Ubuntu-fr

Alain07

Projet TFE (Samba,krb5,windbind) : pb de mapping des comptes win

Bonjours,

Voila je travail sur un projet de fin d'étude qui est, d'utiliser deux serveurs dont un est sur windows serveur 2003 et l'autre sous ubuntu (Version desktop 9.1).

Le serveur sous windows 2003, sert de contrôleur de domaine.
Le serveur sous ubuntu (version desktop) sert de serveur de fichiers des comptes du domaine win 2003.
Et alors notre projet est constitué aussi de plusieurs pc clients tournant sous windows xp.

En suivant des tutoriels, j'ai configurer les différents fichiers que j'ai besoin pur mon projet qui sont:

- Samba (smb.conf).
- Kerberos (krb5.conf).
- Et alors en voyant sur un tutoriel j'ai installer Winbind qui sert a récupère la liste des utilisateurs et des groupes d'un domaine NT (nsswitch.conf).

J'ai presque tous fini au niveau de mon projet mais il me reste un dernier problème qui est d'exporter les comptes utilisateurs de l'AD vers le serveur sous ubuntu ( CAD le mapping des comptes) et c'est pour cela que je viens vous voir car je crois que mes différents fichiers citer en haut ne sont pas bien configurer .

Voici le contenu de mes fichiers :

Kerberos: krb5.conf

[libdefaults]
    ticket_lifetime = 24000
    default_realm = DADAK.BE
    dns_fallback = no
    default_tkt_enctypes = des3-hmac-shal des-cbc-crc
    default_tgs_enctypes = des3-hmac-shal des-cbc-crc

# The following krb5.conf variables are only for MIT Kerberos.
    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

#    default_tgs_enctypes = des3-hmac-sha1
#    default_tkt_enctypes = des3-hmac-sha1
#    permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }
    fcc-mit-ticketflags = true

[realms]
    DADAK.BE = {
        kdc = dadak1.dadak.be
        admin_server = admin@dadak.be
        default_domain = DADAK.BE
   
    }
   

[domain_realm]
   
        .dadak.be = DADAK.BE
         dadak.be = DADAK.be

[login]
    krb4_convert = true
    krb4_get_tickets = false

De Samba: smb.conf

[global]

netbios name = Samba24
server string = Samba DADAK
workgroup = dadak
security = domain
hosts allow = 10.10.10.1/10
interfaces =
bind interfaces only = no
remote announce = 10.10.10.1/10
remote browse sync = 10.10.10.1/10
printcap name = cups
load printers = yes
cups options = raw
printing = cups
guest account = smbguest
log file = /var/log/samba/samba.log
max log size = 1000
null passwords = no
username level = 6
password level = 6
encrypt passwords = true
unix password sync = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = yes
domain master = yes
preferred master = yes
domain logons = yes
os level = 80
logon drive = m:
logon home = \\%L\homes\%u
logon path = \\%L\profiles\%u
logon script = %G.bat
time server = yes
name resolve order = lmhosts host wins bcast
wins support = yes
wins proxy = yes
dns proxy = no
preserve case = yes
short preserve case = yes
client use spnego = no
client signing = no
client schannel = no
server signing = no
server schannel = no
nt pipe support = yes
nt status support = yes
allow trusted domains = no
obey pam restrictions = yes
enable spoolss = yes
client plaintext auth = no
disable netbios = no
follow symlinks = no
update encrypted = yes
pam password change = yes
passwd chat timeout = 120
hostname lookups = no
username map = /etc/samba/smbusers
smb passwd file = /etc/samba/smbpasswd
passwd program = /usr/bin/passwd '%u'
passwd chat = *New*password* %n\n *ReType*new*password* %n\n *passwd*changed*\n
add user script = /usr/sbin/useradd -d /dev/null -c 'Samba User Account' -s /dev/null '%u'
add user to group script = /usr/sbin/useradd -d /dev/null -c 'Samba User Account' -s /dev/null -g '%g' '%u'
add group script = /usr/sbin/groupadd '%g'
delete user script = /usr/sbin/userdel '%u'
delete user from group script = /usr/sbin/userdel '%u' '%g'
delete group script = /usr/sbin/groupdel '%g'
add machine script = /usr/sbin/useradd -d /dev/null -g sambamachines -c 'Samba Machine Account' -s /dev/null -M '%u'
machine password timeout = 120
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /dev/null
winbind use default domain = yes
winbind separator = /
winbind cache time = 360
winbind trusted domains only = yes
winbind nested groups = no
winbind nss info = no
winbind refresh tickets = no
winbind offline logon = no

[homes]

comment = Home Directories
path = /home
read only = no
available = yes
browseable = yes
writable = yes
guest ok = no
public = no
printable = no
share modes = no
locking = no
valid users=DADAK/user1
admin users=DADAK/user1

[netlogon]

comment = Network Logon Service
path = /home/netlogon
read only = yes
available = yes
browseable = no
writable = no
guest ok = yes
public = no
printable = no
share modes = no
locking = no

[profiles]

comment = User Profiles
path = /var/samba/profiles
read only = no
available = yes
browseable = no
writable = yes
guest ok = no
public = no
printable = no
locking = no
create mode = 0600
directory mask = 0700

[printers]

comment = All Printers
path = /var/spool/samba
browseable = yes
writable = no
guest ok = no
public = no
printable = yes
share modes = no
locking = no

[pdf-documents]

path = /home/pdf-documents
comment = Converted PDF Documents
available = yes
browseable = yes
writeable = yes
guest ok = yes

[pdf-printer]

path = /tmp
comment = PDF Printer Service
printable = yes
guest ok = yes
use client driver = yes
printing = bsd
print command = /usr/bin/gadmin-samba-pdf %s %u
lpq command =
lprm command =

Winbind : nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Merci de bien vouloir nous donner un petit coup de main.

