Intégrer un poste XP dans un domaine Samba

[Keskiveu]

J'ai un petit soucis pour intégrer un poste XP Pro dans un domaine samba (version 2.2.7a). Sous Win98se aucun problème, mais XP me jette:

 

et 2000 pro aussi:

 

quels que soient les noms d'utilisateurs que je donne, même bidons. Apparement il n'arrive même pas jusqu'à l'authentification.

Dans la base de registres j'ai bien remplacé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\requiresignorseal par 0 (elle est à 1 par défaut), comme conseillé sur plusieurs sites, mais ça ne change rien.

 

Voilà mon smb.conf, si ça peut aider.

 

Des idées?

[Florent]

T'as aussi changé HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters\requirestrongkey par 0 ?

[Florent]

sinon voici l'exemple de smb.conf "minimal" pour faire un PDC :

[global]
domain logons = yes
encrypt passwords = yes
guest account = smbguest
log level = 2
log file = /var/log/samba.log
logon drive = p:
logon home = \\example-server\%U
netbios name = example-server
os level = 99
preferred master = yes
security = user
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
wins support = yes
workgroup = example-wrkgrp

[homes]
read only = no
create mode = 0600
directory mode = 0700

[netlogon]
path = /home/netlogon

 

et Sinon il doit bien avoir un log du côté de samba, peut être qu'il y a des infos sur le pb dedans...

[Keskiveu]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters\requirestrongkey était à 0 par défaut.

Sinon je viens d'essayer avec le smb.conf mini, toujours les mêmes messages.

Je n'ai pas l'impression que ça vienne du serveur, on dirait que c'est les NT qui ont un problème avec samba.

Je n'ai pas la moindre idée d'où ça peut venir, et google ne m'aide pas beaucoup sur ce coup là

[Florent]

techniquement les NT ont besoin de s'inscrire au niveau du controleur de domaine (ce que ne font pas les W9x) pour faire parti d'un domaine, mais sinon rien qu'en parcours réseau, si tu te connectes au serveur et que lorsqu'il demande un utilisateur tu renseigne le root (ou tout autre utilisateur linux avec même droit) est ce qu'il ouvre le partage de fichier ou pas.

[Keskiveu]

Oui, en poste à poste il n'y a aucun problème pour se loguer, avec n'importe quel utilisateur.

[Florent]

A l'occasion tu peux indiquer la procédure que tu utilises pour enregistrer le PC sous le domaine samba (pas besoin de captures, une description simple des boutons /menu et utilisateurs saisis (sans les mots de passe..)) qui te mêne au message d'erreur refusant l'inscription (c'est un peu chiant mais on voit mieux où il peut y avoir un pb)

[Keskiveu]

Je vais dans les proptiétés du poste de travail, onglet "nom de l'ordinateur", "Modifier...".

Là j'active le bouton radio "Domaine", j'entre le nom du domaine à joindre dans le champ prévu à cet effet, je valide et j'attends que la fenêtre me demandant un login et mot de passe apparaisse. Je lui donne un utilisateur préalablement créé sur le serveur et ajouté à smbpasswd, et je me prends le message d'erreur en pleine poire.

 

Edit: il n'y a rien de spécial dans les log.

Modifié le 23 juillet 2003 par Keskiveu

[Keskiveu]

J'ai peut-être trouvé quelque chose, mais je comprends pas tout... C'est ici:

 

6.5.1.3 Creating trust accounts for NT clients

This step is exclusively for Windows NT clients. All NT clients that connect to a primary domain controller make use of trust accounts. These accounts allow a machine to log in to the PDC itself (not one of its shares), which means that the PDC can trust any further connections from users on that client. For all intents and purposes, a trust account is identical to a user account. In fact, we will be using standard Unix user accounts to emulate trust accounts for the Samba server.

The login name of a machine's trust account is the name of the machine with a dollar sign appended to it. For example, if our Windows NT machine is named chimaera, the login account would be chimaera$. The initial password of the account is simply the name of the machine in lowercase letters. In order to forge the trust account on the Samba server, you need to create a Unix account with the appropriate machine name, as well as an encrypted password entry in the smbpasswd database.

Let's tackle the first part. Here, we only need to modify the /etc/passwd file to support the trust account; there is no need to create a home directory or assign a shell to the "user" because the only part we are interested in is whether a login is permitted. Therefore, we can create a "dummy" account with the following entry:

chimaera$:*:1000:900:Trust Account:/dev/null:/dev/null

Note that we have also disabled the password field by placing a * in it. This is because Samba will use the smbpasswd file to contain the password instead, and we don't want anyone to telnet into the machine using that account. In fact, the only value other than the account name that is used here is the UID of the account for the encrypted password database (1000). This number must map to a unique resource ID on the NT server and cannot conflict with any other resource IDs. Hence, no NT user or group should map to this number or a networking error will occur.

Next, add the encrypted password using the smbpasswd command, as follows:

# 

smbpasswd -a -m chimaera
Added user chimaera$
Password changed for user chimaera$

The -m option specifies that a machine trust account is being generated. The smbpasswd program will automatically set the initial encrypted password as the NetBIOS name of the machine in lowercase letters; you don't need to enter it. When specifying this option on the command line, do not put a dollar sign after the machine name - it will be appended automatically. Once the encrypted password has been added, Samba is ready to handle domain logins from a NT client.

 

Qu'est-ce que c'est un "trust account"

 

Bon, pour l'instant je peux pas tester, on verra demain.

[Florent]

Je lui donne un utilisateur préalablement créé sur le serveur et ajouté à smbpasswd, et je me prends le message d'erreur en pleine poire.

Il faut donné le compte administrateur (root ou equivalent), le nom de l'utilisateur du poste ne se rentre pas ici, un peu plus loins après la première connexion en domaine