Rejoindre domaine Samba PDC

[lavazavio]

Salut à tous,

Mon problème est tout simple : je n'arrive pas à rejoindre le domaine de mon PDC samba que ce soit avec des clients XP ou Vista.
J'ai un message d'erreur qui me dit que le nom du domaine n'est pas trouvé dans l'active directory (logique !).

En fait, je teste un serveur samba en PDC dans un réseau constitué d'un serveur windows. Je tiens à préciser que les noms des domaines samba et windows sont différents, donc je ne vois pas pourquoi je n'arrive pas à me détacher du serveur windows.
Meme si je repasse mes clients sur le groupe de travail WORKGROUP par exemple avant de tenter de les faire rejoindre le domaine samba, j'ai toujours ce message d'erreur avec active directory.

Comment faire pour pouvoir intégrer le domaine samba ?

[lu6fer]

peut être que tu trouvera un élément de réponse ICI

je m'en suis servi pour monter un serveur samba PDC dans une entreprise

[lavazavio]

Merci !
Est ce que tu sais à quoi correspondent les clés de resgistre windows qui sont conseillées de modifier et leur role et impact sur le PDC ?

[lu6fer]

non du tout, mais avec les different essaie, sur un xp pro il n'y a rien a modifier.

ou alors les modif avait deja etaient faites.

[lavazavio]

Bon, ca avance !
Je suis arrivé à rejoindre le domaine et j'ai une session utilisateur ouverte sous Vista.
Pour info, j'ai seulement augmenter l'OS level (de 33 a 100), alors que samba est le seul serveur sur le domaine ?!

J'ai maintenant 2 autres problemes :
1) Une fois loggué en tant que toto sous vista, je n'arrive pas à rechanger de domaine car vista demande d'entrer le couple admin/pwd pour donner l'autorisation mais le compte admin n'est pas reconnu comme administrateur (alors que c'est root).

2) Toujours sou vista, je n'arrive pas a faire fonctionner les profils itinérants et le lancement de script au démarrage de session.
J'ai un message comme quoi le profil itinérant n'a pas été chargé correctement (normal, aucun fichier n'est créé sur le serveur) et donc vista utilise un profil local + les scripts ne se lancent pas mais fonctionnent quand je les execute en local.

Est ce que quelqu'un peut m'aider svp?

[lavazavio]

Voila les nouvelles :
J'arrive a rejoindre le domaine de samba, les lecteurs et les profils itinérants fonctionnent bien.

Mais est ce que quelqu'un sait pourquoi l'utilisateur root n'est pas reconnu en tant que su ?
Si je me log sur la session de root, je n'ai pas accès aux droits administrateur. Root est considéré comme un simple utilisateur !
Donc pour effectuer une tache administrateur, il faut se logguer sur un compte admin local de la machine !!! C'est pas très pratique et pas très safe.

J'ai testé ces commandes trouvées sur le HowTo Samba (chap 15) mais elles ne sont pas prises en compte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
#On récupère le sid de root :
net getlocalsid
 
#puis on définit root comme su pour samba :
pdbedit -U ...sid...-500 -u root -r

Et voici le smb.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
#======================= Global Settings =====================================
[global]
 
# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH
   workgroup = biomup2.local
 
# Nom netbios du serveur
   netbios name = samba
 
# server string is the equivalent of the NT Description field
   server string = Samba Server
 
# Security mode. Defines in which mode Samba will operate. Possible 
# values are share, user, server, domain and ads. Most people will want 
# user level security. See the Samba-HOWTO-Collection for details.
   security = user
 
# This option is important for security. It allows you to restrict
# connections to machines which are on your local network. The
# following example restricts access to two C class networks and
# the "loopback" interface. For more examples of the syntax see
# the smb.conf man page
   hosts allow = 10.4.0. 127.
 
# Annoncer samba dans un autre sous-reseau que celui dans lequel il se 
# trouve :
   remote announce = 192.168.1.
 
# Ordre pour la resolution de noms :
   name resolve order = wins host lmhosts bcast
 
 
###### IMPRIMANTES ######
 
# If you want to automatically load your printer list rather
# than setting them up individually then you'll need this
   load printers = no
 
# you may wish to override the location of the printcap file
;   printcap name = /etc/printcap
 
# on SystemV system setting printcap name to lpstat should allow
# you to automatically obtain a printer list from the SystemV spool
# system
;   printcap name = lpstat
 
# It should not be necessary to specify the print system type unless
# it is non-standard. Currently supported print systems include:
# bsd, cups, sysv, plp, lprng, aix, hpux, qnx
;   printing = cups
 