Alain et mathieu.

Dernière modification par Alain07 (Le 25/05/2010, à 09:57)

Alain07

Re : Projet TFE (Samba,krb5,windbind) : pb de mapping des comptes win

up

Divad

Re : Projet TFE (Samba,krb5,windbind) : pb de mapping des comptes win

Salut,

je ne pourrais malheureusement pas t'aider car je travaille actuellement à l'intégration de poste linux à un serveur windows 2003 AD. voir ici : http://forum.ubuntu-fr.org/viewtopic.php?id=395977

Si tu as déjà fait ce genre de manipulation et en particulier si tu as réussi à monter des partitons partagés du serveur sur le poste linux, je suis preneur d'info et d'aide.

Mais ton projet m'intéresse car je serai sûrement dans cette situation l'an prochain. Donc n'hésites pas à poster tes résultats !

merci

Dernière modification par Divad (Le 26/05/2010, à 12:22)

---

www.lyoncasting.com
www.lyceesaintsorlin.org

Alain07

Re : Projet TFE (Samba,krb5,windbind) : pb de mapping des comptes win

J'ai trouver sur plusieurs forum des fichier kerberos ( au niveau du realms ) portant ce_ci :

[realms]
MONAD.LOCAL = {
  kdc = CONTROLEURDOMAINE.monad.local:88
  admin_server = CONTROLEURDOMAINE.monad.local:749
  default_domain = MONAD

Questions :

1 ) Quelqu'un pourrait me dire a quoi sert le port " :88" et ":749" car je ne comprend pas d'où viens ces ports . J'ai cru croire que c'était des port par défaut mais a quoi sert il.

2 ) Question part apport au fichier kdc.conf et /var/kerberos/krb5kdc/kdc.conf    . J'aurais voulu savoir si c'est normalement que quand je fais sudo nano /etc/kdc.conf et sudo nano /var/kerberos/krb5kdc/kdc.conf , cela ouvre un fichier avec rien dedans. Faut il que je tape des commandes dans le fichier kdc.conf  comme par exemple : http://www-lor.int-evry.fr/~michel/LDAP/SASL/DemarrageKerberos.html (clicker en dessous de Création des fichiers de configuration sur kdc.conf)

3) J'ai trouvé un chouette tutoriel sur : http://www.commentcamarche.net/forum/affich-4857996-integrer-un-client-linux-sur-un-domaine-windo#newanswer

Mais je me demande si cette configuration sous linux mandriva fonctionnera pour moi sous ubuntu 9.1

Merci d'avance pour les réponses.

Dernière modification par Alain07 (Le 27/05/2010, à 10:39)

Divad

Re : Projet TFE (Samba,krb5,windbind) : pb de mapping des comptes win

Une question me turlupine : tu as installé un serveur avec Ubuntu, mais en prenant une version Desktop. La version serveur n'aurait-elle pas été plus judicieuse ? en évitant des problèmes de configuration ?

D'autre part, la page que tu cites en 2) date du 1er dec 2006. Beaucoup de choses ont évolué depuis. Comme les versions de Fedora 5 et Solaris 8 sur lesquelles il se basent me semblent un peu obsolète. Je peux me tromper, mais tant d'écart entre le tutoriel et les versions de travail actuelle, me fait douter.

pour 3) il est question de l'intégration d'un poste client mandriva dans un AD windows 2003. Ce qui ne semble pas être vraiment ton problème actuel. Quant à l'intégration de poste Linux dans un environnement windows 2003, comme je l'ai dit plus haut, je travaille avec des clients 10.4 et l'intégration simple sans montage de volumes fonctionne sans problème avec le script que je propose.

++David

Dernière modification par Divad (Le 27/05/2010, à 11:14)

---

www.lyoncasting.com
www.lyceesaintsorlin.org

Divad

Re : Projet TFE (Samba,krb5,windbind) : pb de mapping des comptes win

A Alain

A tu réussis a intégrer une machine linux (ubuntu dekstop 9.1) sur l'active directory?

oui, j'avais réussi, voici la démarche que j'utilisais. Cependant, je répète qu'entre 9.10 et 10.4 les version de likewise ont beaucoup évolué et je ne pense pas que cela soit bien de rester en 9.10 sauf si vraiment nécessaire :

Pour une intégration en 9.10

le /etc/nsswictch.conf : ( le même qu'en 10.4)

# /etc/nsswitch.conf
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat winbind lwidentity
group: compat winbind lwidentity
shadow: compat winbind
hosts: files dns winbind
networks: files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

puis ajout des paquets likewise et test en changeant domaine.local et administrateur à ta configuration.

sudo apt-get update
sudo apt-get install likewise-open
sudo domainjoin-cli domaine.local administrateur

A cette étape le retour doit être "SUCCESS"
puis

sudo update-rc.d likewise-open defaults
sudo /etc/init.d/likewise-open start

il faut aussi modifier le fichier /etc/samba/lwiauthd.conf en ajoutant la ligne suivante pour éviter de devoir préciser le domaine à l'ouverture de session ( DOMAINE\user)

winbind use default domain = yes

et redémarrer

---

www.lyoncasting.com
www.lyceesaintsorlin.org