This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

[Résolu] MAJ DSM 6.0: jonction AD impossible


_Megalegomane_

Messages recommandés

Bonjour,

J'ai exactement le même problème que bryce426, impossible de rejoindre l'AD, tout est rempli et la case de Domaine est rouge sauf que mon AD n'est nullement en réparation ou en cours de changement. le problème est survenu suite à la mise à jour automatique vers DSM 6. Tout fonctionnait bien avant celle-ci. Quelqu'un aurait une idée ?
Merci d'avance !

Lien à poster
Partager sur d’autres sites
  • Réponses 61
  • Created
  • Dernière réponse
Il y a 1 heure, lpsilasr a dit :

Bonjour,

J'ai exactement le même problème que bryce426, impossible de rejoindre l'AD, tout est rempli et la case de Domaine est rouge sauf que mon AD n'est nullement en réparation ou en cours de changement. le problème est survenu suite à la mise à jour automatique vers DSM 6. Tout fonctionnait bien avant celle-ci. Quelqu'un aurait une idée ?
Merci d'avance !

Comme il n'y a pas d'incompatibilité en DSM6.0 et un AD (ça marche pour @bryce426), c'est soit un soucis de conf, soit un soucis d'infra (ad, dns, fw, ...).

Lien à poster
Partager sur d’autres sites
il y a une heure, Fenrir a dit :

Comme il n'y a pas d'incompatibilité en DSM6.0 et un AD (ça marche pour @bryce426), c'est soit un soucis de conf, soit un soucis d'infra (ad, dns, fw, ...).

Soucis de conf non car j'ai appliqué une restauration des paramètres AD qui fonctionnait en 5.2, et soucis d'infra non plus car cela fonctionnait il y 'a une semaine (avant la MàJ) automatique.
Mais j'avais eu d'autres soucis, des ports qui ont changés, des certificats qui ont sautés, etc à cause du passage à nginx, du coup j'ai reconfiguré nginx et tout refonctionne sauf l'AD qui ne fonctionne plus depuis DSM 6.

C'est très embêtant pour l'entreprise :/

Lien à poster
Partager sur d’autres sites

Test néanmoins les différents points et regarde bien les logs des AD et des firewall de l'entreprise, ne serait ce que pour avoir une piste.

edit : je viens d'upgrader un des ds710 du taf en DSM 6, j'essaierai de le remettre dans l'AD demain

Lien à poster
Partager sur d’autres sites

Oui la même chose sur un réseau à part, j'ai enfin réussi après quelques bidouilles en SSH et après la suppression des entrée du NAS dans les OU AD.

Maintenant impossible de me connecter avec un user AD sur le NAS en web x)

Lien à poster
Partager sur d’autres sites
Il y a 2 heures, lpsilasr a dit :

Oui la même chose sur un réseau à part, j'ai enfin réussi après quelques bidouilles en SSH et après la suppression des entrée du NAS dans les OU AD.

Maintenant impossible de me connecter avec un user AD sur le NAS en web x)

Pour moi pas de soucis de connexion

Lien à poster
Partager sur d’autres sites

Je n'ai toujours pas trouvé la solution, les logs ne sont vraiment pas parlant sur le Synology, j'arrive à accéder aux ressources en CIFS via lecteur réseau avec les utilisateurs AD mais pas en WEB.
Je me tâte à tout remettre à zéro pour repartir proprement mais je pense que je vais perdre tous les droits affectés aux dossiers et sous dossiers ?
Qu'en pensez-vous ?

Lien à poster
Partager sur d’autres sites
il y a une heure, lpsilasr a dit :

j'arrive à accéder aux ressources en CIFS via lecteur réseau avec les utilisateurs AD mais pas en WEB

  1. un admin du domaine accède t'il à l'interface web ?
  2. lorsqu'un utilisateur essaye et se fait rejeter, qui a t'il dans les différents logs (/var/log/ tous les sous dossiers)
il y a une heure, lpsilasr a dit :

Je me tâte à tout remettre à zéro pour repartir proprement mais je pense que je vais perdre tous les droits affectés aux dossiers et sous dossiers ?

C'est un peu radicale, mais à toi de voir.

Pour les droits, ça dépend de manière dont tu t'y prends (réinstallation du système avec ou sans import de la conf) et de la manière dont ils sont gérés (groupe locaux/ad/...).

Lien à poster
Partager sur d’autres sites
Il y a 1 heure, Fenrir a dit :
  1. un admin du domaine accède t'il à l'interface web ?
  2. lorsqu'un utilisateur essaye et se fait rejeter, qui a t'il dans les différents logs (/var/log/ tous les sous dossiers)

C'est un peu radicale, mais à toi de voir.

Pour les droits, ça dépend de manière dont tu t'y prends (réinstallation du système avec ou sans import de la conf) et de la manière dont ils sont gérés (groupe locaux/ad/...).

1. Non un admin n'y accède pas non plus :

Capture.PNG

2.

/var/log/auth.log :

dz.png

/var/log/synolog/synoconn.log

dz.png

Je ne comprends vraiment pas, cela fonctionnait très bien avant la MàJ.
Les logs ne sont pas très parlants.