 
###### SECURITE / ADMINISTRATION ######
 
# Nom de l'utilisateur administrateur
   admin users = @wheel
 
# Uncomment this if you want a guest account, you must add this to /etc/passwd
# otherwise the user "nobody" is used
;  guest account = pcguest
 
# this tells Samba to use a separate log file for each machine
# that connects
   log file = /var/log/samba/log.%m.%U
 
# Put a capping on the size of the log files (in Kb).
   max log size = 100
 
# Use password server option only with security = server
# The argument list may include:
#   password server = My_PDC_Name [My_BDC_Name] [My_Next_BDC_Name]
# or to auto-locate the domain controller/s
#   password server = *
;   password server = <NT-Server-Name>
 
# Use the realm option only with security = ads
# Specifies the Active Directory realm the host is part of
;   realm = MY_REALM
 
# Backend to store user information in. New installations should 
# use either tdbsam or ldapsam. smbpasswd is available for backwards 
# compatibility. tdbsam requires no further configuration.
;   passdb backend = tdbsam
 
# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting.
# Note: Consider carefully the location in the configuration file of
#       this line.  The included file is read at that point.
;   include = /usr/local/etc/smb.conf.%m
 
# Most people will find that this option gives better performance.
# See the chapter 'Samba performance issues' in the Samba HOWTO Collection
# and the manual pages for details.
# You may want to add the following on a Linux system:
   socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
 
# Configure Samba to use multiple interfaces
# If you have multiple network interfaces then you must list them
# here. See the man page for details.
;   interfaces = 192.168.12.2/24 192.168.13.2/24 
 
 
###### CONFIG PDC ######
 
# Browser Control Options:
# set local master to no if you don't want Samba to become a master
# browser on your network. Otherwise the normal election rules apply
   local master = yes
 
# OS Level determines the precedence of this server in master browser
# elections. The default value should be reasonable
   os level = 33
 
# Domain Master specifies Samba to be the Domain Master Browser. This
# allows Samba to collate browse lists between subnets. Don't use this
# if you already have a Windows NT domain controller doing this job
   domain master = yes 
 
# Preferred Master causes Samba to force a local browser election on startup
# and gives it a slightly higher chance of winning the election
   preferred master = yes
 
# Enable this if you want Samba to be a domain logon server for 
# Windows95 workstations. 
   domain logons = yes
 
# Fichier permettant de faire la transition entre les noms utilusateurs 
# windows et les noms unix
   username map = /usr/local/etc/samba/smbusers   
 
# if you enable domain logons then you may want a per-machine or
# per user logon script
# run a specific logon batch file per workstation (machine)
;   logon script = %m.bat
# run a specific logon batch file per username
;   logon script = %U.bat
 
# Where to store roving profiles (only for Win95 and WinNT)
#        %L substitutes for this servers netbios name, %U is username
#        You must uncomment the [Profiles] share below
# Chemin pour stocker les profils itinerants
   logon path = \\samba\User\%u_home\Profiles
 
# Script a lancer au demarrage de chaque session :
   logon script = logon.bat
 
# Monter un lecteur reseau au demarrage :
   logon drive = Z:
   logon home = \\samba\User\%u_home
 
# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable it's WINS Server
   wins support = yes
 
# WINS Server - Tells the NMBD components of Samba to be a WINS Client
#	Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
;   wins server = w.x.y.z
 
# WINS Proxy - Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client, for this to work there must be
# at least one	WINS Server on the network. The default is NO.
   wins proxy = no
 
# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The default is NO.
   dns proxy = no 
 
# Charset settings
# Gestion des accents francais :
   display charset = ISO-8859-1
   unix charset = ISO-8859-1
   dos charset = 850
 
# Use extended attributes to store file modes
;    store dos attributes = yes
;    map hidden = no
;    map system = no
;    map archive = no
 
# Use inherited ACLs for directories
    nt acl support = yes
    inherit acls = yes
    map acl inherit = yes 
 
# These scripts are used on a domain controller or stand-alone 
# machine to add or delete corresponding unix accounts
;  add user script = /usr/sbin/useradd %u
;  add group script = /usr/sbin/groupadd %g
;  add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
;  delete user script = /usr/sbin/userdel %u
;  delete user from group script = /usr/sbin/deluser %u %g
;  delete group script = /usr/sbin/groupdel %g
 
 
#============================ Share Definitions ==============================
;[homes]
;   comment = Home Directories
;   browseable = no
;   writable = yes
 
# Un-comment the following and create the netlogon directory for Domain Logons
[netlogon]
   comment = Network Logon Service
   path = /usr/home/samba/netlogon
   guest ok = yes
   writable = no
   share modes = yes
   browsable = yes
 
# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
[Profiles]
    path = /usr/home/samba/User/%u_home/Profiles
    browseable = yes
    guest ok = no
 
# Public = Equivalent du disqueE sur serveur
[Public]
   comment = Dossier public
   path = /usr/home/samba/Public
   public = yes
   writable = yes
   printable = no
   browsable = yes
;   write list = @staff
 
[User]
   comment = Dossier utilisateur
   path = /usr/home/samba/User
   public = no
   writable = yes
   printable = no
   browsable = yes

[lu6fer]

pour ton probleme de droit admin sur root, je pensse que cela vien de windows.

l'utilisateur root n'est pas connu de windows, donc il faut certainement indiqué a windows que cette utilisateur a les droit admin sur la machine.


