[Résolu] Domaine avec Samba 3.5.6

e-miel · 08-07-2012 22:27:30

Bonjour,

Je demande votre aide car j'utilise Debian 6.0.5 et je n'arrive pas à configurer Samba 3.5.6 en contrôleur de domaine.

La machine est en IP fixe. Voici le résultat de certaines commandes :

testparm -s

Load smb config files from /etc/samba/smb.conf

rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)

Processing section "[homes]"

Processing section "[netlogon]"

Processing section "[profiles]"

Processing section "[printers]"

Processing section "[print$]"

Loaded services file OK.

Server role: ROLE_DOMAIN_PDC

[global]

        workgroup = DOM

        server string = %h server

        obey pam restrictions = Yes

        pam password change = Yes

        passwd program = /usr/bin/passwd %u

        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

        unix password sync = Yes

        syslog = 0

        log file = /var/log/samba/log.%m

        max log size = 1000

        logon path = \\%N\profiles\%U

        logon drive = H:

        domain logons = Yes

        domain master = Yes

        dns proxy = No

        wins support = Yes

        panic action = /usr/share/samba/panic-action %d

[homes]

        comment = Home Directories

        valid users = %S

        create mask = 0700

        directory mask = 0700

        browseable = No

[netlogon]

        comment = Network Logon Service

        path = /home/samba/netlogon

        guest ok = Yes

        browseable = No

[profiles]

        comment = Users profiles

        path = /home/samba/profiles

        create mask = 0600

        directory mask = 0700

        browseable = No

[printers]

        comment = All Printers

        path = /var/spool/samba

        create mask = 0700

        printable = Yes

        browseable = No

[print$]

        comment = Printer Drivers

        path = /var/lib/samba/printers

mkdir -p /home/samba/netlogon
mkdir -p /home/samba/profiles
chmod 777 /home/samba/profiles
smbpasswd -a root
smbpasswd -a u
pdbedit -Lw

nobody:65534:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U          ]:LCT-00000000:

root:0:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:EDB9B445C52137DCE3ABB04C0E7493E4:[U          ]:LCT-4FF9EE3E:

u:1000:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:EBD448894839C684C19A7FE7D55F0D45:[U          ]:LCT-4FF9EE20:

Les clients Windows voient DEBIAN dans leur voisinage réseau : Windows demande de s'identifier, puis je peux voir les fichiers distants, donc aucun problème en mode groupe de travail.

Problème : les clients n'arrivent pas à joindre le domaine. Sur un client Windows, j'entre le nom du domaine "DOM", Windows demande l'identité d'un administrateur habilité à joindre le domaine (l'identité n'est demandée que si le domaine est reconnu, c'est donc bon signe) j'entre "root" et son mot de passe, mais Windows répond en affichant le message suivant :

L'erreur suivante s'est produite lors de la tentative de jonction au domaine "DOM" :
Le domaine spécifié n'existe pas ou n'a pas pu être contacté.

Je suis perdu. Je vous remercie de m'avoir lu, et si quelqu'un a une idée je le remercie d'avance.

Dernière modification par e-miel (09-07-2012 22:13:07)

MaTTuX_ · 09-07-2012 02:57:54

J'ai pas beaucoup d'idée, je pratique plus samba, mais bon que dis les logs coté serveur ?

e-miel · 09-07-2012 04:57:17

MaTTuX_ a écrit :

(..) que dis les logs coté serveur ?

/var/log/samba/log.nmbd

[2012/07/09 05:40:08,  0] nmbd/nmbd.c:857(main)

  nmbd version 3.5.6 started.

  Copyright Andrew Tridgell and the Samba Team 1992-2010

[2012/07/09 05:40:08.641818,  0] nmbd/nmbd_logonnames.c:160(add_logon_names)

  add_domain_logon_names:

  Attempting to become logon server for workgroup DOM on subnet 192.168.1.14

[2012/07/09 05:40:08.641920,  0] nmbd/nmbd_logonnames.c:160(add_logon_names)

  add_domain_logon_names:

  Attempting to become logon server for workgroup DOM on subnet UNICAST_SUBNET

[2012/07/09 05:40:08.642001,  0] nmbd/nmbd_become_dmb.c:337(become_domain_master_browser_wins)

  become_domain_master_browser_wins:

  Attempting to become domain master browser on workgroup DOM, subnet UNICAST_SUBNET.

