[Résolu] MAJ DSM 6.0: jonction AD impossible

[lpsilasr]

Bonjour,

J'ai exactement le même problème que bryce426, impossible de rejoindre l'AD, tout est rempli et la case de Domaine est rouge sauf que mon AD n'est nullement en réparation ou en cours de changement. le problème est survenu suite à la mise à jour automatique vers DSM 6. Tout fonctionnait bien avant celle-ci. Quelqu'un aurait une idée ?
Merci d'avance !

[Fenrir]

Il y a 1 heure, lpsilasr a dit :

Bonjour,

J'ai exactement le même problème que bryce426, impossible de rejoindre l'AD, tout est rempli et la case de Domaine est rouge sauf que mon AD n'est nullement en réparation ou en cours de changement. le problème est survenu suite à la mise à jour automatique vers DSM 6. Tout fonctionnait bien avant celle-ci. Quelqu'un aurait une idée ?
Merci d'avance !

Comme il n'y a pas d'incompatibilité en DSM6.0 et un AD (ça marche pour @bryce426), c'est soit un soucis de conf, soit un soucis d'infra (ad, dns, fw, ...).

[lpsilasr]

il y a une heure, Fenrir a dit :

Comme il n'y a pas d'incompatibilité en DSM6.0 et un AD (ça marche pour @bryce426), c'est soit un soucis de conf, soit un soucis d'infra (ad, dns, fw, ...).

Soucis de conf non car j'ai appliqué une restauration des paramètres AD qui fonctionnait en 5.2, et soucis d'infra non plus car cela fonctionnait il y 'a une semaine (avant la MàJ) automatique.
Mais j'avais eu d'autres soucis, des ports qui ont changés, des certificats qui ont sautés, etc à cause du passage à nginx, du coup j'ai reconfiguré nginx et tout refonctionne sauf l'AD qui ne fonctionne plus depuis DSM 6.

C'est très embêtant pour l'entreprise :/

[Fenrir]

Test néanmoins les différents points et regarde bien les logs des AD et des firewall de l'entreprise, ne serait ce que pour avoir une piste.

edit : je viens d'upgrader un des ds710 du taf en DSM 6, j'essaierai de le remettre dans l'AD demain

[lpsilasr]

Ca marche je test ça demain, merci je te tiens au courant des avancées alors.

Bonne soirée !

[lpsilasr]

Bon ben ça ne fonctionne pas, pour tant il joint bien l'AD voici la capture :

J'ai l'impression qu'il y a une erreur après le kinit success de Kerberos mais aucune idée de ce que cela peut être.

[Fenrir]

Pour moi ça fonctionne sans soucis du premier coup.

 

Pour info, DSM 6 par défaut (factory reset) branché dans un réseau utilisateur (donc pas de DC dans le réseau)

[lpsilasr]

Oui la même chose sur un réseau à part, j'ai enfin réussi après quelques bidouilles en SSH et après la suppression des entrée du NAS dans les OU AD.

Maintenant impossible de me connecter avec un user AD sur le NAS en web x)

[Fenrir]

Il y a 2 heures, lpsilasr a dit :

Oui la même chose sur un réseau à part, j'ai enfin réussi après quelques bidouilles en SSH et après la suppression des entrée du NAS dans les OU AD.

Maintenant impossible de me connecter avec un user AD sur le NAS en web x)

Pour moi pas de soucis de connexion

[lpsilasr]

Je n'ai toujours pas trouvé la solution, les logs ne sont vraiment pas parlant sur le Synology, j'arrive à accéder aux ressources en CIFS via lecteur réseau avec les utilisateurs AD mais pas en WEB.
Je me tâte à tout remettre à zéro pour repartir proprement mais je pense que je vais perdre tous les droits affectés aux dossiers et sous dossiers ?
Qu'en pensez-vous ?

[Fenrir]

il y a une heure, lpsilasr a dit :

j'arrive à accéder aux ressources en CIFS via lecteur réseau avec les utilisateurs AD mais pas en WEB

1. un admin du domaine accède t'il à l'interface web ?
2. lorsqu'un utilisateur essaye et se fait rejeter, qui a t'il dans les différents logs (/var/log/ tous les sous dossiers)

il y a une heure, lpsilasr a dit :

Je me tâte à tout remettre à zéro pour repartir proprement mais je pense que je vais perdre tous les droits affectés aux dossiers et sous dossiers ?

C'est un peu radicale, mais à toi de voir.

Pour les droits, ça dépend de manière dont tu t'y prends (réinstallation du système avec ou sans import de la conf) et de la manière dont ils sont gérés (groupe locaux/ad/...).

[lpsilasr]

Il y a 1 heure, Fenrir a dit :

1. un admin du domaine accède t'il à l'interface web ?
2. lorsqu'un utilisateur essaye et se fait rejeter, qui a t'il dans les différents logs (/var/log/ tous les sous dossiers)

C'est un peu radicale, mais à toi de voir.

Pour les droits, ça dépend de manière dont tu t'y prends (réinstallation du système avec ou sans import de la conf) et de la manière dont ils sont gérés (groupe locaux/ad/...).

1. Non un admin n'y accède pas non plus :

2.

/var/log/auth.log :

/var/log/synolog/synoconn.log

Je ne comprends vraiment pas, cela fonctionnait très bien avant la MàJ.
Les logs ne sont pas très parlants.

