Arkoon Authentification NT - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 05-06-2007 à 12:06:02
En R2 non mais en NT4 en 2000 et en 2003 oui, y a t il un gros changement?
Tu as bien crée un compte d'ordinateur dans ton domaine portant le nom de ton arkoon?
Marsh Posté le 05-06-2007 à 12:22:08
je ne sais pas vraiement si'il y a un changement lors de l'export, mais c'est arkoon qui a un doute sur ca.
Pour le computer avec le nom de l'utm, oui c'est fait.
toi, quand tu fais le -u tu as domain/users?
Marsh Posté le 05-06-2007 à 13:46:52
oui, par contre j'ai été obliger d'utiliser le nom netbios du domaine car j'ai eu des soucis avec le nom DNS.
Marsh Posté le 05-06-2007 à 15:07:01
Haaa, pas moyen, je n'y arrive pas.
Quelque chose a changer dans la conf de samba?
Marsh Posté le 05-06-2007 à 18:50:17
tu peux poster les SS de ta config?
Tu utilises quel utilisateur pour lister les comptes?
Marsh Posté le 05-06-2007 à 19:36:37
j'utilise un utilisateur membre du groupe "admin du domain"
Escuse moi, mais que veux-tu dire par les "ss" de ma conf ?
Marsh Posté le 06-06-2007 à 09:10:08
ok, voila :
et la ligne la plus frustrante :
checking the trust secret via RPC calls succeeded
suivi de
"Aucun groupe et utilisateur à importer."
Merci
Marsh Posté le 06-06-2007 à 09:18:16
si tu vas sur ton AD et que tu supprimes le compte de ton arkoon, que tu redémarres le service winbind, as-tu tes comptes?
Marsh Posté le 06-06-2007 à 09:54:17
de memoire c'est pas en authentification nt qu'il faut le faire
Je regarde ça ce soir
Marsh Posté le 06-06-2007 à 10:00:24
je viens de supprimer un compte "Arkoon" (je n'ai pas le souvenir de l'avoir cree)
mais apres redemarrage de winbindd, et meme reinstall de la conf, le compte ne re-apparait pas.
en rapport avec l'utm dans l'AD, j'ai juste un compte d'ordinateur avec comme nom: MonDomaine.
Merci !
Marsh Posté le 06-06-2007 à 10:05:00
SylvainDNS a écrit : de memoire c'est pas en authentification nt qu'il faut le faire |
oui, on peut le faire aussi en ldap, mais dans ce cas les utilisateurs doivent saisir leur login/mdp dès qu'ils veulent surfer. (en plus en claire sur le reseau)
Marsh Posté le 06-06-2007 à 10:11:53
C'est faisable en authentification NT mais en LDAP aussi.
Sinon il te faut un compte aillant le nom de ton arkoon dans ton AD.
Après niveau sécu du domaine je me demande s'il faut pas authorisé le smb anonyme ou qqch comme ca pour permettre les requetes de l'arkoon.
Regarde la KB arkoon 588.
Marsh Posté le 06-06-2007 à 10:18:18
le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
As-tu des GPO?
As-tu des infos dans le journal des évènements?
Marsh Posté le 06-06-2007 à 10:48:50
La machine srvad1-na est le DC sur lequel il se connecte, il doit surement etre dans AD.
Le compte qui doit etre créé dans AD est un compte avec le hostname de l'arkoon (sans le domaine).
Marsh Posté le 06-06-2007 à 10:50:03
de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users)
Marsh Posté le 06-06-2007 à 11:23:34
le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC?
=> RID, Infrastructure, schema. (le reste etant sous AD2 et AD3) et il est GC.
le compte srvad1-na est-il créé sur l'AD après relance du service Winbind?
=> en tant que user "srvad1-na"= non.
Quels sont les droits de l'utilisateur "maint"? As-tu testé avec un compte privilégié?
=> admin du domain, et pre-2000
As-tu des GPO?
=> oui ! mais, a ma connaissance, rien qui devrait bloquer le ptit arkoon...
As-tu des infos dans le journal des évènements?
=> rien, c'est bien ca le pire, car pour debugger, c pas simple.
Merci !
Marsh Posté le 06-06-2007 à 11:27:06
Pims a écrit : de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users) |
voui, j'ai bien suivi la KB588 :
Pour un serveur Windows 2003 :
Aller dans l'administration des Utilisateurs et ordinateurs Active Directory
Ajouter comme membre au groupe "Accès compatible pré-windows 2000"(groupe par défaut Active Directory) le groupe "ANONYMOUS LOGON" (groupe par défaut Windows).
Rebooter le controleur de domaine pour que la modification soit prise en compte.
Redémarrer le service winbindd sur l'Arkoon une fois le PDC redémarré complétement (via Arkoon Monitoring, fenêtre services).
Mais, tjs pas.
Marsh Posté le 06-06-2007 à 15:17:42
Pims a écrit : de toute facon si le secret et OK on cherche pas dans la bonne direction le pb est qu'il faut autoriser les requetes anonymes sur ton DC pour recuperer la liste des groupes (ou users) |
Je peux te montrer X clients chez qui j'ai fait l'installation sans avoir aucunement suivi ces préconisations et ça marche très bien.
lejohnn a écrit : le DC avec l'adresse 192.168.0.21 a quels FSMO? est-il GC? |
Si le compte machine n'est pas créé sur ton domaine, tu as un problème avec samba.
Tu as des infos dans /var/log/samba ?
Marsh Posté le 06-06-2007 à 16:05:05
juste pour etre sur, le compte machine doit etre cree automatiquement par l'arkoon, et doit avoir quoi comme nom ?
