lpsilasr Posté(e) le 11 avril 2016 Partager Posté(e) le 11 avril 2016 Bonjour, J'ai exactement le même problème que bryce426, impossible de rejoindre l'AD, tout est rempli et la case de Domaine est rouge sauf que mon AD n'est nullement en réparation ou en cours de changement. le problème est survenu suite à la mise à jour automatique vers DSM 6. Tout fonctionnait bien avant celle-ci. Quelqu'un aurait une idée ? Merci d'avance ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 avril 2016 Partager Posté(e) le 11 avril 2016 Il y a 1 heure, lpsilasr a dit : Bonjour, J'ai exactement le même problème que bryce426, impossible de rejoindre l'AD, tout est rempli et la case de Domaine est rouge sauf que mon AD n'est nullement en réparation ou en cours de changement. le problème est survenu suite à la mise à jour automatique vers DSM 6. Tout fonctionnait bien avant celle-ci. Quelqu'un aurait une idée ? Merci d'avance ! Comme il n'y a pas d'incompatibilité en DSM6.0 et un AD (ça marche pour @bryce426), c'est soit un soucis de conf, soit un soucis d'infra (ad, dns, fw, ...). Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 11 avril 2016 Partager Posté(e) le 11 avril 2016 il y a une heure, Fenrir a dit : Comme il n'y a pas d'incompatibilité en DSM6.0 et un AD (ça marche pour @bryce426), c'est soit un soucis de conf, soit un soucis d'infra (ad, dns, fw, ...). Soucis de conf non car j'ai appliqué une restauration des paramètres AD qui fonctionnait en 5.2, et soucis d'infra non plus car cela fonctionnait il y 'a une semaine (avant la MàJ) automatique. Mais j'avais eu d'autres soucis, des ports qui ont changés, des certificats qui ont sautés, etc à cause du passage à nginx, du coup j'ai reconfiguré nginx et tout refonctionne sauf l'AD qui ne fonctionne plus depuis DSM 6. C'est très embêtant pour l'entreprise :/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 avril 2016 Partager Posté(e) le 11 avril 2016 Test néanmoins les différents points et regarde bien les logs des AD et des firewall de l'entreprise, ne serait ce que pour avoir une piste. edit : je viens d'upgrader un des ds710 du taf en DSM 6, j'essaierai de le remettre dans l'AD demain Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 11 avril 2016 Partager Posté(e) le 11 avril 2016 Ca marche je test ça demain, merci je te tiens au courant des avancées alors. Bonne soirée ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 12 avril 2016 Partager Posté(e) le 12 avril 2016 Bon ben ça ne fonctionne pas, pour tant il joint bien l'AD voici la capture : J'ai l'impression qu'il y a une erreur après le kinit success de Kerberos mais aucune idée de ce que cela peut être. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 12 avril 2016 Partager Posté(e) le 12 avril 2016 Pour moi ça fonctionne sans soucis du premier coup. Pour info, DSM 6 par défaut (factory reset) branché dans un réseau utilisateur (donc pas de DC dans le réseau) Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 12 avril 2016 Partager Posté(e) le 12 avril 2016 Oui la même chose sur un réseau à part, j'ai enfin réussi après quelques bidouilles en SSH et après la suppression des entrée du NAS dans les OU AD. Maintenant impossible de me connecter avec un user AD sur le NAS en web x) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 12 avril 2016 Partager Posté(e) le 12 avril 2016 Il y a 2 heures, lpsilasr a dit : Oui la même chose sur un réseau à part, j'ai enfin réussi après quelques bidouilles en SSH et après la suppression des entrée du NAS dans les OU AD. Maintenant impossible de me connecter avec un user AD sur le NAS en web x) Pour moi pas de soucis de connexion Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Je n'ai toujours pas trouvé la solution, les logs ne sont vraiment pas parlant sur le Synology, j'arrive à accéder aux ressources en CIFS via lecteur réseau avec les utilisateurs AD mais pas en WEB. Je me tâte à tout remettre à zéro pour repartir proprement mais je pense que je vais perdre tous les droits affectés aux dossiers et sous dossiers ? Qu'en pensez-vous ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 il y a une heure, lpsilasr a dit : j'arrive à accéder aux ressources en CIFS via lecteur réseau avec les utilisateurs AD mais pas en WEB un admin du domaine accède t'il à l'interface web ? lorsqu'un utilisateur essaye et se fait rejeter, qui a t'il dans les différents logs (/var/log/ tous les sous dossiers) il y a une heure, lpsilasr a dit : Je me tâte à tout remettre à zéro pour repartir proprement mais je pense que je vais perdre tous les droits affectés aux dossiers et sous dossiers ? C'est un peu radicale, mais à toi de voir. Pour les droits, ça dépend de manière dont tu t'y prends (réinstallation du système avec ou sans import de la conf) et de la manière dont ils sont gérés (groupe locaux/ad/...). Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Il y a 1 heure, Fenrir a dit : un admin du domaine accède t'il à l'interface web ? lorsqu'un utilisateur essaye et se fait rejeter, qui a t'il dans les différents logs (/var/log/ tous les sous dossiers) C'est un peu radicale, mais à toi de voir. Pour les droits, ça dépend de manière dont tu t'y prends (réinstallation du système avec ou sans import de la conf) et de la manière dont ils sont gérés (groupe locaux/ad/...). 