Re: [FRsAG] Problème liaison Fedora/active directory

Je compatis, j'ai galéré, mais j'ai réussi au final (un peu de pub, j'ai expliqué comment faire sur mon site http://www.tuxalafenetre.net/index.php/Ins%C3%A9rer_un_poste_Linux_dans_un_A...). Voici ma conf :

[kcousin@PC-KCO spin-kickstarts]$ cat /etc/krb5.conf

[libdefaults] default_realm = AD.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = yes

[realms] AD.LOCAL = { kdc = DC01.AD.LOCAL admin_server = DC01.AD.LOCAL default_domain = AD }

[domain_realm] .AD.LOCAL = AD.LOCAL AD.LOCAL = AD.LOCAL

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log

[kcousin@PC-KCO spin-kickstarts]$ egrep -v -e '^(;|#|\s*$)' /etc/samba/smb.conf

[global] workgroup = AD realm = AD.LOCAL security = ads idmap backend = rid: TEST = 7000-19999999 idmap uid = 7000-19999999 idmap gid = 7000-19999999 winbind separator = + template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain = true winbind offline logon = true log level = 10 server string = Samba Server Version %v netbios name = PC-KCO # logs split per machine log file = /var/log/samba/log.%m # max 50KB per log file, then rotate max log size = 50 passdb backend = tdbsam realm = AD.LOCAL winbind enum users = yes winbind enum groups = yes client use spnego = yes # the login script name depends on the machine name # the login script name depends on the unix user used # disables profiles support by specifing an empty path add user script = /usr/sbin/useradd "%u" -n -g users add group script = /usr/sbin/groupadd "%g" add machine script = /usr/sbin/useradd -n -c "Workstation (%u)" -M -d /nohome -s /bin/false "%u" delete user script = /usr/sbin/userdel "%u" delete user from group script = /usr/sbin/userdel "%u" "%g" delete group script = /usr/sbin/groupdel "%g" load printers = yes cups options = raw #obtain list of printers automatically on SystemV store dos attributes = yes [homes] comment = Home Directories browseable = no writable = yes [printers] comment = All Printers path = /var/spool/samba browseable = no guest ok = no writable = no printable = yes

Kevin COUSIN

De : frsag-bounces@frsag.org [mailto:frsag-bounces@frsag.org] De la part de Eric Maida Envoyé : mardi 11 janvier 2011 12:27 À : frsag@frsag.org Objet : [FRsAG] Problème liaison Fedora/active directory

Bonjour a tous.

Depuis plusieurs jours je travail sur la mise en domaine des machines Fedora dans mon réseau. Je suis confronté au problème suivant: la commande "id NomUtilisateur" me renvoi un gid correct mais un mauvais uid. voila ma config:

dans le smb.conf:

# Global parameters [global]     workgroup = MonDomaine   password server = *   encrypt passwords = yes   realm = MonRealName   security = ads     template shell = /bin/bash   winbind use default domain = yes   winbind offline logon = on   winbind enum users = yes   winbind enum groups = yes   winbind nested groups = yes   winbind separator = +   winbind nss info = rfc2307    idmap config  MonDomaine : backend = ad  idmap config  MonDomaine : range = 10000-49999   idmap config  MonDomaine : schema_mode = rfc2307  idmap config  MonDomaine : readonly = yes    idmap backend = tdb  idmap uid = 50000-99999  idmap gid = 50000-99999

le nsswitch.conf est configuré en files winbind

les commandes wbinfo -u et -g fonctionnent parfaitement.

Du côté de l'AD (2008 serveur), tout est renseigné dans la parti linux avec le uid qui va bien et le gid que me renvoi bien la commande "id Utilisateur"

Il ne s'agit pas d'un problème de cache ou alors qui m'échappe à moitié car si je change le gid dans l'AD, la commande sur le poste client renvoi instantanément le nouveau gid mais si je change le  "idmap uid = 50000-99999" du smb.conf il me renvoi toujours un uid dans l'ancien range...il doit donc y avoir un cache pour les infos qui ne remontent pas bien mais introuvable... Si j'ajoute dans le smb.conf un "winbind cache time = 10" ca ne change rien...je suis un peu perdu.

J'ai parcouru l'ensemble des forums qui traitent de ces discutions et ajouté/enlevé pas mal d'options qui n'ont jamais rien changé....

Si vous avez des idées je suis très très preneur :)

Merci d'avance.

Eric.