[2012/07/09 05:40:08.642033,  0] nmbd/nmbd_become_dmb.c:351(become_domain_master_browser_wins)

  become_domain_master_browser_wins: querying WINS server from IP 192.168.1.14 for domain master browser name DOM<1b> on workgroup DOM

[2012/07/09 05:40:12.652460,  0] nmbd/nmbd_logonnames.c:121(become_logon_server_success)

  become_logon_server_success: Samba is now a logon server for workgroup DOM on subnet 192.168.1.14

[2012/07/09 05:40:14.659141,  0] nmbd/nmbd_logonnames.c:121(become_logon_server_success)

  become_logon_server_success: Samba is now a logon server for workgroup DOM on subnet UNICAST_SUBNET

[2012/07/09 05:40:14.659232,  0] nmbd/nmbd_become_dmb.c:110(become_domain_master_stage2)

  *****

  Samba server DEBIAN is now a domain master browser for workgroup DOM on subnet UNICAST_SUBNET

  *****

[2012/07/09 05:40:14.659280,  0] nmbd/nmbd_become_dmb.c:292(become_domain_master_browser_bcast)

  become_domain_master_browser_bcast:

  Attempting to become domain master browser on workgroup DOM on subnet 192.168.1.14

[2012/07/09 05:40:14.659310,  0] nmbd/nmbd_become_dmb.c:305(become_domain_master_browser_bcast)

  become_domain_master_browser_bcast: querying subnet 192.168.1.14 for domain master browser on workgroup DOM

[2012/07/09 05:40:22.680739,  0] nmbd/nmbd_become_dmb.c:110(become_domain_master_stage2)

  *****

  Samba server DEBIAN is now a domain master browser for workgroup DOM on subnet 192.168.1.14

  *****

[2012/07/09 05:40:30.700462,  0] nmbd/nmbd_become_lmb.c:395(become_local_master_stage2)

  *****

  Samba name server DEBIAN is now a local master browser for workgroup DOM on subnet 192.168.1.14

  *****

/var/log/samba/log.smbd

[2012/07/09 05:40:08,  0] smbd/server.c:1123(main)

  smbd version 3.5.6 started.

  Copyright Andrew Tridgell and the Samba Team 1992-2010

[2012/07/09 05:40:08.649699,  0] printing/print_cups.c:108(cups_connect)

  Unable to connect to CUPS server localhost:631 - Connexion refusée

[2012/07/09 05:40:08.653217,  0] printing/print_cups.c:108(cups_connect)

  Unable to connect to CUPS server localhost:631 - Connexion refusée

[2012/07/09 05:40:08.678851,  0] smbd/server.c:500(smbd_open_one_socket)

  smbd_open_once_socket: open_socket_in: Adresse déjà utilisée

[2012/07/09 05:40:08.679005,  0] smbd/server.c:500(smbd_open_one_socket)

  smbd_open_once_socket: open_socket_in: Adresse déjà utilisée

Pour faciliter la lecture de log.nmbd et log.smbd, je les ai effacés puis j'ai redémarré Samba, ce qui a recréé ces 2 fichiers vides, puis ils se sont remplis durant le démarrage de Samba. Ensuite j'ai tenté de rattacher un PC Windows au domaine "DOM", les fichiers de log n'ont pas grossi, Samba n'a laissé aucune trace de la tentative de jonction.

DosXX · 09-07-2012 09:09:40

Salut e-miel,

Je ne sais pas si cela pourras te venir en aide, ces posts date un peu.
http://www.badministrateur.com/fr/node/30

Bien sur il y a toujours le wiki si tu pratique l'anglais:
http://wiki.samba.org/index.php/Windows7

Celui-ci de "Geoffroy Rabouin" qui fourni son smb.conf te seras également peut être utile.
http://comments.gmane.org/gmane.org.use … ntes/17432

bonne prise de tête.

Salut.

Dernière modification par DosXX (09-07-2012 09:27:38)

e-miel · 09-07-2012 14:33:17

Merci pour votre aide. Dans le registre du PC Windows j'ai rajouté les 2 valeurs DWORD suivantes :

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\

        DomainCompatibilityMode = 1

        DNSNameResolutionRequired = 0

ce qui a changé le message d'erreur lors de la jonction du domaine.

