Sur le serveur SE4FS

Diagnostics de base

ping se4ad depuis le FS : Pour la résolution DNS et la connexion AD-FS

ssh -i /etc/sambaedu/id_rsa se4ad depuis le FS : pour se connecter à l'AD sans mot de passe

Tester Samba avec smbclient

smbclient -L se4ad -U Administrator%mot_de_passe (Le mot de passe Administrator se trouve dans le fichier /etc/sambaedu/sambaedu.conf au niveau de ldap_admin_passwd)

doit retourner quelque chose de similaire :

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.13.13-Debian)

Accès à l'annuaire :

Sur un AD, l'accès doit se faire systématiquement de façon authentifiée (paramètre -D).

La commande de référence reste ldapsearch.

L'utilisation du ldaps est obligatoire (port 636).

Par exemple sur le FS :

source /usr/share/sambaedu/includes/config.inc.sh

ldapsearch -xLLL -H ldaps://$config_se4ad_name -b $config_ldap_base_dn -D CN=$config_ldap_admin_name,$config_admin_rdn,$config_ldap_base_dn -w $config_ldap_admin_passwd '(&(objectClass=person)(samaccountname=Administrator))'

L'utilisateur Administrator n'est pas dans la branche utilisateurs mais dans cn=users !

Kerberos

Ces commandes utilisent kerberos au niveau de l'authentification

su www-admin -c "klist" : donne liste des tickets en cours

su www-admin -c "samba-tool user list -k yes -H ldap://se4ad" : donne la liste des utilisateurs

su www-admin -c "samba-tool user list -k yes -H ldap://se4ad.clg-hugo-gisors.ac-rouen.fr" : domaine à adapter, donne aussi la liste des utilisateurs

su www-admin

net share list se4fs -k yes -S se4fs : doit donner la liste des partages

Renouvellement du ticket kerberos

su www-admin -c "kinit -k -t /etc/sambaedu/www-sambaedu.keytab www-sambaedu"

su www-admin -c 'ldapsearch -LLL -Y gssapi -H ldap://se4ad.sambaedu3.clg-hugo-gisors.ac-rouen.fr -b "OU=Utilisateurs,DC=sambaedu3,DC=clg-hugo-gisors,DC=ac-rouen,DC=fr" "(cn=mollef)" -v'

À adapter en fonction de votre domaine, votre base DN et le nom de l'utilisateur recherché.

Supprimer la keytab pour récupérer celle de l'AD :

rm /etc/sambaedu/www-sambaedu.keytab

dpkg-reconfigure sambaedu-php-libs

Tester Winbind

wbinfo -u doit donner la liste des utilisateurs

Forcer un nouveau mot de passe admin en ligne de commande

su www-admin

samba-tool user setpassword admin --newpassword=azerty0 -k yes -H ldap://se4ad

Lancer Winbind en mode debug

Couper le service :

systemctl stop winbind.service

puis

winbindd -S -d 9 -i

Complément

En ajoutant le paquet dnsutils, on peut aussi lancer des nslookup sur se4ad / se4fs afin de tester les résolution DNS directes et reverses.

nslookup se4fs

nslookup se4fs.sambaedu3.clg-hugo-gisors.ac-rouen.fr (à adapter)