Partage samba avec comptes AD

Partage samba avec comptes AD - Logiciels - Linux et OS Alternatifs

Marsh Posté le 03-06-2009 à 14:32:29    

Bonjour,
 
Voila pour un projet je dois monter un serveur samba, avec partages en utilisant les compte utilisateur de l'AD, pour que les utilisateur accède a se partage depuis Windows.
 
L'intégration de la machine au domaine marche bien, je peux récupérer les utilisateurs, partager un dossier, etc.
 
Par contre j'ai un petit souci d'accès, je m'explique:
 
Si je partage un répertoire "rep_toto" pour l'utilisateur "toto", j'aimerais qu'il puisse y accéder sans mot de passe, vu qu'il s'est deja logger sur sa machine Windows sur le domaine, pour ne pas l'embetter a devoir remettre le mot de passe quand il veux accéder au répertoire. Il faut aussi que l'utilisateur "lala" lui ne puisse pas y accéder (normal vu que c'est pas toto).
 
Ce qui se passe actuellement c'est que toto peux accéder a son répertoire, mais un nom d'utilisateur et mot de passe est a chaque fois demandé, comment faire pour qu'il ne demande pas l'user et mot de passe ? Évidement si je met "toto" et son mot de passe là sa marche.
 
Merci d'avance.  :pt1cable:  
 
smb.conf
 
global :
 
   workgroup = test
    security = ads  
    realm = testrealm
    password server = 192.168.1.12
    netbios name = test
    server string = test
     
    domain master = no
    preferred master = no
    local master = no
    os level = 0
     
    domain logons = no
    winbind use default domain = yes
#  winbind trusted domains only = yes
    winbind refresh tickets = yes
    template shell = /bin/bash
    template homedir = /home/%D/%U
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind cache time = 15
     
    client use spnego = yes
    client ntlmv2 auth = yes
    encrypt passwords = yes
 
    hosts allow = 192.168. 127.
 
     
    log file = /var/log/samba/%m.log
    load printers = yes
    smb passwd file = /etc/samba/smbpasswd
    null passwords = no
#    map to guest = Bad User
    printcap cache time = 60
    dns proxy = no
    printing = cups
    dos charset = 850
    printcap name = cups
# add machine script = /usr/sbin/useradd -d /dev/null -g machines -c 'Machine Account' -s /bin/false -M '%u'
    unix charset = ISO8859-1
    max log size = 5000
 

Partage en question :

 
[toto]
        comment = Partage toto
        browseable = yes
        writeable = yes
        valid users = toto
        path = /home/rep_toto/

nsswitch.conf :

 
passwd:         compat winbind
group:          compat winbind
shadow:  compat

Reply

Marsh Posté le 03-06-2009 à 14:32:29   

Reply

Marsh Posté le 03-06-2009 à 17:42:59    

tu as correctement configuré kerberos sur ton serveur où est installé samba ?
 
ce même serveur est bien à l'heure (celle du contrôleur de domaine) ?
 
quelle commande as tu utilisé pour joindre ce serveur au domaine ?
 
que te disent les logs lors d'un accès au partage en tant que "toto" ?

Reply

Marsh Posté le 04-06-2009 à 07:38:35    

Oui kerberos est configuré, ntp est configuré.
 
j'ai utilisé la commande "net join -U administrator" ce qui n'a posé aucun problème, j'ai rentré le mot de passe, et j'ai eu le message de confirmation.
 
Je vais voir pour les logs

Reply

Marsh Posté le 04-06-2009 à 08:15:52    

et avec le "net join" tu as bien eu un message "joined realm", pas un message d'erreur disant qu'il retombait par défaut à du domaine style NT4 ?

Reply

Marsh Posté le 04-06-2009 à 08:34:19    

log :
 
[2009/06/04 08:32:08, 1] smbd/service.c:make_connection_snum(1033)
  itsecond (192.168.1.51) connect to service rep_toto initially as user toto (uid=10000, gid=10232) (pid 12945)

 
C'est ce qui s'affiche quand je me connecte avec le mot de passe donc.  
 
Si je ne met pas de mot de passe, il rentre pas dans le répertoire forcément, donc il n'inscrit rien dans les logs.


