien a voir tous les utilisateurs avec wbinfo -u tous les groupes avec wbinfo -g mais quand je fait un fait un

                smbpasswd -j slo -r slsv -U administrateur

                ça me dit : unable to join domain NT_STATUS_ACCESS_DENIED je comprend pas pourquoi,

        • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

          29 août 2005, par David

          Salut, ce qui est fait jusqu’à présent est incomplet. Tu t’es juste assuré que windows et samba peuvent travailler ensembles. Pour ce qui est de l’authentification, il faut configurer PAM puisque les applications elles s’adressent à PAM. C’est expliqué dans les samba HOWTO (un peu long pour cette note). Bye
          • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

            29 août 2005, par Tony

            Bonjour, pour moi, c’est suffisant, car il n’est pas prévu de se connecter au serveur avec un compte du domaine mais uniquement de pouvoir utiliser les comptes du domaine avec Samba. Pour la connexion au serveur, j’ai fais un autre article :
             > http://www.coagul.org/article.php3 ?id_article=306
  • > Installation de Winbind pour intégrer Samba dans un Domaine Windows

    12 avril 2007, par Gino-007

    Bonjour

    J’ai installer samba sur une machine linux (centos) et j’ai configuré smb.conf, nsswitch.conf, krb5.conf.

    Tout ça pour intégré le samba dans le domaine AD.

    J’ai reussi d’intégré ma machine linux (samba) dans le AD windows, avec la commande : net rpc join -S [moncontrolleurDomain] -U administrateur

    Par contre je n’arrive pas à synchroniser mes utilisateurs et les groupes qui existant dans l’AD. Donc les commande : wbinfo -a et wbinfo -g me renvoie :

    Error looking up domain users.

    Donc si quelqu’un peut m’aider à resoudre ce probleme. Sachent de ma coté j’ai fait trop de recherche.....

    Merci