Project

General

Profile

Tâche #31302

Scénario #31063: Pouvoir se tromper d'utilisateur/mot de passe à la jonction d'un membre au domaine

Relancer la demande de compte et mot de passe en cas d'erreur

Added by Matthieu Lamalle 10 months ago. Updated 9 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
11/30/2020
Due date:
% Done:

100%

Estimated time:
0.00 h
Remaining (hours):
0.0

Associated revisions

Revision d139c4c3 (diff)
Added by Matthieu Lamalle 10 months ago

Relancer la demande de compte et mot de passe en cas d'erreur ref #31302

Revision d396604d (diff)
Added by Benjamin Bohard 10 months ago

Check credential against DC and repeat prompt till it checks.

Ref #31302

Revision 551f3d38 (diff)
Added by Benjamin Bohard 9 months ago

Check credential against DC and repeat prompt till it checks.

Ref #31302

Revision 25ceed54 (diff)
Added by Benjamin Bohard 9 months ago

Windows should give similar answer.

Ref #31302

History

#1 Updated by Matthieu Lamalle 10 months ago

  • Status changed from Nouveau to En cours

#2 Updated by Matthieu Lamalle 10 months ago

  • Subject changed from Relancer la demande de compte et mot de passe en cas d'erreur to Relancer la demande de compte et mot de passe en cas d'erreur
  • Assigned To set to Matthieu Lamalle

#3 Updated by Matthieu Lamalle 10 months ago

  • Status changed from En cours to Résolu

#4 Updated by Fabrice Barconnière 10 months ago

  • Status changed from Résolu to En cours

Le mot de passe est bien redemandé en cas de mauvaise saisie mais l'affichage n'est pas très "beau" :

Mot de passe de jonction au domaine :                                                                                                                                                                              
Stop Service Samba                                                                                                                                                                                                 
Attention: Join with server 'DC1'                                                                                                                                                                                  
cli_credentials_failed_kerberos_login: krb5_cc_get_principal failed: No such file or directory                                                                                                                     
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>                                                            
Failed to connect to 'ldap://DC1' with backend 'ldap': LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>                      
ERROR(ldb): uncaught exception - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>                                            
  File "/usr/lib/python3/dist-packages/samba/netcmd/__init__.py", line 186, in _run                                                                                                                                
    return self.run(*args, **kwargs)                                                                                                                                                                               
  File "/usr/lib/python3/dist-packages/samba/netcmd/domain.py", line 701, in run                                                                                                                                   
    join_DC(logger=logger, server=server, creds=creds, lp=lp, domain=domain,                                                                                                                                       
  File "/usr/lib/python3/dist-packages/samba/join.py", line 1535, in join_DC             
    ctx = DCJoinContext(logger, server, creds, lp, site, netbios_name,                                   
  File "/usr/lib/python3/dist-packages/samba/join.py", line 110, in __init__                          
    ctx.samdb = SamDB(url="ldap://%s" % ctx.server,                                                      
  File "/usr/lib/python3/dist-packages/samba/samdb.py", line 65, in __init__                           
    super(SamDB, self).__init__(url=url, lp=lp, modules_dir=modules_dir,                                                                                                                                           
  File "/usr/lib/python3/dist-packages/samba/__init__.py", line 115, in __init__                       
    self.connect(url, flags, options)
  File "/usr/lib/python3/dist-packages/samba/samdb.py", line 81, in connect                 
    super(SamDB, self).connect(url=url, flags=flags,                                        
Impossible de joindre le DC à l'annuaire existant                                                        
Initialisation DC Secondaire                                                                             
Envoi de la clef SSH dc2 vers le DC 192.168.0.5                                                                                                                                                                    
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" 
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed

/usr/bin/ssh-copy-id: WARNING: All keys were skipped because they already exist on the remote system.
                (if you think this is a mistake, you may want to use -f option)

id_rsa.pub                                                                                                                                                                       100%  390     1.1MB/s   00:00    
Jonction au domaine                                                                                      
Compte pour joindre le serveur au domaine [Administrator] :                                              

Mot de passe de jonction au domaine :

Mais le plus embêtant, c'est que l'appel récursif exécute à nouveau toute la procédure et l'instance se termine en erreur :

Execute Synchro Sysvol  
==========================================================================================================                                                                                                         
2020-12-07 14:57:26                                                                                                                                                                                                
doSynchro ==> 0                                                                                                                                                                                                    
==========================================================================================================                                                                                                         
Install SysVol Replication Workaround                                                                                                                                                                              
ERROR(ldb): Failed to add members "gpo-dc2" to group "GpoAdmins" - Attribute member already exists for target GUID 860686b4-8325-465d-b716-e20c36804b2e                                                            
run-parts: /usr/share/eole/postservice/25-manage-samba exited with return code 255                 
Erreur : postservice

#5 Updated by Benjamin Bohard 10 months ago

  • Assigned To changed from Matthieu Lamalle to Benjamin Bohard

#6 Updated by Benjamin Bohard 10 months ago

  • Status changed from En cours to Résolu

#7 Updated by Benjamin Bohard 10 months ago

Outre la possibilité de saisir à nouveau le compte et le mot de passe, la modification porte aussi sur la façon de valider le mot de passe.
Dans la version actuellement publiée, la validation du mot de passe utilisé pour la jonction est la même procédure que pour la création du mot de passe. Pourtant, rien ne permet de certifier que les règles appliquées localement pour la création du mot de passe aient été également appliquées pour le compte utilisé pour la jonction.
Aussi, pour la validation du mot de passe dans le cas d’une jonction (sur DC additionnel et membre), il est proposé de faire une requête nécessitant une authentification avec la commande "net".

#8 Updated by Emmanuel GARETTE 9 months ago

  • % Done changed from 0 to 100

#9 Updated by Laurent Flori 9 months ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

#10 Updated by Laurent Flori 9 months ago

  • Estimated time set to 0.00 h

Test AD-T00-000 passé avec succès 17/12/20

Also available in: Atom PDF