Bonjour,

Relativement novice sous Linux, je tente d'effectuer la mise en place d'un système
d'authentification automatique d'utilisateurs Windows.

Après avoir pas mal parcouru différents forums, j'ai pas mal avancé, mais il me reste encore
quelques points obscures.

Je dois entre autre tester un produit de Bug Tracking (GFORGE) dont j'ai récupéré les sources sur le site suivant :
https://gforgegroup.com/es/download.php


J'ai donc installé (sur une machine virtuelle) CentOS release 5.8 (Final).
Mon Active directory est sous 2008r2

J'ai configuré comme suivant les différents fichiers (j'ai testé avec LDAP ainsi qu'avec OPENLDAP) :

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
############
#/etc/ldap.conf#
############
 
base OU=MYCORP,dc=mycorp,dc=tld
timelimit 120
bind_timelimit 120
idle_timelimit 3600
uri ldapcorp02.mycorp.tld
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5
binddn cn=myldap,OU=My Service Accounts,DC=mycorp,DC=tld
bindpw {SSHA} (généré)
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
 
##################
#/etc/openldap/ldap.conf#
##################
 
URI ldap://ldapcorp02.mycorp.tld
BASE OU=MYCORP,dc=mycorp,dc=tld
TLS_CACERTDIR /etc/openldap/cacerts
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
####################################
#/etc/gforge/plugins/ldap/ldap.conf#
####################################
$config['ldapServer'] = 'ldappar02.mycorp.tld';
$config['baseDn'] = 'OU=MYCORP,DC=mycorp,DC=tld';
$config['useTLS'] = false;
$config['emailAttribute'] = 'mail';
$config['firstnameAttribute'] = 'givenname';
$config['lastnameAttribute'] = 'sn';
$config['dbLoginPrefered'] = true;
$config['authenticatedBind'] = true;
$config['authenticatedBindUser'] = 'cn=myldap,OU=My Service Accounts,DC=mycorp,DC=tld';
$config['authenticatedBindPass'] = "MyPwd";
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
 
#############################
#/opt/gforge5/plugins/ldap/conf/ldap.conf#
#############################
 
ldapServer:ldapcorp02.mycorp.tld
ldapPort:389
baseDN:OU=MYCORP,DC=mycorp,DC=tld
dbLoginPrefered:true
usernameAttribute:sAMAccountName
emailAttribute:mail
firstnameAttribute:givenName
lastnameAttribute:sn
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
##################
#etc/openldap/slapd.conf#
##################
 
allow bind_v2
 
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
 
database        bdb
suffix          "OU=MYCORP,dc=mycorp,dc=tld"
rootdn          "OU=MYCORP,dc=mycorp,dc=tld"
rootpw          {SSHA} (généré)
directory       /var/lib/ldap
 
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
#####################
#/etc/samba/smb.conf#
#####################
[global]
	workgroup = MYCORP
	realm = MYCORP.TLD
	security = ADS
	passdb backend = ldapsam:ldap://172.16.0.69
 
	winbind separator = @
  template shell = /bin/false
  winbind use default domain = true
  winbind offline logon = false
	server string = Samba Server Version %v
	netbios name = sgforge
	security = ads
 
        load printers = yes
        cups options = raw
 
[homes]
        comment = Home Directories
        browseable = no
        writable = yes
[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes
winbind separator       = /
winbind enum users      =yes
winbind enum groups     =yes

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
 
###################
#/etc/pam_smb.conf#
###################
 
WORKGROUP
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
 
###########
#krb5.conf#
###########
 
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 default_realm = MYCORP.TLD
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = yes
 
[realms]
 EXAMPLE.COM = {
#  kdc = kerberos.mycorp.tld:88
kdc=MYCORP.TLD:88
#  admin_server = kerberos.mycorp.tld:749
admin_server = MYCORP.TLD:749
  default_domain = MYCORP.TLD
 }
 
 MYCORP.TLD = {
  kdc = mycorp.tld
  kdc = mycorp.tld
 }
 
[domain_realm]
 .example.com = MYCORP.TLD
 example.com = MYCORP.TLD
 
 mycorp.tld = MYCORP.TLD
 .mycorp.tld = MYCORP.TLD
[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }
.

- Question 1 :

Quelqu'un peut - il m'expliquer pourquoi le serveur samba s'arrete tout seul?
()

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
 
        service smb restart
	Shutting down SMB services:                            [FAILED]
	Shutting down NMB services:                            [  OK  ]
	Starting SMB services:                                     [  OK  ]
	Starting NMB services:                                     [  OK  ]
es ce le "bind_timelimit 120" defini dans le fichier "/etc/ldap.conf" qui en est responsable?

- Question 2 (question double):

Sachant que j'arrive à m'authentifier via "net ads join -U MyUser"
MyUser's password:
Using short domain name -- MYCORP
Joined 'SGFORGE01' to realm 'MYCORP.TLD'

Avec SGFORGE01 -> ma machine virtuelle.

Y a t-il comme sous Windows une valeur par défaut équivalente à :
usernameAttribute:sAMAccountName
afin de remonter les informations de chacun des users.

Dès lors que je suis capable d'authentifier un utilisateur comment dois-je procéder pour que l'authentification soit automatique
depuis un site tierce(Sgforge01 pour l'exemple). Ou l'utilisateur est censé ne pas avoir à se loguer, ou à ne se loguer que lors de son premier passage.



- Question 3 :

Lorsque je fais un "wbinfo -m" mes trusted domain sont remontés en moins d'1s
Comment se fait-il que lorsque je fais un "wbinfo -g" ou un "wbinfo -u" le temps de réponse est supérieur a 1mn
(si le service smb n'est pas tombé entre 2)



N’hésitez pas si vous avez besoin de plus de précisions.

Zwaldo