Marsh Posté le 06-06-2007 à 16:09:54
Pour moi il ne s'est jamais créé automatiquement, je l'ai toujours renseigné à la main.
Marsh Posté le 06-06-2007 à 16:23:05
lejohnn a écrit : juste pour etre sur, le compte machine doit etre cree automatiquement par l'arkoon, et doit avoir quoi comme nom ? |
il doit avoir "srvad1-na" puisque c'est ça que tu lui as donné
Marsh Posté le 06-06-2007 à 16:23:29
Pims a écrit : Pour moi il ne s'est jamais créé automatiquement, je l'ai toujours renseigné à la main. |
moi je ne l'ai jamais renseigné à la main, sauf en cas de relais LDAP et non pas de relais NT.
Marsh Posté le 06-06-2007 à 16:50:14
Krapaud a écrit : il doit avoir "srvad1-na" puisque c'est ça que tu lui as donné |
Haaa...
alors, je vais essayer de changer de nom, car sous "SRVAD1-NA" j'ai deja un compte d'ordi, forcement, c'est un Domain controller...
Marsh Posté le 06-06-2007 à 17:01:42
j'ai renomme le serveur d'authentification en ARKOON-NT,
mais pas de changement, toujours pas de création sous l'AD
Je vais regarder si je trouve qqchose sous var/log/samba.
Merci !
Marsh Posté le 06-06-2007 à 17:02:27
Il y a qqch qui tourne pas rond, c'est ce que je t'ai dis plus haut:
Citation : La machine srvad1-na est le DC sur lequel il se connecte, il doit surement etre dans AD. |
Marsh Posté le 06-06-2007 à 17:28:29
1er pas ! j'ai bien un compte d'ordi qui se cree : "NomDLArkoon"
je l'ai supprime, relancer les services, il est revenu.
Mais il me dit toujours : "Aucun groupe et utilisateur à importer."
next step ?
merci !
Marsh Posté le 07-06-2007 à 11:19:37
Krapaud a écrit : Tu as des infos dans /var/log/samba ? |
Les dernieres lignes datent de avril (date de test avec Arkoon)
Je vais chercher pour re-activer l'ecriture des logs.
Marsh Posté le 08-06-2007 à 11:41:05
J'ai eu des problèmes similaires aussi ...
Mon domaine : 2003 en mode natif 2000.
Il faut bien mettre les noms NETBIOS de ton domaine, tes users, et ton DC.. pas de "DOMAINE\User" ou DOMAINE\mon DC" ou user@domaine.fr..
moi c'est ce qui me bloquait l'import des comptes ..
Aujourd'hui j'ai :
domaine : "GPEM"
ordinateur : "SRV001"
pour les comptes de jonction ou énum j'ai "administrateur"
Par contre a savoir, il y a un bug ...
j'importe les ursers AD dans l'arkoon, tout est ok,
je crée un nouveau user dans AD
je lance un import sur l'Arkoon
et la rien de nouveau.. il importe pas le nouveau compte..
Solution : il faut changer le compte utilisé pour l'énumération par un autre et op l'import de fait .. il faut faire de même à chaque fois..
voilou
Marsh Posté le 08-06-2007 à 18:57:41
c'est bien ce que je pense faire
http://www.mezimages.com/up/06/185800-conf.JPG
il n'y pas un journal de cet import ? au moins un petit message d'erreur ?
je crois que je vais y passer
Marsh Posté le 08-06-2007 à 19:29:50
cdelefil, quand tu fais wbinfo -u, ton Arkoon te repond sous quelle forme?
domain/user1
domain/user2
ou
user1
user2
Merci !
nb: idee en passant, jsuis en HA et vous ?
Marsh Posté le 12-06-2007 à 14:16:10
lejohnn a écrit : cdelefil, quand tu fais wbinfo -u, ton Arkoon te repond sous quelle forme? |
Désolé pour ma réponse tardive ..
Il me répond " DOMAINE\User"
Marsh Posté le 12-06-2007 à 17:01:51
là, c'est la deprime
cdelefil, merci qd meme ! tu n'es pas en R2 ?
dois-je faire des modifications dans la conf du samba d'arkoon ??
... Forefront c'est bien ? Monsieur Arkoon, si tu nous ecoutes...
Marsh Posté le 12-06-2007 à 19:53:42
la modification de smb.conf est détruite au reboot de l'arkoon
Marsh Posté le 13-06-2007 à 09:30:02
lejohnn a écrit : là, c'est la deprime |
Si je suis en R2. J'ai galéré comme toi mais j'ai fini pa trouver ... mais il est vrai que leur module d'authentification NT n'est pas au point ...
En plus le NTLM chez moi ne fonctionne pas...
Marsh Posté le 13-06-2007 à 14:14:09
ok, comme je l'ai dit plus haut donc.
Marsh Posté le 05-06-2007 à 11:51:46
Bonjour,
Je suis en train de mettre en place lauthentification de type NT (domaine en 2k3R2)
Jai créer mon serveur, les commandes sur le monitoring : wbinfo t, -u, -g fonctionnent.
Mais dans le manager, si je fais un clic droit, importer utilisateur et groupes, il me fait : « aucun groupe et utilisateurs à importer »
Selon arkoon, cela viendrait de mon AD car le resultat de u donne
Amachin
Bbrruc
Bcreiu
../..
Et donc ce qui dérangerait lutm cest de ne pas avoir le domain/ devant le user.
Es-ce que quelqu'un a déjà mis en place cette soluce en R2 ?
Merci !