Bonjour,
Relativement novice sous Linux, je tente d'effectuer la mise en place d'un système
d'authentification automatique d'utilisateurs Windows.
Après avoir pas mal parcouru différents forums, j'ai pas mal avancé, mais il me reste encore
quelques points obscures.
Je dois entre autre tester un produit de Bug Tracking (GFORGE) dont j'ai récupéré les sources sur le site suivant :
https://gforgegroup.com/es/download.php
J'ai donc installé (sur une machine virtuelle) CentOS release 5.8 (Final).
Mon Active directory est sous 2008r2
J'ai configuré comme suivant les différents fichiers (j'ai testé avec LDAP ainsi qu'avec OPENLDAP) :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 ############ #/etc/ldap.conf# ############ base OU=MYCORP,dc=mycorp,dc=tld timelimit 120 bind_timelimit 120 idle_timelimit 3600 uri ldapcorp02.mycorp.tld ssl no tls_cacertdir /etc/openldap/cacerts pam_password md5 binddn cn=myldap,OU=My Service Accounts,DC=mycorp,DC=tld bindpw {SSHA} (généré)
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8 ################## #/etc/openldap/ldap.conf# ################## URI ldap://ldapcorp02.mycorp.tld BASE OU=MYCORP,dc=mycorp,dc=tld TLS_CACERTDIR /etc/openldap/cacerts
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14 #################################### #/etc/gforge/plugins/ldap/ldap.conf# #################################### $config['ldapServer'] = 'ldappar02.mycorp.tld'; $config['baseDn'] = 'OU=MYCORP,DC=mycorp,DC=tld'; $config['useTLS'] = false; $config['emailAttribute'] = 'mail'; $config['firstnameAttribute'] = 'givenname'; $config['lastnameAttribute'] = 'sn'; $config['dbLoginPrefered'] = true; $config['authenticatedBind'] = true; $config['authenticatedBindUser'] = 'cn=myldap,OU=My Service Accounts,DC=mycorp,DC=tld'; $config['authenticatedBindPass'] = "MyPwd";
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13 ############################# #/opt/gforge5/plugins/ldap/conf/ldap.conf# ############################# ldapServer:ldapcorp02.mycorp.tld ldapPort:389 baseDN:OU=MYCORP,DC=mycorp,DC=tld dbLoginPrefered:true usernameAttribute:sAMAccountName emailAttribute:mail firstnameAttribute:givenName lastnameAttribute:sn
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 ################## #etc/openldap/slapd.conf# ################## allow bind_v2 pidfile /var/run/openldap/slapd.pid argsfile /var/run/openldap/slapd.args database bdb suffix "OU=MYCORP,dc=mycorp,dc=tld" rootdn "OU=MYCORP,dc=mycorp,dc=tld" rootpw {SSHA} (généré) directory /var/lib/ldap index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35 ##################### #/etc/samba/smb.conf# ##################### [global] workgroup = MYCORP realm = MYCORP.TLD security = ADS passdb backend = ldapsam:ldap://172.16.0.69 winbind separator = @ template shell = /bin/false winbind use default domain = true winbind offline logon = false server string = Samba Server Version %v netbios name = sgforge security = ads load printers = yes cups options = raw [homes] comment = Home Directories browseable = no writable = yes [printers] comment = All Printers path = /var/spool/samba browseable = no guest ok = no writable = no printable = yes winbind separator = / winbind enum users =yes winbind enum groups =yes
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 ################### #/etc/pam_smb.conf# ################### WORKGROUP.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46 ########### #krb5.conf# ########### [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = MYCORP.TLD dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = yes [realms] EXAMPLE.COM = { # kdc = kerberos.mycorp.tld:88 kdc=MYCORP.TLD:88 # admin_server = kerberos.mycorp.tld:749 admin_server = MYCORP.TLD:749 default_domain = MYCORP.TLD } MYCORP.TLD = { kdc = mycorp.tld kdc = mycorp.tld } [domain_realm] .example.com = MYCORP.TLD example.com = MYCORP.TLD mycorp.tld = MYCORP.TLD .mycorp.tld = MYCORP.TLD [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
- Question 1 :
Quelqu'un peut - il m'expliquer pourquoi le serveur samba s'arrete tout seul?
()
es ce le "bind_timelimit 120" defini dans le fichier "/etc/ldap.conf" qui en est responsable?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 service smb restart Shutting down SMB services: [FAILED] Shutting down NMB services: [ OK ] Starting SMB services: [ OK ] Starting NMB services: [ OK ]
- Question 2 (question double):
Sachant que j'arrive à m'authentifier via "net ads join -U MyUser"
MyUser's password:
Using short domain name -- MYCORP
Joined 'SGFORGE01' to realm 'MYCORP.TLD'
Avec SGFORGE01 -> ma machine virtuelle.
Y a t-il comme sous Windows une valeur par défaut équivalente à :
usernameAttribute:sAMAccountName
afin de remonter les informations de chacun des users.
Dès lors que je suis capable d'authentifier un utilisateur comment dois-je procéder pour que l'authentification soit automatique
depuis un site tierce(Sgforge01 pour l'exemple). Ou l'utilisateur est censé ne pas avoir à se loguer, ou à ne se loguer que lors de son premier passage.
- Question 3 :
Lorsque je fais un "wbinfo -m" mes trusted domain sont remontés en moins d'1s
Comment se fait-il que lorsque je fais un "wbinfo -g" ou un "wbinfo -u" le temps de réponse est supérieur a 1mn
(si le service smb n'est pas tombé entre 2)
N’hésitez pas si vous avez besoin de plus de précisions.
Zwaldo
Partager