Tentative de jonction de "DOM" avec l'utilisateur root :

L'erreur suivante s'est produite lors de la tentative de jonction au domaine "DOM" :

Le compte d'ordinateur spécifié est introuvable. Contactez un administrateur pour vérifier si le compte fait partie du domaine. Si le compte a été supprimé, quittez le domaine, redémarrez, puis rejoignez le domaine.

Tentative de jonction de "DOM" avec l'utilisateur u :

L'opération de jonction a échoué. La raison peut en être qu'un compte d'ordinateur existant avec le nom "W8" a été créé antérieurement avec d'autres informations d'identification. Changez de nom d'ordinateur, ou demandez à votre administrateur de supprimer les vieux comptes au même nom. L'erreur était :

Accès refusé.

Tentative de jonction de "DOM" avec un utilisateur inconnu de Samba :

L'erreur suivante s'est produite lors de la tentative de jonction du domaine "DOM" :

Le nom d'utilisateur ou le mot de passe est incorrect.

J'ai donc créé un nouvel utilisateur v côté Samba :

adduser v

smbpasswd -a v

/etc/init.d/samba restart

mais j'obtiens le même message d'erreur qu'avec l'utilisateur u.

e-miel · 09-07-2012 22:08:57

Bien que Samba accepte de partager ses fichiers avec toutes les machines du voisinage réseau, Samba n'accepte d'être joint (contrôleur de domaine) que par les machines qu'il connaît.

Au lieu de prévoir un fichier listant les noms NetBIOS des machines autorisées, Samba se sert de /etc/passwd comme base de données en y stockant les machines autorisées sous forme d'utilisateurs sans mot-de-passe ni home ni shell, composés du nom NetBIOS terminé par un dollar.

Si mon PC Windows se nomme MACHIN, je dois créer l'utilisateur machin$ pour que Samba l'autorise à joindre le domaine :

useradd machin$

Mieux vaut utiliser useradd car adduser aurait créé le répertoire /home/machin$. Inutile d'utiliser smbpasswd car il n'y aura jamais aucun login de l'utilisateur machin$. Samba ne fait que vérifier la présence d'une ligne machin$ dans /etc/passwd.

Si vous souhaitez accepter toutes les machines dans votre domaine, décommentez la ligne suivante du fichier /etc/samba/smb.conf :

add machine script = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u

ce qui fera grossir /etc/passwd à chaque jonction de domaine. Créez aussi le groupe machines qui par défaut n'existe pas :

groupadd machines

Dans mon message précédent, lors de ma tentative de jonction du domaine "DOM" avec l'utilisateur root, Samba répondait (au travers de la boîte de dialogue de Windows) :

(..) Le compte d'ordinateur spécifié est introuvable. (..)

Le compte introuvable dont parlait Samba n'était pas root mais machin$. À présent tout fonctionne !

Dernière modification par e-miel (09-07-2012 22:15:23)

DosXX · 10-07-2012 09:07:28

Salut e-miel,
Merci pour le retour.
Je ne me suis pas encore amusé à créer un "Contrôleur de Domaine". Mais ça viendra, un jour. Actuellement je n'utilise Samba que pour le partage en local. Donc je suis sur que ce retour d'infos sera bénéfique pour plus d'Un.
Puis faut dire que la soluce est bien tordu !!!
Merci à toi.
Salut.

e-miel · 10-07-2012 19:31:46

Merci DosXX. Si cela peut en aider quelques uns, voici ce que j'ai appris ces derniers jours sur l'interaction Samba-Windows :

NetBIOS : protocole non-IP (donc non-routable) où chaque PC est identifié par un nom donné lors de l'installation de Windows : 15 caractères sans casse, affichés en majuscules dans l'Explorateur Windows et en minuscules dans les outils Samba. Un 16ème caractère caché sert à différencier des PC portant le même nom, bien que cela soit à éviter.

NetBEUI : implémentation brute de NetBIOS, non-encapsulée donc directement au-dessus de la couche Ethernet. À une époque où la consommation CPU, RAM et réseau était comptée, NetBIOS avait l'avantage de consommer peu et de tout prendre en charge (résolution de nom, envoi et réception de données...) de façon transparente pour l'utilisateur, grâce à une couche logicielle très mince. À cette époque, les piles TCP/IP n'existaient que sur des gros systèmes utilisant le modèle OSI à 7 couches.

