Tâche #19786: Problème de chargement de profile - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Tâche #19786

Scénario #19723: On doit pouvoir se loguer sur un poste du domaine Seth avec le compte admin

Problème de chargement de profile

Added by Philippe Caseiro over 6 years ago. Updated over 6 years ago.

Status:

Fermé

Priority:

Normal

Assigned To:

Philippe Caseiro

Target version:

sprint 2017 10-12 Equipe MENSR

Start date:

03/06/2017

Due date:

% Done:

100%

Estimated time:

4.00 h

Spent time:

2.10 h

Remaining (hours):

0.0

Description

Trouver pourquoi dans l'environnement DC1 + DC2 + FILE, le profil de l'admin ne se charge pas correctement et provoque l'erreur de la demande #19782

2017-03-20-110450_1280x1024_scrot.png View - Erreur de chargement du profile (30.6 KB) Philippe Caseiro, 03/20/2017 11:07 AM

History

#1 Updated by Philippe Caseiro over 6 years ago

Le journal d'évènement de la station windows présente une erreur Kerberos, car le poste client n'est pas à l'heure, en tout cas pas à la même heure que les serveurs.
Il faut que toutes les machines aient la même heure quoi qu'il arrive.

Le fait de la mettre à l'heure (après l'avoir sortie de domaine) ne change rien quand à l'erreur au login de l'utilisateur.

#2 Updated by Philippe Caseiro over 6 years ago

File 2017-03-20-110450_1280x1024_scrot.png View added

La station windows ne trouve pas de profile sur le serveur, l'utilisateur admin semble être créer avec un profile itinérant d'où l'erreur.

#3 Updated by Philippe Caseiro over 6 years ago

Voici la fiche de l'utilisateur "admin", j'ai quelques doutes sur les valeurs des attributs "homeDirectory" et "profilePath"

# record 8
dn: CN=admin,CN=Users,DC=ac-test,DC=fr
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: admin
instanceType: 4
whenCreated: 20170317204100.0Z
uSNCreated: 3772
name: admin
objectGUID: e9a5b870-f039-45df-9842-83593f23d945
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
primaryGroupID: 513
objectSid: S-1-5-21-2488423492-2229636781-3750543652-1103
accountExpires: 9223372036854775807
sAMAccountName: admin
sAMAccountType: 805306368
userPrincipalName: admin@ac-test.fr
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=ac-test,DC=fr
pwdLastSet: 131342568606658410
userAccountControl: 512
homeDirectory: \\file.ac-test.fr.ac-test.fr\admin
homeDrive: U:
profilePath: \\file.ac-test.fr.ac-test.fr\profiles\admin
memberOf: CN=Domain Admins,CN=Users,DC=ac-test,DC=fr
lastLogonTimestamp: 131344744343429900
whenChanged: 20170320090714.0Z
uSNChanged: 3826
lastLogon: 131344773985929040
logonCount: 4
distinguishedName: CN=admin,CN=Users,DC=ac-test,DC=fr

# Referral
ref: ldap://ac-test.fr/CN=Configuration,DC=ac-test,DC=fr

# Referral
ref: ldap://ac-test.fr/DC=DomainDnsZones,DC=ac-test,DC=fr

# Referral
ref: ldap://ac-test.fr/DC=ForestDnsZones,DC=ac-test,DC=fr

# returned 11 records
# 8 entries
# 3 referrals

#4 Updated by Philippe Caseiro over 6 years ago

Donc l'origine du problème viens de la valeur de la variable ad_homes_share_host de la configuration de notre infra.

Cette variable est utilisée dans le template samba4-vars.conf, ce fichier définit des variables bash chargées par le script samba4.sh.
Dans ce fichier de configuration la valeur de "ad_homes_share_host" est placée dans la variable shelle AD_HOMES_SHARE_HOST_NAME.
Dans la fonction samba_create_homes_dir si la variable AD_HOMES_SHARE_HOST_NAME est définie elle est utilisée pour redéfinir le home dir de l'utilisateur.

La commande suivante fait le travail :

pdbedit -h "\\\\${AD_HOMES_SHARE_HOST_NAME}.${AD_REALM}\\admin" -D 'U:' admin > /dev/null

Une fois les valeurs remplacées cela donne :

pdbedit -h "\\\\file.ac-test.fr.ac-test.fr\\admin" -D 'U:' admin > /dev/null

Donc en conclusion:

soit on change la valeur de ad_homes_share_host dans la configuration de nos modules pour mettre "file" et pas "file.ac-test.fr"
soit on change le script pour qu'il n'utilise pas le AD_REALM si il est déjà présent dans AD_HOMES_SHARE_HOST_NAME