Interface de connexion pour AD [Résolu]

fredouzzz · 25/01/2008, 16h33

Voila j'ai configuré krb5.conf, smb.Conf....
je peux m'authentifier sur l'active directory en administrateur du domaine.

par contre :

- je ne peux pas le faire avec un utilisateur crée (NT_STATUS_ACCESS_DENIED), d'ou vient le pb ?

- Question ? peux t on modifier l'écran de connexion pour s'authentifier en interface graphique comme sur un client xp par exemple... ?

Merci !

A+

Coyote2001 · 25/01/2008, 18h35

Il est tout a fait possible de s'authentifier via kdm ou gdm par exemple, et bien sûr en console. Mais attention, il ne s'agit pas d'une modification a effectuer sur les fichiers de configuration de kdm ou gdm, il s'agit de configurer les fichiers de modules de pam.

Attention, pam est très tatillon au point d'empêcher root de se logger si une erreur de config est faite !!!

Pour ton problème de login d'un utilisateur, ta machine est-elle bien sur le domaine Active Directory ?

gorgonite · 25/01/2008, 19h02

déjà est-ce que tu arrives à te loguer dans un console, et donnes nous les /var/log/auth.log

fredouzzz · 26/01/2008, 13h06

pour le compte utilisateur c'est OK
il suffit de l'ajouter dans un groupe de l'AD

Le but étant d'intégrer linux pour des salariés dans la boite ou je travaille.
il faudrait que lorsqu'il démarre leur pc la transparence entre xp et linux soit le plus parfaite possible.

Pour s'authentifier directement sur le domaine sans passer par "net join ..."

En quoi consiste kdm et gdm ?

Merci

Coyote2001 · 26/01/2008, 16h49

Hum... le net join n'est pas obligatoire pour pouvoir s'authentifier sur un domaine AD, il est juste nécessaire pour joindre la machine au domaine une fois pour toute.

Quand tout est bien configuré, il suffit juste de taper le login et le mot de passe lorsque ces derniers sont demandés (y compris en console).

Ce que je ne comprends pas :

Vous créez des utilisateurs spécifiques Linux ?
Vos utilisateurs existent déjà dans le domaine ?

Si oui à la deuxième question pourquoi en recréer de nouveau (c'est du moins ce que je comprend de votre phrase : "il suffit de l'ajouter dans un groupe de l'AD").

Une dernière recommandation :
si vos utilisateurs utilisent des fichiers spéciaux (valable pour KDE) et si leur "home" est stocké sur un serveur Microsoft, vous aurez quelques soucis (plus ou moins bloquants).

KDM et GDM sont des interfaces de connexions graphique des utilisateurs, de KDE et Gnome respectivement, bien qu'ils soient utilisable pour l'un ou pour l'autre de ces window manager.

Je rajoute ici un lien vers un tuto que j'ai réalisé :
http://freecommunity.no-ip.com/?page_id=13

Attention, hébergeant moi même ce site, l'accès est limité à la tranche horaire (8h00-00h00).

fredouzzz · 28/01/2008, 10h54

Dernière question ?
Comment configurer GDM pour s'authentifier directement sur l'active directory ?

gorgonite · 28/01/2008, 11h45

est-ce qu'il ne suffit pas d'avoir son common-auth configuré correctement

?

fredouzzz · 28/01/2008, 12h24

apparement sous redhat les noms de fichiers ne sont pas les mêmes.
dans /etc/pam.d/
j'ai authconfig...

apparement il faudrait configurer ces fichiers :
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-session
/etc/pam.d/sudo

mais je ne les retrouve pas sous redhat...

Coyote2001 · 28/01/2008, 14h02

Gorgonite a raison. Comme je l'ai dis dans un post précédent, il ne s'agit pas de configurer GDM mais les modules pam d'authentification.
Il faut donc avoir au préalable installé les modules PAM avant tout.
Si les fichiers que tu cite n'existe pas, alors tu les peux créer.

Cordialement,

Emmanuel

fredouzzz · 28/01/2008, 14h58

alors j'ai créer et configurer les fichiers correspondants
a l'ouverture de session, avant j'avais (en bas de l'écran) "localhost"
maintenant j'ai "localhost.mondomaine"
mais je n'arrive toujours pas à m'authentifier avec un compte de l'active directory ...

common-auth:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pas

common-account:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
account sufficient      pam_winbind.so
account sufficient      pam_unix.so

common-session:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

common-sudo:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
auth sufficient pam_winbind.so
auth required pam_unix.so use_first_pass

Quelqu'un a une idée ?

gorgonite · 28/01/2008, 15h12

est-ce qu'il ne faudrait pas passer par pam-ldap pour interfacer un AD, après tout, ce sont des annuaires ^^

fredouzzz · 04/02/2008, 11h45

Solution :
Winbind ne démarrait pas correctement
j'ai installé webmin
et mis winbind en démarrage auto
Maintenant ça roule !!!

