Discussion :

[lagrue]

bonjour

je suis actuellement en stage où j'occupe la place de responsable système et réseau (en même temps je suis le seul à avoir des bases en réseau). je gère un parc informatique comprennant du Windows, du Redhat, une baie NetApp (400 To) et des ESX... mais la n'est pas le souci.

j'ai pour tâche de restructurer la gestion des utilisateurs et de leurs droits et pour cela, j'utilise un Active Directory. vous allez me dire : mais où est LUNIX ? j'y viens

dans mon AD, j'ai des groupes et des utilisateurs qui sont aussi intégrés sous LINUX grâce à un NIS.

dans l'AD, j'ai créé la structure suivante :

GroupA :
- GroupA1 -> user1
- GroupA2 -> user2

GroupB : user3


dans les attributs lunix (dans l'AD), avec les mention "membre de" et "membres" j'ai traduit se schéma. donc quand je suis sur mon serveur Redhat lorsque je fait :

- un "getent group", j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
GroupA::10008:user2,user1
GroupA1::10009:user1
GroupA2::10010:user2
GroupB::10011:user3

- un "getent passwd", j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
user1:ABCD!efgh12345$67890:10034:10008::/home/user1:/bin/sh
user2:ABCD!efgh12345$67890:10035:10008::/home/user2:/bin/sh
user3:ABCD!efgh12345$67890:10036:10011::/home/user3:/bin/sh

pour tester cette structures j'ai créé l'arborescence de fichier suivante :

dossier1
-> fichier1
-> fichier2

dossier2

dossier3
-> fichier3

voici les droits que j'ai attribués aux différents fichiers:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
drwxrwx--- 2 root GroupA 4096 fév 15 11:10 dossier1
drwxrwx--- 2 root root   4096 fév 15 11:10 dossier2
drwxrwx--- 2 root GroupB 4096 fév 15 11:10 dossier3
 
-rwxrwx--- 1 root GroupA1 0 fév 15 11:10 fichier1
-rwxrwx--- 1 root GroupA2 0 fév 15 11:10 fichier2
 
-rwxrwx--- 1 root GroupB 0 fév 15 11:10 fichier3

j'accède à ses fichiers depuis windows (lecteur monté).

lorsque je me connecte avec user1 j'accède à fichier1 mais lorsque je veux l'ouvrir : accès refusé (WHAT !!??)
lorsque je me connecte avec user2 j'accède à fichier2 mais lorsque je veux l'ouvrir : accès refusé (WHAT !!??)

normalement je devrais pouvoir y accéder...

donc la question que je me pose c'est... POURQUOI j'ai l'accès refusé ???

pour information (je sais pas si c'est utilise), les dossiers sont dans un répertoire où est monté un partition CIFS de la baie NetApp et on accède aux fichiers contenus à travers l'explorateur de windows.

[thierry.chich]

Une partie des autorisations dépend aussi de la façon dont les partages sont décris dans samba.

[lagrue]

voici un schéma qui représente le fonctionnement de mon système de fichier.

depuis linux, je défini les droits et depuis windows j'accède aux fichiers.

en faite, je n'accède pas à linux depuis windows donc je ne pense pas que samba y soit pour quelque chose.

par ce qu'en plus, sur le schéma, le coté LINUX est constitué de deux serveur identiques. si je souhaite accéder aux volumes de ma baie NetApp, que j'y accède par l'un ou l'autre cela reviens au même.

[lagrue]

nouvelles informations suite à plusieurs tests:

- je ne peux pas me connecter aux serveurs linux avec mes trois utilisateurs (user1, user2 et user3) mais si je me connecte en root puis que je fait un "su user1" sa passe et les droits sont bien appliqués et respectés.

- je peux me connecter sur windows avec mes trois utilisateurs (user1, user2 et user3) mais lorsque je souhaite accéder aux fichiers, il y a des soucis de droits.

vont finir par me rendre malade

[thierry.chich]

Oui, mais quelle est l'erreur quand tu essaye de te connecter en tant qu'user ? IIl y a quelque chose dans les logs ?
Et su - user1, ça donne quoi ?

