Discussion :

[arnaudperfect]

Bonjour,

Actuellement des serveurs UNIX utilisent le Network Internet Service (NIS anciennement Yellow Pages) en tant qu’annuaire. Le NIS permettait d’avoir un annuaire centralisé des comptes, mots de passe et groupes afin d’éviter à créer les créer localement sur chaque serveur.
Toutefois le NIS tend à être remplacé par des annuaires plus modernes et sécurisés tels que OpenLDAP ou Active Directory.

L’Active Directory étant en place chez mon client, l’objectif du projet est de remplacé le NIS par ce dernier.

L'Active Directory est basé sur Windows 2003 Standard.

Auparavant, il était possible d'utilisé SFU pour unifier les authentifications Linux sur un AD.

Dorénavant, je sais que Windows Server 2003 R2 contient la plupart des composants SFU. Mais pour cela, il me semble qu'il faut mettre à jours le schéma de AD en 2003 R2 ou 2008.

Pourriez vous me confirmer cela ?

De plus, une fois le schéma mise à jour, que faut il faire en plus ?

Merci d'avance

[Michaël]

Bonjour,
Il faut installer sfu sur 2003(r2) (composant à télécharger). Sur 2008(r2), il s'agit d'un service de rôle qu'il faut activer dans le rôle active directory.

Ensuite, il faut ajouter dans chaque compte utilisateur les attributs sfu (faisable par script). Sur le client linux, il faut configurer nsswitch/pam : il y a pas mal de doc là-dessus sur le net. Sinon il y a un outil gratuit sous linux qui permet de faire la config rapidement mais je me souviens plus du nom, faudrait que je le retrouve Il existe aussi des outils payants mais on sait pourquoi on paye (centrify)

Voilà

[arnaudperfect]

ok merci pour ta réponse .

Quelques questions cependant :

Quand tu dis :

Il faut installer sfu sur 2003(r2) (composant à télécharger). Sur 2008(r2), il s'agit d'un service de rôle qu'il faut activer dans le rôle active directory.

Nous sommes avec des contrôleurs de domaines en Windows 2003 standard. Pour installer SFU sur 2003(r2), il faut avoir tous nos contrôleurs de domaine en Windows 2003(R2) ou juste une mise à jours du schéma AD en 2003(R2) suffis ?
Même question pour 2008(R2).

Merci encore pour tes réponses.

[Michaël]

Tu peux installer sfu 3.5 sur un domaine 2003 Lorsque tu l'installes, il va automatiquement modifier le schéma de l'ad

Pour 2008(r2), t'as juste à activer le service de rôle et ça se fait tout seul

L'installation de sfu est vraiment très simple. Sa configuration est un peu bizarre au début (quand on commence avec sfu quoi) mais après ça va

[arnaudperfect]

ok, donc si je comprend bien, avec un AD en 2003 standard sur des contrôleurs de domaine en Windows 2003 standard, la bonne démarche est d'installer SFU 3.5, celui-ci fera le nécessaire pour la mise à jour du schéma AD.

Mais alors, je ne comprend pas pourquoi on me demande de mettre à jour le schéma AD 2003 standard vers AD 2008 R2 (sans migré l'OS des contrôleurs de domaine) en pensant pouvoir authentifier le monde linux sur l'AD (qui lui reste en 2003 standard) ,

soit le mec y connait rien, soit c'est moi qui ne comprend rien !

A ton avis ?

[Michaël]

Le mec qui t'as dit ça a mal été informé
On ne met pas à jour un schéma d'AD vers une version plus récente pour le fun : on migre le serveur vers 2008(r2) ou on ne fait rien.
Oui le schéma d'un AD 2008r2 comporte déjà les attributs qui vont bien mais il va manquer toute la gestion AD derrière (c'est pour ça qu'on active le service de rôle sous 2008). Juste mettre à jour le schéma, c'est perdre tout l'avantage d'AD (centralisation, etc) puisque sans installer sfu, il n'y aura aucune corrélation faite entre l'AD et le monde unix/linux : autant rester sous nis !
2003 n'a pas les attributs qui vont bien donc on installe sfu : ça modifie le schéma (qui reste en 2003) et ajoute la gestion AD.

Bref, si t'es sous 2003, installes juste sfu. Si t'es sous 2008, active le service de rôle. Il n'y a absolument pas besoin de mettre à jour le schéma de 2003 vers 2008 et de toute façon, ça ne servirait à rien puisque sans les binaires sfu, aucune correspondance entre AD et linux (sinon manuelle !!)

[Michaël]

il y a un outil gratuit sous linux qui permet de faire la config rapidement mais je me souviens plus du nom, faudrait que je le retrouve

il s'appelle likewise

[arnaudperfect]

en faite, mon client veux faire une authentification avec LDAP et kerberos.

J'ai réussie à mettre en place la config sur le dc. Reste à vérifier quelle fonctionne avec un client linux.

voir : http://www.aepik.net/documentation/k...tive_directory