Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 22/05/2021, à 07:34

jeff48

LDAP KERBEROS Active Directory Soucis Config

Hello à tous

Me revoilà à nouveau embêter pfftt.

L'idée de départ était de faire juste de l'authentification de mes postes sous ubuntu. Comme il y a plusieurs postes et plusieurs utilisateurs. Il fallait que je passe par un serveur qui stocke les utilisateurs et mot de passe genre LDAP.
Pour ce qui est creation utilisateurs, droits, permissions etc ... Tout ce parametres directement sur mon NAS Synology .
Du coup niveau config sur les postes clients. Il faut juste que ca fasse la phase authentification et pas de gestion, d'ajout utilisateurs ou autres.

J'avais déployer du coup à l'époque sur un Serveur Synology avec son paquet LDAP Server . L'authentification session de mes postes sous Ubuntu Avec le paquet ldap-auth-config sous ubuntu.  Ca marcher impecc . Mise à part sur les portables ou dès que l'on est plus sur le réseau . On peux pas s'authentifier. J'avais essayer avec le Ccreeds et ça marche à peu près. Mais c'est vraiment pas ca. Il faut que le PC soit déconnecter de tout réseau pour pouvoir s'authentifier en cache ou ca mouline un moment avant de s'authentifier. Et  quand ca marche. Du coup c'est le bordel pffft Faut couper la box si on est en Wifi ou débrancher le câble . Bref un vrai bazar. Et meme sur mes postes Fixe. Si je retire le Serveur NAS ou qu'il tombe en panne, plus personne peux ouvrir sa session hmm

Du coup, j'ai chercher pas mal depuis des mois et des mois, mais sans jamais trouver de solutions . J'avais vu il y a quelque temps dans une autre entreprise . Que eux utiliser Kerberos et LDAP . Et que ca marcher impecc. Mais avec LDAP Server sur le Synology il fait pas Kerberos. Mais par contre avec son paquet Directory Server, la oui. Je pensais du coup faire la bascule sous un Active Directory avec ce fameux paquet  DIrectory Server du Synology NAS. Comme en plus avec l'arrivée récemment d'ordi portable sous Win10. J'aurais pu les intégrer au domaine  au passage

J'ai du coup chercher des tutos pour essayer de passer avec ca. J'ai vu plusieurs ou ils passent par Samba, d'autres SSSD,Winbind . Mais moi j'aurais préférer passer plus simplement par un simple LDAP + Kerberos. Comme je l'avais vu sur des fichiers de config de cette entreprise ou cela marcher. Dans le nsswitch.conf il marquer compat ldap et pas de winbind ou sss et dans les fichiers Common de pam.d il y avait des lignes avec Pam_ldap et Pam_Krb5 . J'en conclu que ca doit etre possible de passer comme ca. Je sais pas

Niveau test pour l'instant :

Pour ce qui est de Kerberos. J'arrive à bien configurer apparemment vu que j'ai mes tickets avec kinit administrator et klist. Si j'ouvre une session aussi sous Ubuntu. Il me marque bien que mon mot de passe arrive a expiration dans X jours. Mais après Kerberos seul ne suffit pas pour ouvrir une session. Il faut autre chose .Comme le LDAP je pense. De plus il me faut bien accéder à celui ci pour récupérer les infos utilisateurs Nom etc .. pour qu'il sois afficher sur le PC avec l'extension Add username To Panel. Sans compter que ca sers pour le reste.
J'arrive a trouver aussi les infos de mon LDAP sur l'AD avec ldapsearch . Mais quand je configure ldap-auth-config comme un ldap classique. Impossible de voir mes utilisateur avec le getent passwd à la fin. Peut etre je le rempli mal aussi. Ou c'est ce fameux SASL, GSSAPI qui coince. Apparemment il y a ca de different avec le LDAP Classique.J'avais installer des paquets supplémentaire en rapports avec GSSAPI justement. Mais ca doit pas suffire

Enfin voila, je bloque la. j'ai essayer avec saslauth mais sans succès aussi.

Toutefois. Sur un un de mes nombreux essai. J'avais réussi  à faire cette authentification grâce à Kerberos + Winbind. Ca marcher impecc pour ouvrir une session . Mais par contre il me récupérer pas les infos utilisateurs on dirais. Sur mon extension Add Username to top Panel . Il me marquer unknown à la place de mon nom d'utilisateur . J'en est conclu qui arriver pas à récupérer les infos du LDAP intégrer à AD. Je l'ai fait sur un Ubuntu 18.04 et 20.04 et pareil

Enfin, voila . J'y est passer des nuits la dessus et je sèche totalement hmm . Je dois en etre à 15 iéme réinstalle de Ubuntu de repartir de 0 à chaque fois hmm Dans l'idée ca doit etre possible, mais la je trouve pas hmm . Si il y en as qui peuvent m'éclairer . Je leur en remercie Enormement par avance smile

Hors ligne

Pages : 1