 

Les droits sur les différents partages sont gérés directement en local dans le NAS (clic droit propriétés, permissions, etc..) pour les users locaux du NAS et les Users AD aussi.
En faisant une sauvegarde de la conf via le DSM, je ne sais pas si cela garde les droits de toute l'arborescence donc un peu peur de tout remettre à 0.

Je commence à désespérer..

[Fenrir]

Pour le login, il ne faut pas ajouter le préfixe de domaine XXX\

[lpsilasr]

Je ne le met pas, enfin personne ne le met mais il apparaît dans les logs

[Fenrir]

il y a 3 minutes, lpsilasr a dit :

Je ne le met pas, enfin personne ne le met mais il apparaît dans les logs

ça veut dire qu'il identifie bien que c'est un compte du domaine, il faut regarder dans les logs AD (events logs) ce qu'il y a

[lpsilasr]

J'ai déjà fouillé et je viens de refaire un test, rien n'apparaît sauf si je mets un mauvais mot de passe pour un user AD il voit bien que le mot de passe n'est pas bon dans les logs AD mais sinon rien.

[Fenrir]

Apr 13 14:36:04 mi566 synocgid: pam_unix(webui:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=172.xxx.xxx.xxx  user=DOMAIN\login

J'ai aussi cette ligne, mais pas l'autre.

#/var/log/synolog/synoconn.log
info    2016/04/13 14:36:04     DOMAIN\login:   User [DOMAIN\login] logged in from [172.XXX.XXX.XXX] via [DSM].

Tu as essayé de demander au support ?

nb : si tu as des paquets tiers, il faut les supprimer sinon le support ne t'aidera pas

[lpsilasr]

J'ai contacté le support mardi 5 avril et j'attends toujours une réponse.. Je ne vais pas compter sur eux à mon avis.
Le problème c'est que ça bloque pas mal d'utilisateurs..
Pourtant ça fonctionnait avant la MàJ il y a quelquechose qui m'echappe j'ai l'impression, auraient-ils changer un module ou je ne sais quoi?

Peut-être que le problème vient de nginx je vais éplucher les fichiers de conf.

[lpsilasr]

Je viens de trouver une piste, le service nslcd n'était pas lancé, il n'allais donc pas chercher à se connecter avec LDAP d'où l'erreur pam_unix et non pam_ldap.
Maintenant dans auth.log j'ai l'erreur pam_ldap après lancement du service nslcd.

Le problème vient donc du fichier de conf nslcd j'imagine mais je ne maîtrise pas du tout.

Peux-tu me montrer le tiens en cachant les infos sensibles évidemment ?

[Fenrir]

il y a 36 minutes, lpsilasr a dit :

Je viens de trouver une piste, le service nslcd n'était pas lancé, il n'allais donc pas chercher à se connecter avec LDAP d'où l'erreur pam_unix et non pam_ldap.
Maintenant dans auth.log j'ai l'erreur pam_ldap après lancement du service nslcd.

Le problème vient donc du fichier de conf nslcd j'imagine mais je ne maîtrise pas du tout.

Peux-tu me montrer le tiens en cachant les infos sensibles évidemment ?

donne moi le chemin

[lpsilasr]

/usr/syno/etc/nslcd.conf

 

merci

[Fenrir]

#cat  /usr/syno/etc/nslcd.conf
cat: /usr/syno/etc/nslcd.conf: No such file or directory

#ls /usr/syno/etc/nslcd.*
/usr/syno/etc/nslcd.conf.template

/usr/syno/etc/nslcd.profile:
domino

Et rien d'important dans les autres fichiers du dossier, donc ce n'est pas lié.

---

Tu as essayé en configurant le serveur AD qui tiens les rôles FSMO d'authentification et le catalogue global ?

Vérifie aussi que tu utilises l'AD comme NTP et que le fuseau horaire soit le même

[lpsilasr]

Ah oui effectivement aucun rapport du coup...

il y a 6 minutes, Fenrir a dit :

Tu as essayé en configurant le serveur AD qui tiens les rôles FSMO d'authentification et le catalogue global ?

C'est à dire ? Configurer quoi ? :/

L'AD est bien le NTP et le NAS se synchro bien avec, aucun problème de ce côté.

[Fenrir]

Il y a 4 heures, lpsilasr a dit :

C'est à dire ? Configurer quoi ? :/

Si tu as plusieurs serveurs AD, tu as pu répartir des différents rôle FSMO sur différents serveurs, même chose pour le catalogue global.

Quand on patauge, il vaut mieux s'adresser au serveur maitre.

nb : si tu ne connais pas ces termes, tu ne devrais pas être administrateur de ton domaine AD (ou alors ton entreprise a une drôle de manière de donner des autorisations) => je te recommande vivement de demander d'aller voir ton service formation.

[lpsilasr]

1 - Je ne demandais pas ce qu'étais FSMO ou catalogue global mais qu'est ce que je devais configurer car ta phrase est très mal tournée.
2 - Je sais ce que veut dire FSMO merci !
3 - J'ai bien configuré le serveur maître, je ne débute pas, merci !
4 - Cela fonctionnait avant la MàJ, l'AD n'a pas bougé, je ne vois pas pourquoi l'AD devrait être touché
5 - De plus l'ancienne config sur le NAS a été testé pour les paramètres du domaine et cela ne fonctionne quand même pas, il doit y avoir un autre problème en relation avec la nouvelle MàJ.