Windows NT3 : partage de fichiers en mode "groupe de travail" ou "domaine", conçu pour la performance dans un réseau local isolé, à une époque où internet était inexistant, et devait être utilisable sur des PC bon-marché, donc réseau NetBEUI. Pour les domaines, il fallait installer un PDC (Primary Domain Controller) et des BDC facultatifs (Backup Domain Controller). L'identification des utilisateurs se faisait par une table nommé SAM, dont le fonctionnement est semblable aux fichiers /etc/passwd et shadow d'UNIX.

Windows NT4 : comme NT3, mais les PDC et BDC peuvent intervertir leurs rôles en fonction du traffic réseau ou d'autres critères.

Windows 2000 : on passe à internet avec la pile TCP/IP : fini les domaines NetBIOS, résolution de nom par DNS, transfert de fichiers avec CIFS directement sur TCP/IP. NetBIOS (maintenant encapsulé dans TCP/IP) peut néanmoins servir pour du "groupe de travail" où chaque machine doit être nommée, contrairement à du "domaine" où seul le nom DNS du serveur compte. Fini l'unique PDC qui gère tous les utilisateurs et leurs fichiers, remplacé par une hiérarchie de serveurs, donc fini la table SAM, remplacée par un annuaire hiérarchique LDAP distribué entre les serveurs. Possibilité de créer des profils locaux ou itinérants.

Côté clients : depuis Vista il n'y a plus de profils locaux ou itinérants, remplacés par des données locales et itinérantes au sein d'un même profil. Une fois l'identification passée, un "domaine" avec profils locaux n'apportait aucun avantage par rapport à des accès en mode "groupe de travail", et un profil itinérant demandait une longue synchronisation lors des ouvertures et fermetures de sessions. Pour des raisons de performance, Vista (et Windows 7 et 8) rapatrie les fichiers itinérants (base de registre, dossiers systèmes) lors de la connexion, et sauvegarde ces fichiers sur le serveur lors de la déconnexion, dans le dossier profile.V2 du répertoire de travail de l'utilisateur. Les fichiers locaux, souvent volumineux et en perpétuel changement, et sans intérêt au niveau de la config (comme les fichiers temporaires) ne transitent plus entre client et serveur.

Samba 3 : NetBIOS et SAM, donc les clients Windows voient Samba 3 comme un Windows NT4. Les clients Windows récents doivent travailler en mode compatibilité, d'où les 2 clés à rajouter dans la base de registre. Samba 3 ne permet pas d'échanger les rôles entre PDC et BDC comme le fait Windows NT4, toutefois avec notre matériel actuel ces changements de rôles ne sont plus justifiés.

Samba 4 : DNS et LDAP sur TCP/IP, mais Samba 4 est encore en version bêta, et très instable d'après mes tests sur Debian Wheezy.

NB : d'après mes essais (Windows 8 + Samba 3), les dossiers partagés netlogon, profiles et sysvol ne servent pas. Windows préfère créer un dossier profile.V2 dans le répertoire utilisateur plutôt qu'utiliser le partage profiles qui reste toujours vide. La jonction au domaine fonctionne très bien sans ces 3 partages.

DosXX · 11-07-2012 12:13:18

Salut e-miel,
é bé !!! ça c'est de la réponse.
Encore une fois merci Mr .
Ça mériterais d'être repris dans le wiki.
Moi je le garde sous le coude...

Salut.

martinux_qc · 12-07-2012 04:17:30

Oui, c'est tout un retour d'expérience ça.

Merci pour toutes ces infos e-miel. On en fera bon usage.

Debian-facile

#1 08-07-2012 22:27:30

[Résolu] Domaine avec Samba 3.5.6

#2 09-07-2012 02:57:54

Re : [Résolu] Domaine avec Samba 3.5.6

#3 09-07-2012 04:57:17

Re : [Résolu] Domaine avec Samba 3.5.6

#4 09-07-2012 09:09:40

Re : [Résolu] Domaine avec Samba 3.5.6

#5 09-07-2012 14:33:17

Re : [Résolu] Domaine avec Samba 3.5.6

#6 09-07-2012 22:08:57

Re : [Résolu] Domaine avec Samba 3.5.6

#7 10-07-2012 09:07:28

Re : [Résolu] Domaine avec Samba 3.5.6

#8 10-07-2012 19:31:46

Re : [Résolu] Domaine avec Samba 3.5.6

#9 11-07-2012 12:13:18

Re : [Résolu] Domaine avec Samba 3.5.6

#10 12-07-2012 04:17:30

Re : [Résolu] Domaine avec Samba 3.5.6

Pied de page des forums