[lagrue]

ben si je fais un "su user1" sa marche^^

mais bon, la, j'ai réessayé et sa marche^^ lorsque j'accède aux fichiers depuis windows, les droits sont bien respectés mais par contre, si je veux me connecter en putty (ou en directe) au serveur linux avec mon compte "user1", il veux pas^^

pourquoi sa marche que maintenant... mystère^^

et les logs... lesquelles ?

[thierry.chich]

Je voulais voir ce que donnait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

su - user1

parce que tu fais un vrai login en tant qu'user1, à la différence de quand tu fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

su user1

.

[lagrue]

quand je fait un "su - user1", sa marche... mais se que je ne comprend pas c'est que quand je me connecte sous windows, j'utilise le mdp et il marche (puisque la session s'ouvre) mais quand je vais sous LINUX, le mdp ne marche pas... alors que c'est exactement le même que sous windows (puisque le NIS fait la liaison).

[thierry.chich]

Donc ce n'est pas un problème de shell. Est-ce que ces lignes sont recopiées telles quelles ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
user1:ABCD!efgh12345$67890:10034:10008::/home/user1:/bin/sh
user2:ABCD!efgh12345$67890:10035:10008::/home/user2:/bin/sh

Si oui, c'est normal, ce format ne ressemble pas à un format de mot de passe unix (crypt ou md5).
Sous windows, l'authentification passe par l'AD et n'a donc pas de rapport avec la base de mot de passe unix.

[lagrue]

oui c'est exactement cela... donc est ce que faut-il faire pour que le mot de passe fonctionne sous linux ?

faut-il activer quelque chose ??

au passage, merci beaucoup pour ton aide^^

[thierry.chich]

Après avoir relu l'ensemble des messages, j'aurais l'impression que ton problème vient de l'authentification sur le linux.
D'après ce que je lis sur les forums, il faut mettre en place pas mal de chose au niveau du linux (ldap,pam,etc...). A mon avis, c'est là qu'est le problème, mais il serait bon de trouver une piste.

Perso, j'essaierai sur un compte qui ne craint pas trop de faire un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
su - user1
passwd
et strace passwd

juste pour voir ce qui se passe quand on essaie d'accèder à ces mots de passe.
Normalement, si tu as installé la synchro des mots de passe à double sens, ça devrait bien se passer, mais comme ton problème me semble justement être dans l'accès à ces mots de passe, peut-être cela te révélera-t-il quel processus se passe mal ?

[tck-lt]

ça me fait penser à mes soucis Samba ton problème. Je dirais bien comme Thierry à savoir un problème donc au niveau du pam.d/login mais je ne suis pas expert dans le domaine, je ne fais que confirmer une piste plausible.

[lagrue]

j'ai trouvé la solution !!!!!!

j'ai tout simplement réinitialisé le mdp et hop c'est passé XD

et donc cela m'a amené à la conclusion suivante, vous me direz se que vous en pensez :

lorsque l'on créé un nouvelle utilisateur dans un AD, on lui défini un login et un mot de passe. on peut ajouter une option pour que dès le premier log, l'utilisateur change le mot de passe.

pour ma part je n'ai pas pas activé cette option car les comptes servaient uniquement pour des tests.

lors de la création, du compte, l'AD crypte le mot de passe selon un système propre a Windows.

en suite, lorsque le compte est créé, on lui affecte des attributs unix. mais la encore, le mot de passe défini tout à l'heure n'est décryptable que par Windows et donc si on se log sous unix, pouf !! il veux pas car le système de cryptage lui est inconnu.

il faut donc réinitialiser le mot de passe pour que Windows change le système de cryptage.

cela est totalement transparent lorsque l'on demande a l'utilisateur de changer le mot de passe lors de la première utilisation.

donc je ferme la discution^^ encore merci thierry.chich pour m'avoir mis la puce à l'oreille avec "ce format ne ressemble pas à un format de mot de passe unix"