Sur le SE4FS

Tester Samba avec smbclient

smbclient -L se4ad -U Administrator%mot_de_passe

doit retourner quelque chose de similaire :

Domain=[DIDEROT] OS=[Windows 6.1] Server=[Samba 4.5.12-Debian]

Sharename Type Comment

--------- ---- -------

netlogon Disk

sysvol Disk

IPC$ IPC IPC Service (Samba 4.5.12-Debian)

Truc & astuceAccès à l'annuaire

Sur un AD, l'accès doit se faire systématiquement de façon authentifiée (paramètre -D).

La commande de référence reste ldapsearch

L'utilisation du ldaps est obligatoire (port 636)

ldapsearch -xLLL -D cn=Administrator,cn=users,$ldap_base_dn -b $ldap_base_dn -w Sambaedu4 '(&(objectClass=person)(samaccountname=Administrator))' -H ldaps://10.127.164.105

Exemple

Pour plus de facilité on pourra initialiser la base dn dans une variable

Attention

L'utilisateur Administrator n'est pas dans la branche utilisateurs mais dans cn=users !

Kerberos

Ces commandes utilisent kerberos au niveau de l'authentification

su www-admin -c "klist" donne liste des tickets en cours

su www-admin -c "samba-tool user list -k yes -H ldap://se4ad" donne la liste des utilisateurs

su www-admin -c "samba-tool user list -k yes -H ldap://se4ad.clg-hugo-gisors.ac-rouen.fr" domaine à adapter, donne aussi la liste des utilisateurs

su www-admin

net share list se4fs -k yes -S se4fs

doit donner la liste des partages

Renouvellement du ticket kerberos

su www-admin -c "kinit -k -t /etc/sambaedu/www-sambaedu.keytab www-sambaedu"

su www-admin -c 'ldapsearch -LLL -Y gssapi -H ldap://se4ad.sambaedu3.clg-hugo-gisors.ac-rouen.fr -b "OU=Utilisateurs,DC=sambaedu3,DC=clg-hugo-gisors,DC=ac-rouen,DC=fr" "(cn=mollef)" -v'

A adapter en fonction de votre domaine, votre base DN et le nom de l'utilisateur recherché.

Truc & astuceSupprimer la keytab pour récupérer celle de l'AD

rm /etc/sambaedu/www-sambaedu.keytab

dpkg-reconfigure sambaedu-php-libs

Tester Winbind

wbinfo -u doit donner la liste des utilisateurs

Truc & astuceForcer un nouveau mot de passe admin en ligne de commande

su www-admin

samba-tool user setpassword admin --newpassword=azerty0 -k yes -H ldap://se4ad

Truc & astuceLancer Winbind en mode debug

Couper le service :

systemctl stop winbind.service

puis

winbindd -S -d 9 -i

Complément

En ajoutant le paquet dnsutils, on peut aussi lancer des nslookup sur se4ad / se4fs afin de tester les résolution DNS directes et reverses.

nslookup se4fs

nslookup se4fs.sambaedu3.clg-hugo-gisors.ac-rouen.fr (à adapter)