Sinon pour ton smb.conf, je te conseil de passé a browseable = no les sections : netlogon et profil. ces répertoires non pas besoin d'être visible pour être utilisé, et ça évite d'aller voir les données présentes dans ces répertoires.

[lavazavio]

Merci.

Tu veux dire qu'il faut créer sur chaque machine cliente un utilisateur root. Ca va bien quand on a 10 machines mais c'est lourd pour une grosse boite.

Et as-tu une explication concernant la commande pdbedit qui ne fonctionne pas du tout chez moi, à part pour la création (-a) et la suppression (-x) d'utilisateurs samba ?

Pour ce qui est de browsable, merci pour la remarque. Je suis sur une machine test, ca me permet de voir le contenu des dossiers depuis un client (je suis un peu fénéant !). Mais faudra pas oublier de changer ça c'est vrai.

[lu6fer]

je n'ai jamais utiliser cette commande, je me suis toujours basé sur smbpasswd

[lavazavio]

ok, merci.
Je vais continuer à chercher...

[lavazavio]

peux-tu également me dire comment fonctionne le fichier smbusers, car j'ai installé samba 3.0.28 et ce fichier n'existe pas sous cette version.

J'en ai donc créé un à coté du smbpasswd mais il ne fonctionne pas.

Merci pour ton aide !

[lu6fer]

le smbusers, ne sert qu'a faire des alias

cela me fait pensser a ton probleme de droit admin avec root.

tu créer smbusers
et tu y met :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
root = administrator admin
nobody = guest pcguest smbguest

ce sont les valeurs par defaut que j'ai dans le mien

ainsi root est aussi connu sous le nom admin et administrator

Si tu as d'autre question

[lavazavio]

OK, c'est ce que j'ai fait, mais cela ne marche pas.
J'ai par exemple root = admin.
Quand j'essaie de me logguer sous windows avec login = admin / pwd = monpwd, l'ouverture de session échoue car l'utilisateur admin n'est pas connu.
Si je me log avec root sous windows, ca marche.

Tu as une idée d'où vient le probleme ?

[hmhm12]

salut,
moi j ai le meme pb, mais je ne pense pas que c est un pb.

parce que samba c est pas comme active directory, il presque semblable a NT4, et il n y a pas une centralisation des comptes.

donc tu peut creer un utlisateur admin que port le UID zero c est plus securitare que l utisation de root .

[Pilru]

Citation:

Envoyé par hmhm12

parce que samba c est pas comme active directory, il presque semblable a NT4, et il n y a pas une centralisation des comptes.

Samba émule un serveur Windows NT4. Il peut jouer pleinement le rôle d'un PDC. Et en tant que PDC, il centralise tous les comptes du domaine.

Citation:

J'ai par exemple root = admin.
Quand j'essaie de me logguer sous windows avec login = admin / pwd = monpwd, l'ouverture de session échoue car l'utilisateur admin n'est pas connu.

As-tu redemarrer samba après avoir ajouter ta ligne dans smbusers ?

[lavazavio]

Oui, on dirait que samba fait comme si cela n'existait pas.
est ce que smbusers est fonctionnel sous samba 3.0.28 ?

[Pilru]

La syntaxe semble avoir changé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

root = windowsdomain\utilisateur1 windowsdomain\utilisateur2 etc.

[lavazavio]

je teste ca de suite ! Merci

Peux-tu m'indiquer le lien de cette info, stp ?
Y'a peut-etre d'autres infos interressantes qui ont changé...

--EDIT--
Ca n'a pas l'air de marcher mieux avec cette syntaxe.
Impossible d'ouvrir une session avec admin par exemple mais root fonctionne très bien.

[Pilru]

http://linux.derkeiler.com/Mailing-L...5-01/7307.html

Mais, la doc le contredit http://www.samba.org/samba/docs/man/....html#id349065

Sinon, as-tu ajouté

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

username map = /etc/samba/smbusers

à ton smb.conf ?

[lavazavio]

Oui, j'ai bien rajouté la ligne username map avec le bon chemin absolu.