Intégration AD et Samba/Winbind/PAM/Sécurité

Support Debian
#1

Bien le bonsoir.

Je suis actuellement en train de proceder à l’intégrtion de nos postes linux dans un domaine ADs, jusqu’ici tout vas bien:

DHCP --> OK
DDNS --> OK
Compte AD --> OK
PAM --> OK auth avec le compte Windows.

Le hic c’est que maintenant je cherche a faire en sorte que notre groupe Domain Admins et Domain Support facent parties du groupe ROOT.

Je me suis donc dit que j’allais ajouter au groupe ROOT notre groupe Domain Admins:

~#vi /etc/group
~#root:x:0:%NVS+Domain\Admins

le \ remplace l’espace non autorisé dans /etc/group.
Je me demande si /etc/group accepte %20 à la place.

mais non ce serait trop facile, nos comptes domain admins ne sont pas pris en compte en tant que membres du groupe ROOT, à savoir que si j’essaye de lancer un apt-get install dialog cela ne fonctionne pas, il me répond que je n’appartient pas au groupe ROOT.

j’ai beau chercher sur google mais je ne trouve rien, apparemment je suis aller plus loin que les tutos concernant l’intégration des postes Linux sous environnement Microsoft.

#2

Petit up?? :mrgreen:

#3

bonjour,
moi j’ ai moins de chanse j’ai configurer mon fichier /etc/krb5.conf et j’arrive a obtenir mon ticker, pour le fichier samba ma configuration semble correcte j’ai vérifier sur plusieur forum mais quand j essai de rejoindre mon domain AD a l’aide de la commande “net join -U administrator” j’ai le message suivant:

[2010/04/19 17:06:13, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Operations error
ADS join did not work, falling back to RPC…
Joined domain TEP.

la command me donne rien wbinfo -u

un ami m a conseillé de cherche l’équivalent de likewise(march sur ubuntu) sur debian, mais pour le moment j’ai rien trouvé.

je cherche de l’aide, merci d’avance

#4

Pas besoin de Likewise, essaye avec:

net join ads -U ADMDOMAIN

ou ADMDOMAIN est l’utilisateur administrateur du domaine ou un compte autorisé à proceder à l’entrée dans le domaine de ta machine.

Fait gaffe à ta configuration de DHCP aussi parce que si tu ne fait pas de mise à jour dynamique de ton DNS ça foire.

Ah et pense a bien mettre un nom DNS dans ton Krb5.conf à la place de l’IP de ton serveur Kerberos.

#5

bonjour,
merci beaucoup pour votre attention.

  • j ai déjà utilisé LA command net join ads -U ADMDOMAIN mais j’ai eu tjr le meme message d’erreur

[2010/04/19 17:06:13, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Operations error
ADS join did not work, falling back to RPC…
Joined domain TEP.

*pour le fichier Krb5.conf j’ai utilisé les 2 possibilités(nom DNS et @IP) pour le test mais ça marche pas, mais je pense que le problème c’est pas au niveau de fichier Krb5.conf car j’arrive a me authentifier sur AD, j’ai testé avec la commande kinit sans problem.

*pour DHCP j’ai pas bien saisi ce vous voulez dire, dans notre entreprise le DHCP est géré par la LIVEBOX donc je l’ai pas paramétré.y a t il quelque chose a modifier

je sais pas vraiment d ou viens le problème, j’ai trouvé des dizaine de modèles de configuration sur internet qui font la même chose que moi :unamused:

#6

[quote=“jbari.mustapha”]bonjour,
merci beaucoup pour votre attention.

  • j ai déjà utilisé LA command net join ads -U ADMDOMAIN mais j’ai eu tjr le meme message d’erreur

[2010/04/19 17:06:13, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Operations error
ADS join did not work, falling back to RPC…
Joined domain TEP.

*pour le fichier Krb5.conf j’ai utilisé les 2 possibilités(nom DNS et @IP) pour le test mais ça marche pas, mais je pense que le problème c’est pas au niveau de fichier Krb5.conf car j’arrive a me authentifier sur AD, j’ai testé avec la commande kinit sans problem.

*pour DHCP j’ai pas bien saisi ce vous voulez dire, dans notre entreprise le DHCP est géré par la LIVEBOX donc je l’ai pas paramétré.y a t il quelque chose a modifier

je sais pas vraiment d ou viens le problème, j’ai trouvé des dizaine de modèles de configuration sur internet qui font la même chose que moi :unamused:[/quote]

Ouch… ça existe encore ça des boites qui utilises les “Box” pour faire des DNS et DHCP?

Sans vouloir paraitre désagréable tu devrait ouvrir un topic pour toi, au moins je pourrais t’aider sur la configuration initial, et pense a mettre ton fichier krb5.conf et smb.conf en exemple.

#7

slt
c est fait j’ai crée un topic avec le nom intégration d’une machine LINUX dans un domaine AD
je vais publier mes fichiers de conf

merci beaucoup pour ton aide

#8

UP? :mrgreen:

je commence à me sentir seul :s

Tiens au passage, j’ai essayer de faire un net groupmap add.
Si je fait un net groupmap list il me dit bien que Domain Admins sont liés à Root.

Mais mais mais, bah si je me log avec un user domain admins je ne suis toujours pas root, du coup, je peux pas faire de mount -t smbfs //leposte/lepartage /mnt/share/

Il me dit que seul les membres du groupe Root sont autorisés à faire ce genre d’opérations.

#9

Bon, je reviens à la charge après être aller faire un tour sur le Chan IRC de Samba (des gens tres sympathique au demeurant :smiley: ).

Alors pour faire ce que je veux faire, deux choix apparemment:

-1°/- Utilisation de sudo
-2°/- Mappage de groupe windows (comme plus haut quoi) mais ça n’a pas l’air de fonctionner chez moi.

Bref si quelqu’un a déja fait la manip 2 avec succés qu’il ce manifeste, comme ça il pourra m’aider! XD