 

Les droits sur les différents partages sont gérés directement en local dans le NAS (clic droit propriétés, permissions, etc..) pour les users locaux du NAS et les Users AD aussi.
En faisant une sauvegarde de la conf via le DSM, je ne sais pas si cela garde les droits de toute l'arborescence donc un peu peur de tout remettre à 0.

Je commence à désespérer..

Lien à poster
Partager sur d’autres sites
il y a 3 minutes, lpsilasr a dit :

Je ne le met pas, enfin personne ne le met mais il apparaît dans les logs

ça veut dire qu'il identifie bien que c'est un compte du domaine, il faut regarder dans les logs AD (events logs) ce qu'il y a

Lien à poster
Partager sur d’autres sites
Apr 13 14:36:04 mi566 synocgid: pam_unix(webui:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=172.xxx.xxx.xxx  user=DOMAIN\login

J'ai aussi cette ligne, mais pas l'autre.

#/var/log/synolog/synoconn.log
info    2016/04/13 14:36:04     DOMAIN\login:   User [DOMAIN\login] logged in from [172.XXX.XXX.XXX] via [DSM].

Tu as essayé de demander au support ?

nb : si tu as des paquets tiers, il faut les supprimer sinon le support ne t'aidera pas

Lien à poster
Partager sur d’autres sites

J'ai contacté le support mardi 5 avril et j'attends toujours une réponse.. Je ne vais pas compter sur eux à mon avis.
Le problème c'est que ça bloque pas mal d'utilisateurs..
Pourtant ça fonctionnait avant la MàJ il y a quelquechose qui m'echappe j'ai l'impression, auraient-ils changer un module ou je ne sais quoi?

Peut-être que le problème vient de nginx je vais éplucher les fichiers de conf.

Lien à poster
Partager sur d’autres sites

Je viens de trouver une piste, le service nslcd n'était pas lancé, il n'allais donc pas chercher à se connecter avec LDAP d'où l'erreur pam_unix et non pam_ldap.
Maintenant dans auth.log j'ai l'erreur pam_ldap après lancement du service nslcd.

Le problème vient donc du fichier de conf nslcd j'imagine mais je ne maîtrise pas du tout.

Peux-tu me montrer le tiens en cachant les infos sensibles évidemment ?

Lien à poster
Partager sur d’autres sites
il y a 36 minutes, lpsilasr a dit :

Je viens de trouver une piste, le service nslcd n'était pas lancé, il n'allais donc pas chercher à se connecter avec LDAP d'où l'erreur pam_unix et non pam_ldap.
Maintenant dans auth.log j'ai l'erreur pam_ldap après lancement du service nslcd.

Le problème vient donc du fichier de conf nslcd j'imagine mais je ne maîtrise pas du tout.

Peux-tu me montrer le tiens en cachant les infos sensibles évidemment ?

donne moi le chemin

Lien à poster
Partager sur d’autres sites
#cat  /usr/syno/etc/nslcd.conf
cat: /usr/syno/etc/nslcd.conf: No such file or directory

#ls /usr/syno/etc/nslcd.*
/usr/syno/etc/nslcd.conf.template

/usr/syno/etc/nslcd.profile:
domino

Et rien d'important dans les autres fichiers du dossier, donc ce n'est pas lié.

---

Tu as essayé en configurant le serveur AD qui tiens les rôles FSMO d'authentification et le catalogue global ?

Vérifie aussi que tu utilises l'AD comme NTP et que le fuseau horaire soit le même

Lien à poster
Partager sur d’autres sites

Ah oui effectivement aucun rapport du coup...

il y a 6 minutes, Fenrir a dit :

Tu as essayé en configurant le serveur AD qui tiens les rôles FSMO d'authentification et le catalogue global ?

C'est à dire ? Configurer quoi ? :/

L'AD est bien le NTP et le NAS se synchro bien avec, aucun problème de ce côté.

Lien à poster
Partager sur d’autres sites
Il y a 4 heures, lpsilasr a dit :

C'est à dire ? Configurer quoi ? :/

Si tu as plusieurs serveurs AD, tu as pu répartir des différents rôle FSMO sur différents serveurs, même chose pour le catalogue global.

Quand on patauge, il vaut mieux s'adresser au serveur maitre.

nb : si tu ne connais pas ces termes, tu ne devrais pas être administrateur de ton domaine AD (ou alors ton entreprise a une drôle de manière de donner des autorisations) => je te recommande vivement de demander d'aller voir ton service formation.

Lien à poster
Partager sur d’autres sites

1 - Je ne demandais pas ce qu'étais FSMO ou catalogue global mais qu'est ce que je devais configurer car ta phrase est très mal tournée.
2 - Je sais ce que veut dire FSMO merci !
3 - J'ai bien configuré le serveur maître, je ne débute pas, merci !
4 - Cela fonctionnait avant la MàJ, l'AD n'a pas bougé, je ne vois pas pourquoi l'AD devrait être touché
5 - De plus l'ancienne config sur le NAS a été testé pour les paramètres du domaine et cela ne fonctionne quand même pas, il doit y avoir un autre problème en relation avec la nouvelle MàJ.

Lien à poster
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.