Bonjour,
 
pour mon entreprise je souhaite installer un proxy squid avec authentification Windows. Ma principale source d'information pour réaliser ceci est celle ci http://www.apt-rtfm.info/index.php/archives/23
 
J'ai suivi la procédure à la lettre, donc mon authentification avec le kinit fonctionne bien et en ticket m'est donné par le DC. Mais au moment de joindre la machine au domaine cela échoue avec le message suivant :
ads_connect: Operations error
ADS joind did not work, falling back to RPC
Joined domain TEST.
 
Je ne comprends pas ce message d'erreur et j'ai beau chercher sur le net je ne comprends là où je me suis planté si ça peu vous aider voici mon smb.conf :
 
[global]
    workgroup = TEST
    realm = TEST.LOCAL
    server string = %h server
    security = ADS
    obey pam restrictions = Yes
    password server = serveur
    syslog = 0
    log file = /var/log/samba/log.%m
    max log size = 1000
    dns proxy = No
    panic action = /usr/share/samba/panic-action %d
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    template shell = /bin/bash
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    invalid users = root
 
en précision mon domaine s'appelle test.local et je pense que son nom court est test (je ne sais pas comment le savoir)
 
Voilà si vous voulez des précisions n'hésitez pas car je suis vraiment en besoin de réponses.
 
Merci.

le message veut dire que l'intégration au domaine AD a échoué, par contre ton samba a réussi à se faire voir comme un serveur Windows 2000
(pour lui ton domaine est un domaine compatible NT4, sans AD ...)
 
poste ton krb5.conf pour voir ...

Tout d'abord merci de ta réponse ça fait plaisir et ensuite voici mon krb5.conf

[logging]
        default =FIL10000:var/log/krb5lib.log

[libdefaults]
        default_realm = TEST.LOCAL
        ticket_lifetime = 24000

[realms]
        TEST.LOCAL = {
        kdc = serveur
        admin_server = serveur
        default_domain = TEST.LOCAL
                }
[domain_realm]
        .test = TEST
        test = TEST

Je ne suis pas bien sur des TEST et TEST.LOCAL c'est peut etre pour ça que j'ai un souci. Pourtant mon authentification kerberos fonctionne normalement d'après ce que j'ai pu voir sur le net. Petite précision (je sais pas si ça peut servir) mais quand je fait ping serveur il répond et quand je veux pinger l'adresse complète en faisant ping serveur.test.local ça marche pas...je sais pas pourquoi.

problème résolu mes fichiers de conf sont corrects si ils peuvent servir...
 
J'ai juste ajouter dans mon hosts l'ip et le nom de mon PDC et c'est passé direct...

Que te répond la commande hostname sur ton serveur ?
elle doit te répondre tamachine.tondomaine
ton domaine.local c'est ton FQDN
le domaine c'est le nom netbios de ton domaine ....
Verifie egalement ton /etc/resolv.conf  
 ++

Probleme contourné donc pas resolu ;-)

non j'ai pas contourné le problème...de base la machine ping correctement le serveur mais pas le fqdn du serveur en rensignant le host il peut faire les deux et il joint le domain sans problème mon net ads testjoin est ok et mes tests avec wbinfo renvoient bien les users et les groupes du domaines ^^
 
hostname ne renvoit que le nom de ta machine hostname -f doit renvoyer le FQDN ce qu'il fait !

Nop justement, pour l'introduction a AD, il est préférable que ton hostname te renvoie directement le FQDN.
C'est la source de 80% des soucis de l'authentification AD sous squid (cf la mailing list squid).
 
++

donc selon toi il faudrait que lors de mon hostname j'ai mon FQDN qui soit renvoyé et normalement je ne devrait pas modifier mon host c'est ça?
 
Si oui comment faire pour qu'un simple hostname me renvoit mon FQDN?

Re,
peux tu balancer la ligne du /etc/hosts qui nous interesse?
et as tu ajouté search tondomaine.local dans resolv.conf ?
 
ensuite  

++

dans mon hosts j'ai rajouté
IP_DE_MON_SERVEUR moneserveurPDC.domaine.local

dans mon resolv.conf pas de soucis j'ai bien mis :
search mondomaine.local
nameserver mon_ip_srv_dns

Ca doit donc le faire, je tourne avec cette config.... Aucun soucis.
Bon courage.
++

Merci

dsl (encore) pour le déterrage de topic mais un autre truc, qui revient souvient quand on cause kerberos :
 
la synchro horaire !!!
 
pour être que les tickets Kerberos soient valides, il faut impérativement que toutes les machines utilisant Kerberos soient synchrones d'un point de vue horloge