Ubuntu-fr

bcaulier

[résolu] Authentification des users par Kerberos Windows 2000 server

Bonjou,
Comment authentifier les utilisateurs par les users déclarés sur un serveur Windows 2000, ( Domaine Active Directory), pour ne pas utiliser le fichier passwd local de Linux.
Merci

Dernière modification par bcaulier (Le 06/02/2006, à 19:17)

vogia

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

bonjour,
c un peu technique ton post, mais j'ai peut etre ce pb que je vais expliquer en clair:
j'ai effectué une partage sous Ubuntu. en utilisant évidemment SAMBA pour le partage avec Windows et c proposé d'office.
le pb c'est que windows demande un login qu'il est impossible de produire.
j'ai essayé toutes les configurations de login: rien à faire.
alors c peut etre le pb que tu as.:/

bibubu

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

Bonjour

En ce qui me concerne, je crois avoir le même problème.  J'ai installé Samba.  Sur mes deux machines fonctionnant sur Xp il en reconnaît une où j'ai accès au dossier partagé mais pas sur l'autre alors que j'applique les mêmes principes ...
J'ai comme message :
Impossible d'afficher le contenu de ce dossier : Désolé, impossible d'afficher tout le contenu de "        "
Etrange non ?

DiCiCat

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

des info ici : http://linuxfr.org/2002/04/19/7904.html pour le pb active directory/linux
ici aussi en francais http://ditwww.epfl.ch/publications-spip/article.php3?id_article=844

Dernière modification par DiCiCat (Le 06/02/2006, à 15:28)

binbin

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

Bonjour,

Les machines ubuntu de notre organisation se connectent bien sur un domaine active directory négocié par un serveur 2000 et les utilisateurs ont accès aux dossiers partagés par ce même serveur avec les bons droits en toute sécurité.  Je vous livre donc la recette que nous devons presque entièrement à la communauté.

POUR LA CONNEXION SUR ACTIVE DIRECTORY

Après installation de la version 5.10, la nouvelle machine est déclarée avec ses copines windows dans le dhcp de windows 2000 sous la forme d'une adresse réservée (cela fait plus propre). Premier souci, pour des raisons obscures (jalousie?), le serveur 2000 ne répercute pas cette inscription dans le dns alors qu'il le fait pour les postes windows. Peu importe, nous faisons cette manipulation manuellement, cela évitera un message d'erreur rencontré plus loin.

Sur le poste client nommé 'lili-ub' entré dans le domaine 'WIN', on contrôle les fichiers suivants:

/etc/hosts

127.0.0.1 localhost.localdomain localhost lili-ub
192.168.1.3 server-dns server-dns.win.locale
192.168.1.146 lili-ub lili-ub.win.locale
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

/etc/resolv.conf:

search win.locale
nameserver 192.168.118.3

La suite du travail (et pas le plus simple) est disponible sur le site de la communauté:
http://doc.ubuntu-fr.org/applications/a … ectory_add

J'ajouterais que j'ai:
1)Utiliser comme serveur NTP, le serveur de domaine windows en modifiant le fichier /etc/default/ntpdate.
2)juste modifier le fichier /etc/krb5.conf comme indiqué sans prendre la peine de rajouter des fagots sur les lignes qui n'apparaissaient pas dans la doc.
3)concernant /etc/samba/smb.conf, je n'ai pas choisi le "+" comme séparateur winbind car windows ne supporte pas les partages avec le caractère "+" dans le nom de partage donc

winbind separator = -

4)concernant le fichier /etc/pam.d/common-auth, j'ai mis pour la seconde ligne contrairement à la doc:

auth required pam_mkhomedir.so umask=0022 skel=/etc/skel

car sinon, l'user pouvait se connecter sans mot de passe si on ne paramètre pas /etc/pam.d/sudo

Grace à gdm, on peut faire afficher la liste des utilisateurs avant la connexion, pour cela lancer gdmsetup ou bien configurer le fichier /etc/gdm/gdm.conf. Cela fonctionnait bien après la cloture d'une session, mais pas après un redémarrage de la machine, pour cela faire:

mv /etc/rc2.d/S13gdm /etc/rc2.d/S99gdm

de manière à lancer gdm après les autres applis qui permettent la récupération de la base de compte.
Par contre, l'utilisateur doit taper 2 fois son mot de passe sous gdm et je n'ai toujours pas trouvé la solution.

POUR LE PARTAGE DE DOCUMENTS AVEC ACTIVE DIRECTORY

Cette fois-ci, on utilise la doc excellente suivante:
http://doc.ubuntu-fr.org/installation/m … agewindows
On suit la méthode qui permet la gestion des droits (2ème)

Concernant le fichier central /etc/security/pam_mount.conf, voici un exemple de 2 lignes permettant un mode de partage qui fonctionne chez nous (le mode choisi est celui plus pratique du fichier commun à tous les users -> fagot devant la variable luserconf).