Message édité par K@MIK@ZE le 04-06-2009 à 08:39:36
Reply

Marsh Posté le 04-06-2009 à 08:39:18    

fighting_falcon a écrit :

et avec le "net join" tu as bien eu un message "joined realm", pas un message d'erreur disant qu'il retombait par défaut à du domaine style NT4 ?


 
la commande net join m'a donné ça :
 
net join -U administrator
administrator's password : (la je le rentre)
Using short domain name -- MONDOMAIN
Joined 'SrvSamba' to realm 'MONDOMAIN.CH'

 
Et le serveur linux apparait dans la liste des Ordinateur de l'AD.

Reply

Marsh Posté le 04-06-2009 à 10:29:39    

Bonjour,
pour la liste des ordinateur de l'AD, ca ne veut rien dire, un simple samba avec workgroup = ton domaine AD, et il apparait.
Le wbinfo -u doit te donner les users de ton domaine, sont ils précédé ou suivi de ton nom de domaine ?
Pourrais tu nous mettre un exemple exact d'un nom d'utilsateur ?


---------------
www.google.fr  
Reply

Marsh Posté le 04-06-2009 à 10:52:14    

boobaka a écrit :

Bonjour,
pour la liste des ordinateur de l'AD, ca ne veut rien dire, un simple samba avec workgroup = ton domaine AD, et il apparait.
Le wbinfo -u doit te donner les users de ton domaine, sont ils précédé ou suivi de ton nom de domaine ?
Pourrais tu nous mettre un exemple exact d'un nom d'utilsateur ?


 
avec wbinfo -u j'ai bien tous mes utilisateur de l'AD au format "prenom.nom" comme ils ont été défini dans l'AD, ils ne sont pas précédé ou suivit du nom du domaine.
 
avec getent passwd j'ai aussi tous mes utilisateurs du domaine et les utilisateurs locaux de la machine linux qui s'affichent. la aussi sans le nom du domaine qui précède ou suit.

Reply

Marsh Posté le 04-06-2009 à 11:13:20    

Refais ton partage  
[test]
path = /home/test
Browsable = yes
writable = yes
 
puis mkdir /home/test
chown -R toto /home/test
 
Et tente une connection avec l'user tot sur ce partage


---------------
www.google.fr  
Reply

Marsh Posté le 04-06-2009 à 11:15:39    

A priori j'ai réussi ce que je voulais.
 
Dans le partage j'ai rajouté le nom du domaine avant le nom de l'utilisateur valide.  
 
[toto]
        comment = Partage toto
        browseable = yes
        writeable = yes
        valid users = MONDOMAIN\toto
        path = /home/rep_toto/  
 
 
C'est toi Boobaka qui m'a fait penser a cette idée, merci ^^ maintenant j'ai des tests a faire pour confirmer ça.
 
EDIT: et effectivement, l'user "lala" lui ne peut pas y accéder, pour lui il est demandé un mot de passe qui nécessite les information de login de toto, normal quoi


Message édité par K@MIK@ZE le 04-06-2009 à 11:17:11
Reply

Marsh Posté le 04-06-2009 à 11:15:39   

Reply

Marsh Posté le 04-06-2009 à 11:18:48    

Ouaip, en fait c'est plus l'option valid user qui n'est pas trop adapté.
Tes permissions tu les mets sur le dossier directement.


---------------
www.google.fr  
Reply

Marsh Posté le 04-06-2009 à 11:42:51    

Par contre je viens de remarquer un truc que je savais pas (je sais pas si c'est noté quelques part dans les doc). Pour qu'un user puisse accéder que en lecture a un partage, faut d'abord le mettre dans les valid users et ensuite dans les read list
 
Je pensais que seulement read list suffisait mais apparemment non ^^  :pt1cable:

Reply

Marsh Posté le 04-06-2009 à 11:56:24    

Perso je n'utilse pas les vaide user ...
Mes permissions sont spécifiés directement sur le dossier ... Ce evite les doublons d'administration et ça ressemble plus à une vrai "administration"


---------------
www.google.fr  
Reply

Marsh Posté le 04-06-2009 à 12:35:42    

Je sais pas si ça viens de ma distribution, mais par les propriétés des dossiers ça merde un peu ^^ pas grave

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed