Discussion :

[zwaldo]

Bonjour,

Relativement novice sous Linux, je tente d'effectuer la mise en place d'un système
d'authentification automatique d'utilisateurs Windows.

Après avoir pas mal parcouru différents forums, j'ai pas mal avancé, mais il me reste encore
quelques points obscures.

Je dois entre autre tester un produit de Bug Tracking (GFORGE) dont j'ai récupéré les sources sur le site suivant :
https://gforgegroup.com/es/download.php


J'ai donc installé (sur une machine virtuelle) CentOS release 5.8 (Final).
Mon Active directory est sous 2008r2

J'ai configuré comme suivant les différents fichiers (j'ai testé avec LDAP ainsi qu'avec OPENLDAP) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
############
#/etc/ldap.conf#
############
 
base OU=MYCORP,dc=mycorp,dc=tld
timelimit 120
bind_timelimit 120
idle_timelimit 3600
uri ldapcorp02.mycorp.tld
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5
binddn cn=myldap,OU=My Service Accounts,DC=mycorp,DC=tld
bindpw {SSHA} (généré)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
##################
#/etc/openldap/ldap.conf#
##################
 
URI ldap://ldapcorp02.mycorp.tld
BASE OU=MYCORP,dc=mycorp,dc=tld
TLS_CACERTDIR /etc/openldap/cacerts

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
####################################
#/etc/gforge/plugins/ldap/ldap.conf#
####################################
$config['ldapServer'] = 'ldappar02.mycorp.tld';
$config['baseDn'] = 'OU=MYCORP,DC=mycorp,DC=tld';
$config['useTLS'] = false;
$config['emailAttribute'] = 'mail';
$config['firstnameAttribute'] = 'givenname';
$config['lastnameAttribute'] = 'sn';
$config['dbLoginPrefered'] = true;
$config['authenticatedBind'] = true;
$config['authenticatedBindUser'] = 'cn=myldap,OU=My Service Accounts,DC=mycorp,DC=tld';
$config['authenticatedBindPass'] = "MyPwd";

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
#############################
#/opt/gforge5/plugins/ldap/conf/ldap.conf#
#############################
 
ldapServer:ldapcorp02.mycorp.tld
ldapPort:389
baseDN:OU=MYCORP,DC=mycorp,DC=tld
dbLoginPrefered:true
usernameAttribute:sAMAccountName
emailAttribute:mail
firstnameAttribute:givenName
lastnameAttribute:sn

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
##################
#etc/openldap/slapd.conf#
##################
 
allow bind_v2
 
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
 
database        bdb
suffix          "OU=MYCORP,dc=mycorp,dc=tld"
rootdn          "OU=MYCORP,dc=mycorp,dc=tld"
rootpw          {SSHA} (généré)
directory       /var/lib/ldap
 
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
#####################
#/etc/samba/smb.conf#
#####################
[global]
	workgroup = MYCORP
	realm = MYCORP.TLD
	security = ADS
	passdb backend = ldapsam:ldap://172.16.0.69
 
	winbind separator = @
  template shell = /bin/false
  winbind use default domain = true
  winbind offline logon = false
	server string = Samba Server Version %v
	netbios name = sgforge
	security = ads
 
        load printers = yes
        cups options = raw
 
[homes]
        comment = Home Directories
        browseable = no
        writable = yes
[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes
winbind separator       = /
winbind enum users      =yes
winbind enum groups     =yes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
###################
#/etc/pam_smb.conf#
###################
 
WORKGROUP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
 
###########
#krb5.conf#
###########
 
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 default_realm = MYCORP.TLD
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = yes
 
[realms]
 EXAMPLE.COM = {
#  kdc = kerberos.mycorp.tld:88
kdc=MYCORP.TLD:88
#  admin_server = kerberos.mycorp.tld:749
admin_server = MYCORP.TLD:749
  default_domain = MYCORP.TLD
 }
 
 MYCORP.TLD = {
  kdc = mycorp.tld
  kdc = mycorp.tld
 }
 
[domain_realm]
 .example.com = MYCORP.TLD
 example.com = MYCORP.TLD
 
 mycorp.tld = MYCORP.TLD
 .mycorp.tld = MYCORP.TLD
[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

.

- Question 1 :

Quelqu'un peut - il m'expliquer pourquoi le serveur samba s'arrete tout seul?
()

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
        service smb restart
	Shutting down SMB services:                            [FAILED]
	Shutting down NMB services:                            [  OK  ]
	Starting SMB services:                                     [  OK  ]
	Starting NMB services:                                     [  OK  ]

es ce le "bind_timelimit 120" defini dans le fichier "/etc/ldap.conf" qui en est responsable?

- Question 2 (question double):

Sachant que j'arrive à m'authentifier via "net ads join -U MyUser"
MyUser's password:
Using short domain name -- MYCORP
Joined 'SGFORGE01' to realm 'MYCORP.TLD'

Avec SGFORGE01 -> ma machine virtuelle.

Y a t-il comme sous Windows une valeur par défaut équivalente à :
usernameAttribute:sAMAccountName
afin de remonter les informations de chacun des users.

Dès lors que je suis capable d'authentifier un utilisateur comment dois-je procéder pour que l'authentification soit automatique
depuis un site tierce(Sgforge01 pour l'exemple). Ou l'utilisateur est censé ne pas avoir à se loguer, ou à ne se loguer que lors de son premier passage.



- Question 3 :

Lorsque je fais un "wbinfo -m" mes trusted domain sont remontés en moins d'1s
Comment se fait-il que lorsque je fais un "wbinfo -g" ou un "wbinfo -u" le temps de réponse est supérieur a 1mn
(si le service smb n'est pas tombé entre 2)



N’hésitez pas si vous avez besoin de plus de précisions.

Zwaldo

[zwaldo]

Bonjour,

Concernant le point 2 j'avance un peu :
il me manque le module mod_auth_ntlm_winbind.

Malheureusement,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

svn co svn://svnanon.samba.org/lorikeet/trunk/mod_auth_ntlm_winbind mod_auth_ntlm_winbind

me réponds impossible de résoudre l'hôte.

Résultat quelque peu différent avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
wget ftp://ftp.ntua.gr/pub/linux/unity/repo/openmandriva/i586/media/contrib/release/apache-mod_auth_ntlm_winbind-0.0.0-0.r794.10-mdv2012.0.i586.rpm
yum update

mais ne m'avanacant pas des masse.(je sais qu'il s'agit de Mandriva mais c'est censé fonctionner quand même)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Connecting to ftp.ntua.gr|147.102.222.211|:21... failed: Connection timed out.
Retrying.

En fouillant j'ai trouvé qu'il serait tout aussi efficace de prendre (d'après fedora) le package EPEL sur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rpm -Uvh http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

(package pour CENTOS5)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Retrieving http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm
error: skipping http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm - transfer failed - Unknown or unexpected error

et je n'ai rien dans les logs :'-(

Mais impossible de télécharger le package

Je n'ai pas de restriction d'accès ... qqun a t-il une adresse valide à me fournir (ou une autre solution)?