Tâche #31302
Scénario #31063: Pouvoir se tromper d'utilisateur/mot de passe à la jonction d'un membre au domaine
Relancer la demande de compte et mot de passe en cas d'erreur
100%
Révisions associées
Relancer la demande de compte et mot de passe en cas d'erreur ref #31302
Check credential against DC and repeat prompt till it checks.
Ref #31302
Check credential against DC and repeat prompt till it checks.
Ref #31302
Windows should give similar answer.
Ref #31302
Historique
#1 Mis à jour par Matthieu Lamalle il y a plus de 3 ans
- Statut changé de Nouveau à En cours
#2 Mis à jour par Matthieu Lamalle il y a plus de 3 ans
- Sujet changé de Relancer la demande de compte et mot de passe en cas d'erreur à Relancer la demande de compte et mot de passe en cas d'erreur
- Assigné à mis à Matthieu Lamalle
#3 Mis à jour par Matthieu Lamalle il y a plus de 3 ans
- Statut changé de En cours à Résolu
#4 Mis à jour par Fabrice Barconnière il y a plus de 3 ans
- Statut changé de Résolu à En cours
Le mot de passe est bien redemandé en cas de mauvaise saisie mais l'affichage n'est pas très "beau" :
Mot de passe de jonction au domaine :
Stop Service Samba
Attention: Join with server 'DC1'
cli_credentials_failed_kerberos_login: krb5_cc_get_principal failed: No such file or directory
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Failed to connect to 'ldap://DC1' with backend 'ldap': LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
ERROR(ldb): uncaught exception - LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
File "/usr/lib/python3/dist-packages/samba/netcmd/__init__.py", line 186, in _run
return self.run(*args, **kwargs)
File "/usr/lib/python3/dist-packages/samba/netcmd/domain.py", line 701, in run
join_DC(logger=logger, server=server, creds=creds, lp=lp, domain=domain,
File "/usr/lib/python3/dist-packages/samba/join.py", line 1535, in join_DC
ctx = DCJoinContext(logger, server, creds, lp, site, netbios_name,
File "/usr/lib/python3/dist-packages/samba/join.py", line 110, in __init__
ctx.samdb = SamDB(url="ldap://%s" % ctx.server,
File "/usr/lib/python3/dist-packages/samba/samdb.py", line 65, in __init__
super(SamDB, self).__init__(url=url, lp=lp, modules_dir=modules_dir,
File "/usr/lib/python3/dist-packages/samba/__init__.py", line 115, in __init__
self.connect(url, flags, options)
File "/usr/lib/python3/dist-packages/samba/samdb.py", line 81, in connect
super(SamDB, self).connect(url=url, flags=flags,
Impossible de joindre le DC à l'annuaire existant
Initialisation DC Secondaire
Envoi de la clef SSH dc2 vers le DC 192.168.0.5
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: WARNING: All keys were skipped because they already exist on the remote system.
(if you think this is a mistake, you may want to use -f option)
id_rsa.pub 100% 390 1.1MB/s 00:00
Jonction au domaine
Compte pour joindre le serveur au domaine [Administrator] :
Mot de passe de jonction au domaine :
Mais le plus embêtant, c'est que l'appel récursif exécute à nouveau toute la procédure et l'instance se termine en erreur :
Execute Synchro Sysvol ========================================================================================================== 2020-12-07 14:57:26 doSynchro ==> 0 ========================================================================================================== Install SysVol Replication Workaround ERROR(ldb): Failed to add members "gpo-dc2" to group "GpoAdmins" - Attribute member already exists for target GUID 860686b4-8325-465d-b716-e20c36804b2e run-parts: /usr/share/eole/postservice/25-manage-samba exited with return code 255 Erreur : postservice
#5 Mis à jour par Benjamin Bohard il y a plus de 3 ans
- Assigné à changé de Matthieu Lamalle à Benjamin Bohard
#6 Mis à jour par Benjamin Bohard il y a plus de 3 ans
- Statut changé de En cours à Résolu
#7 Mis à jour par Benjamin Bohard il y a plus de 3 ans
Outre la possibilité de saisir à nouveau le compte et le mot de passe, la modification porte aussi sur la façon de valider le mot de passe.
Dans la version actuellement publiée, la validation du mot de passe utilisé pour la jonction est la même procédure que pour la création du mot de passe. Pourtant, rien ne permet de certifier que les règles appliquées localement pour la création du mot de passe aient été également appliquées pour le compte utilisé pour la jonction.
Aussi, pour la validation du mot de passe dans le cas d’une jonction (sur DC additionnel et membre), il est proposé de faire une requête nécessitant une authentification avec la commande "net".
#8 Mis à jour par Emmanuel GARETTE il y a plus de 3 ans
- % réalisé changé de 0 à 100
#9 Mis à jour par Laurent Flori il y a plus de 3 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0
#10 Mis à jour par Laurent Flori il y a plus de 3 ans
- Temps estimé mis à 0.00 h
Test AD-T00-000 passé avec succès 17/12/20