petit message pour vous signaler une légère erreur dans la documentation pour l'installation d'un AD secondaire, dans le krb5.conf, il faut mettre "dns_lookup_kdc = true" et non pas "false", sinon ca pose qq soucis
Cdt
Petite erreur dans la doc
Bonjour,
Non ce n'est pas une erreur
On définit les serveurs KDC en dessous pour le royaume kerberos du domaine :
Normalement, le kinit doit fonctionner. Sinon peut être un problème au niveau du /etc/resolv.conf en fonction de votre erreur ?
Bonne journée,
Yohannès
Non ce n'est pas une erreur
On définit les serveurs KDC en dessous pour le royaume kerberos du domaine :
Code : Tout sélectionner
[libdefaults]
default_realm = NOM_DE_DOMAINE_LONG
dns_lookup_kdc = false
dns_lookup_realm=false
[realms]
NOM_DE_DOMAINE_LONG = {
kdc = 127.0.0.1
kdc = IP_SERVUR_AD1
}Bonne journée,
Yohannès
-
dcardon
- Expert WAPT
- Messages : 1797
- Inscription : 18 juin 2014 - 09:58
- Localisation : Saint Sébastien sur Loire
- Contact :
Bonjour Vincent,
La lib nss (qui va s'occuper du routage des requêtes dns système) n'est pas site-aware par défaut, donc si on lui laisse faire sa détection de DC, on n'est pas sûr que ça va tomber sur celui qu'on veut. Il y a un module à rajouter (winbind_krb5_locator) mais il y avait des bugs dans les versions précédentes dans les paquets pré-packagé, donc le mettre en dur (surtout sur un DC) c'est ce qui est le plus robuste.
La lib nss (qui va s'occuper du routage des requêtes dns système) n'est pas site-aware par défaut, donc si on lui laisse faire sa détection de DC, on n'est pas sûr que ça va tomber sur celui qu'on veut. Il y a un module à rajouter (winbind_krb5_locator) mais il y avait des bugs dans les versions précédentes dans les paquets pré-packagé, donc le mettre en dur (surtout sur un DC) c'est ce qui est le plus robuste.
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
bonjour
pardon, c'est de ma faute, je suis allé un peu vite, j'avais oublié de remplacer "MYDOMAIN.LAN" dans la section "realms" par le bon domaine, donc forcement ça ne risquait pas de marcher.
petite question, la doc officielle samba préconise de mettre, dans le resolv.conf, après avoir joint le dc au domain, l'ip du dc en question plutôt que 127.0.0.1, savez-vous pourquoi?
Cdt
pardon, c'est de ma faute, je suis allé un peu vite, j'avais oublié de remplacer "MYDOMAIN.LAN" dans la section "realms" par le bon domaine, donc forcement ça ne risquait pas de marcher.
petite question, la doc officielle samba préconise de mettre, dans le resolv.conf, après avoir joint le dc au domain, l'ip du dc en question plutôt que 127.0.0.1, savez-vous pourquoi?
Cdt
-
dcardon
- Expert WAPT
- Messages : 1797
- Inscription : 18 juin 2014 - 09:58
- Localisation : Saint Sébastien sur Loire
- Contact :
Bonjour Vincent,
Cordialement,
Denis
C'est une facilité rédactionnelle. Ca permet d'être sûr que c'est la bonne ip et ça fonctionne très bienVincent38 a écrit : ↑09 oct. 2025 - 12:42 pardon, c'est de ma faute, je suis allé un peu vite, j'avais oublié de remplacer "MYDOMAIN.LAN" dans la section "realms" par le bon domaine, donc forcement ça ne risquait pas de marcher.
petite question, la doc officielle samba préconise de mettre, dans le resolv.conf, après avoir joint le dc au domain, l'ip du dc en question plutôt que 127.0.0.1, savez-vous pourquoi?
Cordialement,
Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
