Bonjour,
 
J'ai un serveur samba qui fonctionne en controleur de domaine avec une centaine de compte enregistrer.  
Dans ces compte, j'en ai un que je voudrais le laisser dans l'annuaire pour l'acces a un partage mais je voudrais desactiver la connexion depuis un poste membre du domaine.  
 
J'ai déja essayer de marquer le compte comme désactivé, verrouillé, accès par plage horaire, connection depuis un poste défini mais a chaque fois ca me bloque aussi l'acces au partage.  
 
J'avais cette configuration qui fonctionnait l'année derniere seulement je ne peux plus la reproduire. Passage de PDC avec smbpasswd vers PDC avec ldap.  
 
Il me semble avoir lu quelque part comme quoi c'était possible mais il fallait que le compte soit créer avant que samba ne passe en controleur de domaine. Est ce que quelqu'un peut me confirmer ?  
 
Je suis preneur de toutes infos qui pourraient faire avancé mon problème.  
 
Merci

bonjour,
 
pas clair.
 
tu veux autoriser la connexion via le compte unix mais bloquer la connexion au domaine samba ?

Oui je voudrais que les utilisateurs ne puissent pas utiliser le compte en question pour se logguer sur une machine, mais qu'ils puissent utiliser ce meme compte pour acceder a un partage sur le serveur samba.
 
Je sais pas si c'est plus clair comme ca.

Non, toujurs pas clair.
 
Il ne faut pas qu'ils puissent se logguer sur une machine. Machine windows, linux, ... ? quel type de login ?
 
Ils ne doivent pas acceder à la machine, mais acceder au partage ??
 
Il faut que tu détaille ce que tu veux faire ....

Bon visiblement c'est pas evident a expliquer, je vais reessayer encore une fois. Meme joueur jour encore
 
Avant ma remise a zero du serveur samba comme controleur de domaine, j'avais un compte dans la base samba qui etait utilisé uniquement pour acceder a un partage sur le serveur samba.  
Il était impossible de l'utiliser pour ouvrir une session depuis un poste windows. Si on essayait de se connecter avec ce compte, on avait droit au message "Le systeme n'a pas pu ouvrir de session. Assurez vous que le nom d'utilisateur et le domaine sont corect ..."
 
Pour simplifier ca donnait ca :
 
Acces au partage depuis n'importe quel poste
\\serveursamba\utilisateur
On avait droit a la demande du mot de passe et une fois ce mot de passe rentré ca passait.
 
Ouverture de session depuis windows sur le domaine :
Login : utilisateur
Mot de passe : son_mdp
Se connecter a : Le domaine gerer par le serveur samba
 
Et la le message "Le systeme n'a pas pu ouvrir de session. Assurez vous que le nom d'utilisateur et le domaine sont corect ... "
 
 
C'est un peu mieu comme ca ?

qqe tu appelle remise à zéro ?
 
tu as sorti tes machines du domaine ?

Il n'y avait qu'un seul domaine l'année derniere. Cette année il y en a deux en mutli instance.Chacun fonctionnant sur un réseau différent. Donc ca implique que les toutes les machines ont été sorties de l'ancien domaine pour etre réintégré dans l'un des deux nouveaux.

Essaye de changer le SID de l'utilisateur pour qu'il ne corresponde pas à celui d'un de tes 2 domaines (le SID du groupe aussi)

Il me semble avoir déjà essayer ca aussi et la connexion était toujours possible. Je ressairai pour etre sur.

ne change pas la fin du sid, mais la racine de celui-ci

C'est bien ce qui me semblait, j'avais déjà essayer mais le login passe toujours. J'ai réessayer pour etre sur mais impossible de bloquer le login.  
 
Ce qui est étrange c'est que j'ai beau faire les modifications dans la base ldap, pdbedit voit toujours les valeurs initiales et il a l'air de prendre le dessus sur ldap.  
Autre chose que ne permet pas de changer pdbedit, c'est le domain de l'utilisateur. La syntaxe a beau etre correct, il ne veut pas modifier la valeur. Pour le sid du groupe primaire, c'est encore plus problematique, je n'ai pas l'option pour changer la valeur.  
 
Je crois que je vais me résoudre à mettre une fermeture de session dans le logon.bat pour cet utilisateur en attendant de trouver une solution plus propre.

poste ton smb.conf

Je suis pas sur qu'il soit d'une grande utilité mais bon il est la http://www.textdump.com/v/?k=NTE0Mg==

ok
 
que donne un net getlocalsid
 
tu peux dumper l'entrée ldap de ton user ?

# net getlocalsid -s /usr/local/etc/smb_prod.conf
SID for domain SERVEURPROD is: S-1-5-21-289800424-3500660768-3978048100
 
 
la sortie de pdbedit pour le user concerné ici http://pastebin.com/m121fa748
 
et la meme chose avec smbldap-usershow ici http://pastebin.com/m6afb06de
 
On voit bien que les valeurs dans ldap ont été changées mais pdbedit garde les valeurs initiales.  
 

ça parait stupide, mais es tu sur d'utiliser les bons fichiers de conf (/etc vs /usr/local/etc par exple) ?as tu tenté un restart du demon smb ?
 
utilise tu nscd ?

Oui je suis sur et certain que mes fichiers sont bons. J'ai sur le serveur deux instances de samba qui desservent chacune un réseau différent. Pas de probleme de ce coté la donc.
 
nscd n'est pas necessaire dans ce cas. Samba utilise la base ldap par le biais de nss_ldap ou en direct si tu rajoute ldapsam:trusted.

si tu crée un nouvel utilisateur dans ton annuaire ldap, lui change son sid, ça fonctionne, ou tu as tjs une incohérence ?

Visiblement il y a toujours quelque chose qui cloche
 
En créant un nouvel utilisateur, j'ai des valeurs différentes suivant que j'affiche avec pdbedit ou smbldap-usershow.  
 
smbldap-usershow http://pastebin.fr/6084
pdbedit http://pastebin.fr/6083
 
J'ai beau essayer de forcer le domain avec pdbedit, les valeurs ne changent pas. J'ai pas la possibilité de forcer le primarygroup sid avec la version de samba que j'ai.  
Je verrai à l'occasion d'un future mise a jour de samba, si l'option du primarygroup sid apparait.