Partage d'un dossier pour tout le monde:

volume * smb pc-windows public ~/public 
fmask=777,dmask=755,workgroup=WIN - -

Partage d'un dossier propre à un membre du domaine:

volume * smb pc-windows &\$ ~/MesDocs uid=&,gid=&,fmask=755,dmask=755,workgroup=WIN - -

Dans les 2 cas, il faut veiller à créer les points de montage manuellement si l'option n'est pas activée, dans le second cas le partage est caché par un $ sous windows qu'il faut ne pas laisser interpréter par linux.

Merci à vous tous.

Mercusio

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

Bonjour, j'ai un soucis.

J'essaie de joindre une machine que j'ai sous Xubuntu à notre domaine active directory (Windows 2000 Server) et jusqu'à présent j'ai suivi tous les indications de Binbin.

Maintenant j'en suis à la doc et je viens de modifier le fichier smb.conf. Le problème survient lorsque je tape

sudo net join -U Administrateur -S ServeurCD.MonDomaine

apparemment il trouve correctement le serveur vue qu'il me demande le mot de passe.

Si je tape un mauvais mot de passe (je ne l'ai pas fait exprès) il le détecte, donc c'est bon, j'entre le bon mot de passe et là...plus rien, je poireaute, je poireaute. Il ne se passe rien.

J'ai patienté plus de 10 minutes et rien. Il a l'air de chercher quelque chose (je sais pas quoi, le disque dur ne travaille pas à ce moment là.)

Si je vais jeter un oeil dans Active Directory je vois que ma machine a correctement été ajoutée.

J'ai essayé donc d'interrompre (après 10 minutes quand même faut pas déconner...) le "processus" en cours. Puis de continuer le tuto, et j'ai donc saisi

wbinfo -u

et là il me répond

Error looking up domain users

Pouvez-vous m'éclairer s'il vous plait?

Merci et bonne journée

binbin

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

Bonjour,

Qu'en est-il sur ton serveur 2000 ?
La machine apparait-elle dans la liste dns et/ou dhcp ?
Essaie alors la commande net join avec l'@ IP de ton serveur.

@+.

binbin

Mercusio

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

Bonjour. En fait j'ai réussit à joindre la machine au domaine. Le problème venait du routage...

J'ai eu pas mal de soucis pour m'authentifier au domaine par la suite, mais j'ai finalement réussit. J'ai même les partages windows qui apparaissent.

Toutefois j'ai quelques autres soucis...certains majeurs. Par exemple, comme tu l'as dit toi même le mot de passe à la connexion t'es demandé 2 fois, moi aussi. Mais à l'inverse, si je saisis un mauvais mot de passe la personne peut se connecter quand même (sauf qu'il n'a pas les partages).

Ce problème je l'avais rencontré lorsque je tentais de m'authentifier avec le serveur ad. Je l'ai résolu en modifier le fichier auth.conf je crois, je ne m'en souviens plus exactement.

Et j'ai l'impression (je n'en suis pas totalement certain) que depuis que j'ai fait les modifications pour avoir les partages c'est "revenu"...c'est peut-être absurde!

Un autre soucis et ça concerne les partages.
Avec la commande

volume * smbfs pc-windows &\$ ~/MesDocs uid=&,gid=&,fmask=755,dmask=755,workgroup=WIN - -

J'ai réussit à mapper les espaces personnels de chaque utilisateur. Toutefois, j'ai plusieurs groupes d'utilisateurs et chaque groupe possède son espace commun. Et chaque personne qui se log donc doit avoir accès à son espace partagé ainsi que son espace commun. Toutefois je n'ai pas trouvé comment mapper ce partage en fonction du groupe de l'utilisateur.

En gros là j'ai

volume * smbfs pc-windows &\$ ~/Docsdugroupe uid=&,gid=<iddugroupe>,fmask=755,dmask=755,workgroup=WIN - -

Donc je dois saisir 1 ligne pour chaque groupe, c'est très loin d'être pratique sachant que j'ai une cinquantaine de groupes. As-tu une solution pour ça? N'y a-t-il pas une variable qui corresponde au nom ou à l'id du groupe de la même façon que pour l'utilisateur?

Merci beaucoup et bonne journée

Mercusio

Re : [résolu] Authentification des users par Kerberos Windows 2000 server

Finalement j'ai résolu le problème du mauvais mot de passe.
Dans /etc/pam.d/common-auth et dans /etc/pam.d/sudo j'ai rajouté

auth required     pam_deny.so