25/01/2008, 16h33	#1
fredouzzz Candidat au titre de Membre du Club Inscription : janvier 2008 Messages : 62 Détails du profil Informations forums : Inscription : janvier 2008 Messages : 62 Points : 11 Points : 11	Interface de connexion pour AD Voila j'ai configuré krb5.conf, smb.Conf.... je peux m'authentifier sur l'active directory en administrateur du domaine. par contre : - je ne peux pas le faire avec un utilisateur crée (NT_STATUS_ACCESS_DENIED), d'ou vient le pb ? - Question ? peux t on modifier l'écran de connexion pour s'authentifier en interface graphique comme sur un client xp par exemple... ? Merci ! A+
	00

25/01/2008, 19h02	#3
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 301 Points : 14 301	déjà est-ce que tu arrives à te loguer dans un console, et donnes nous les /var/log/auth.log __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

26/01/2008, 16h49	#5
Coyote2001 Membre habitué Inscription : mai 2004 Messages : 114 Détails du profil Informations forums : Inscription : mai 2004 Messages : 114 Points : 116 Points : 116	Hum... le net join n'est pas obligatoire pour pouvoir s'authentifier sur un domaine AD, il est juste nécessaire pour joindre la machine au domaine une fois pour toute. Quand tout est bien configuré, il suffit juste de taper le login et le mot de passe lorsque ces derniers sont demandés (y compris en console). Ce que je ne comprends pas : Vous créez des utilisateurs spécifiques Linux ? Vos utilisateurs existent déjà dans le domaine ? Si oui à la deuxième question pourquoi en recréer de nouveau (c'est du moins ce que je comprend de votre phrase : "il suffit de l'ajouter dans un groupe de l'AD"). Une dernière recommandation : si vos utilisateurs utilisent des fichiers spéciaux (valable pour KDE) et si leur "home" est stocké sur un serveur Microsoft, vous aurez quelques soucis (plus ou moins bloquants). KDM et GDM sont des interfaces de connexions graphique des utilisateurs, de KDE et Gnome respectivement, bien qu'ils soient utilisable pour l'un ou pour l'autre de ces window manager. Je rajoute ici un lien vers un tuto que j'ai réalisé : http://freecommunity.no-ip.com/?page_id=13 Attention, hébergeant moi même ce site, l'accès est limité à la tranche horaire (8h00-00h00).
	00

28/01/2008, 11h45	#7
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 301 Points : 14 301	est-ce qu'il ne suffit pas d'avoir son common-auth configuré correctement ? __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

28/01/2008, 15h12	#11
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 301 Points : 14 301	est-ce qu'il ne faudrait pas passer par pam-ldap pour interfacer un AD, après tout, ce sont des annuaires ^^ __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

25/01/2008, 18h35	#2
Coyote2001 Membre habitué Inscription : mai 2004 Messages : 114 Détails du profil Informations forums : Inscription : mai 2004 Messages : 114 Points : 116 Points : 116	Il est tout a fait possible de s'authentifier via kdm ou gdm par exemple, et bien sûr en console. Mais attention, il ne s'agit pas d'une modification a effectuer sur les fichiers de configuration de kdm ou gdm, il s'agit de configurer les fichiers de modules de pam. Attention, pam est très tatillon au point d'empêcher root de se logger si une erreur de config est faite !!! Pour ton problème de login d'un utilisateur, ta machine est-elle bien sur le domaine Active Directory ?
	00

26/01/2008, 13h06	#4
fredouzzz Candidat au titre de Membre du Club Inscription : janvier 2008 Messages : 62 Détails du profil Informations forums : Inscription : janvier 2008 Messages : 62 Points : 11 Points : 11	pour le compte utilisateur c'est OK il suffit de l'ajouter dans un groupe de l'AD Le but étant d'intégrer linux pour des salariés dans la boite ou je travaille. il faudrait que lorsqu'il démarre leur pc la transparence entre xp et linux soit le plus parfaite possible. Pour s'authentifier directement sur le domaine sans passer par "net join ..." En quoi consiste kdm et gdm ? Merci
	00

28/01/2008, 10h54	#6
fredouzzz Candidat au titre de Membre du Club Inscription : janvier 2008 Messages : 62 Détails du profil Informations forums : Inscription : janvier 2008 Messages : 62 Points : 11 Points : 11	Dernière question ? Comment configurer GDM pour s'authentifier directement sur l'active directory ?
	00

28/01/2008, 12h24	#8
fredouzzz Candidat au titre de Membre du Club Inscription : janvier 2008 Messages : 62 Détails du profil Informations forums : Inscription : janvier 2008 Messages : 62 Points : 11 Points : 11	apparement sous redhat les noms de fichiers ne sont pas les mêmes. dans /etc/pam.d/ j'ai authconfig... apparement il faudrait configurer ces fichiers : /etc/pam.d/common-account /etc/pam.d/common-auth /etc/pam.d/common-session /etc/pam.d/sudo mais je ne les retrouve pas sous redhat...
	00

28/01/2008, 14h02	#9
Coyote2001 Membre habitué Inscription : mai 2004 Messages : 114 Détails du profil Informations forums : Inscription : mai 2004 Messages : 114 Points : 116 Points : 116	Gorgonite a raison. Comme je l'ai dis dans un post précédent, il ne s'agit pas de configurer GDM mais les modules pam d'authentification. Il faut donc avoir au préalable installé les modules PAM avant tout. Si les fichiers que tu cite n'existe pas, alors tu les peux créer. Cordialement, Emmanuel
	00

04/02/2008, 11h45	#12
fredouzzz Candidat au titre de Membre du Club Inscription : janvier 2008 Messages : 62 Détails du profil Informations forums : Inscription : janvier 2008 Messages : 62 Points : 11 Points : 11	Solution : Winbind ne démarrait pas correctement j'ai installé webmin et mis winbind en démarrage auto Maintenant ça roule !!!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email