1. Non un admin n'y accède pas non plus : 2. /var/log/auth.log : /var/log/synolog/synoconn.log Je ne comprends vraiment pas, cela fonctionnait très bien avant la MàJ. Les logs ne sont pas très parlants. Les droits sur les différents partages sont gérés directement en local dans le NAS (clic droit propriétés, permissions, etc..) pour les users locaux du NAS et les Users AD aussi. En faisant une sauvegarde de la conf via le DSM, je ne sais pas si cela garde les droits de toute l'arborescence donc un peu peur de tout remettre à 0. Je commence à désespérer.. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Pour le login, il ne faut pas ajouter le préfixe de domaine XXX\ Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Je ne le met pas, enfin personne ne le met mais il apparaît dans les logs Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 il y a 3 minutes, lpsilasr a dit : Je ne le met pas, enfin personne ne le met mais il apparaît dans les logs ça veut dire qu'il identifie bien que c'est un compte du domaine, il faut regarder dans les logs AD (events logs) ce qu'il y a Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 J'ai déjà fouillé et je viens de refaire un test, rien n'apparaît sauf si je mets un mauvais mot de passe pour un user AD il voit bien que le mot de passe n'est pas bon dans les logs AD mais sinon rien. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Apr 13 14:36:04 mi566 synocgid: pam_unix(webui:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=172.xxx.xxx.xxx user=DOMAIN\login J'ai aussi cette ligne, mais pas l'autre. #/var/log/synolog/synoconn.log info 2016/04/13 14:36:04 DOMAIN\login: User [DOMAIN\login] logged in from [172.XXX.XXX.XXX] via [DSM]. Tu as essayé de demander au support ? nb : si tu as des paquets tiers, il faut les supprimer sinon le support ne t'aidera pas Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 J'ai contacté le support mardi 5 avril et j'attends toujours une réponse.. Je ne vais pas compter sur eux à mon avis. Le problème c'est que ça bloque pas mal d'utilisateurs.. Pourtant ça fonctionnait avant la MàJ il y a quelquechose qui m'echappe j'ai l'impression, auraient-ils changer un module ou je ne sais quoi? Peut-être que le problème vient de nginx je vais éplucher les fichiers de conf. Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Je viens de trouver une piste, le service nslcd n'était pas lancé, il n'allais donc pas chercher à se connecter avec LDAP d'où l'erreur pam_unix et non pam_ldap. Maintenant dans auth.log j'ai l'erreur pam_ldap après lancement du service nslcd. Le problème vient donc du fichier de conf nslcd j'imagine mais je ne maîtrise pas du tout. Peux-tu me montrer le tiens en cachant les infos sensibles évidemment ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 il y a 36 minutes, lpsilasr a dit : Je viens de trouver une piste, le service nslcd n'était pas lancé, il n'allais donc pas chercher à se connecter avec LDAP d'où l'erreur pam_unix et non pam_ldap. Maintenant dans auth.log j'ai l'erreur pam_ldap après lancement du service nslcd. Le problème vient donc du fichier de conf nslcd j'imagine mais je ne maîtrise pas du tout. Peux-tu me montrer le tiens en cachant les infos sensibles évidemment ? donne moi le chemin Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 /usr/syno/etc/nslcd.conf merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 #cat /usr/syno/etc/nslcd.conf cat: /usr/syno/etc/nslcd.conf: No such file or directory #ls /usr/syno/etc/nslcd.* /usr/syno/etc/nslcd.conf.template /usr/syno/etc/nslcd.profile: domino Et rien d'important dans les autres fichiers du dossier, donc ce n'est pas lié. --- Tu as essayé en configurant le serveur AD qui tiens les rôles FSMO d'authentification et le catalogue global ? Vérifie aussi que tu utilises l'AD comme NTP et que le fuseau horaire soit le même Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Ah oui effectivement aucun rapport du coup... il y a 6 minutes, Fenrir a dit : Tu as essayé en configurant le serveur AD qui tiens les rôles FSMO d'authentification et le catalogue global ? C'est à dire ? Configurer quoi ? :/ L'AD est bien le NTP et le NAS se synchro bien avec, aucun problème de ce côté. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 Il y a 4 heures, lpsilasr a dit : C'est à dire ? Configurer quoi ? :/ Si tu as plusieurs serveurs AD, tu as pu répartir des différents rôle FSMO sur différents serveurs, même chose pour le catalogue global. Quand on patauge, il vaut mieux s'adresser au serveur maitre. nb : si tu ne connais pas ces termes, tu ne devrais pas être administrateur de ton domaine AD (ou alors ton entreprise a une drôle de manière de donner des autorisations) => je te recommande vivement de demander d'aller voir ton service formation. Lien vers le commentaire Partager sur d’autres sites More sharing options...
lpsilasr Posté(e) le 13 avril 2016 Partager Posté(e) le 13 avril 2016 1 - Je ne demandais pas ce qu'étais FSMO ou catalogue global mais qu'est ce que je devais configurer car ta phrase est très mal tournée. 2 - Je sais ce que veut dire FSMO merci ! 3 - J'ai bien configuré le serveur maître, je ne débute pas, merci ! 4 - Cela fonctionnait avant la MàJ, l'AD n'a pas bougé, je ne vois pas pourquoi l'AD devrait être touché 5 - De plus l'ancienne config sur le NAS a été testé pour les paramètres du domaine et cela ne fonctionne quand même pas, il doit y avoir un autre problème en relation avec la nouvelle MàJ. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.