vendredi 10 octobre

Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Articles précédents : Logiciel

[14] Mozilla 1.0-rc1
[23] LE plugin ultime pour XMMS !
[6] Plug-in Googlebar pour Mozilla
[7] Pilotes KYRO Beta 2 disponibles
[37] Le mariage heureux de Vim et KDE
[42] Slackware 8.1 en préparation
[23] Python 2.2.1 est sorti
[1] Icepack en 2.0.1
[5] Marathon 2 est toujours vivant (enfin presque)
[12] B2i

Liens connexes

L'article sur SecurityFocus (8987 hits)

Dépêche modérée par

Oumph

Logiciel : Active Directory et Linux

Posté par DAGAN Alexandre (page perso, ). Modéré le 19 avril 2002.

Cet article, paru dans SecurityFocus, discute de l'utilisation de l'Active Directory de Microsoft en tant que service d'identification pour Linux.
Bien que Linux ait déjà un système d'identification avec OpenLDAP, certaines architectures peuvent être intéressées par un tel système. Il peut être utile d'identifier des utilisateurs Linux sur un serveur Microsoft Windows 2000 par exemple.

A vous de voir.

L'article sur SecurityFocus (8987 hits)

> Lire les commentaires (18 commentaires, moyenne: 14,4).

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

LDAP

Posté par Vanhu () le 19/04/2002 à 09:21. (lien). Évalué à 40.

Au passage (et c'est précisé dans l'article), ActiveDirectory EST un serveur LDAP, mais comme d'habitude, Microsoft a ajouté plein d'extensions et des modes de fonctionnement maison, dont une faible partie seulement est plus ou moins justifiée....

L'essentiel du probleme est donc de réussir à mettre en place un schéma LDAP qui convienne aux clients AD et aux clients LDAP "classiques".

[^]Re: LDAP
Posté par R4f (page perso, ) le 19/04/2002 à 11:43. (lien). Évalué à 41.
L'essentiel du probleme est donc de réussir à mettre en place un schéma LDAP qui convienne aux clients AD et aux clients LDAP "classiques".

Certes, mais ensuite il faudra maintenir cette compatibilité tout au long des releases successives d'AD, qui va :
- soit diverger si assez de monde y passe
- soit converger pour rester compatible LDAP
La stratégie de Microsoft est assez forte de ce côté :
<ul>
On reste aux aguets pour voir les technologies émergentes

Dès qu'un techno arrive, on se jette dessus, quitte à faire croire qu'on l'a inventée, car «c'est nous qui en parlons le plus fort»

«pour optimisation seulement»

http://www.perl.com/language/misc/ms-ascii.html(...)

http://yath.mine.nu/personal/mstranslate.html(...)

Samba

Posté par sToR_K () le 19/04/2002 à 09:58. (lien). Évalué à 18.

Samba pourra t'il un jour gérer l'Active Directory, c'est à dire créer des UO, gérer des stratégies, etc....
Parce que ça parrait réalisable, à l'aide de bases de données par exemple pour stocker les options de stratégies, mais du coté microsoft? Est-ce que quelqu'un sait si le principe global de l'active directory est pas breveté-anti-tout?
On a vu reçement les problèmes que pourrait rencontrer Samba avec les nouvelles licences microsoft, j'ai peur qu'à terme, les OS microsoft soient cloisonnés, et qu'on se retrouve à administrer presque deux reseaux distinct: le réseau microsoft et le réseau des "autres"(Linux, Unix, MacOS, etc...).
Je suis admin, donc fénéant(ou l'inverse), la solution d'administration des postes windows par l'active directory semble être la ~~mieux~~ moins pire pour ne pas passer son temps à courir dans les salles. Si on pouvait garder le système d'active directory en se passant de l'OS, ca serait pas mal...

[^]Re: Samba

Posté par patton () le 19/04/2002 à 10:21. (lien). Évalué à 19.
Et pourquoi pas plustot tenter d'identifier un windows face a un LDAP.... (Ok je sais microsoft ne laissera jamais faire un tel truc!)
- [^]Re: Samba
  
  Posté par mister popo (page perso, ) le 19/04/2002 à 10:31. (lien). Évalué à 12.
  > Et pourquoi pas plustot tenter d'identifier un windows face a un LDAP.... (Ok je sais microsoft ne laissera jamais faire un tel truc!)
  
  il ne faut pas lui demander son avis. Tu dis à ton windows qu'il a en face de lui un PDC windows officiel, et Samba s'occupe de le gruger.
  
  http://www.unav.es/cti/ldap-smb-howto.html(...)
  Dans la doc, ça marche bien, par contre, je sais pas trop comment on fait pour authentifier aussi des users Unix sur le même LDAP.
  - [^]Re: Samba
    
    Posté par sToR_K () le 19/04/2002 à 10:41. (lien). Évalué à 16.
    >Dans la doc, ça marche bien, par contre, je sais pas trop comment on fait pour authentifier aussi des users Unix sur le même LDAP
    
    Avec ça:http://online.securityfocus.com/infocus/1427(...)
    
    Mais le problème n'est absolument pas contourné parceque, ok on identifie via LDAP mais la gestion des droits des utilisateurs, des droits par station? des quotas?
    LDAP c'est bien, mais le problème initial c'était de gérer un parc de station microsoft sans avoir à se deplacer...
    - [^]Re: Samba
      
      Posté par brini () le 02/10/2003 à 10:56. (lien). Évalué à 1.
      As-tu eu une réponse à ta question ?
      Je m'intéresse également au sujet et j'aurais bien aimé avoir une réponse: quelles solutions pour la gestion des droits des utilisateurs, des droits par station? des quotas?
      
      Je suis pour l'instant dans la phase d'étude. Après présentation des différents solutions possibles à l'équipe, nous prendrons une décision et nous implémenterons. Je posterai alors le détail de la mise en place.
- [^]Re: Samba
  
  Posté par GrosBenny () le 19/04/2002 à 10:56. (lien). Évalué à 19.
  Il y ajustement de gentils monsieurs qui ont rendus ca possible. Ils ont developpes une partie authentification qui remplace celle de windows (2000/XP/NT). Et cette authentification est GPL et basee sur des plugins. Ca s'appelle pGina et ca se trouve la :
  http://pgina.cs.plu.edu/(...)
  
  Il y a justement un plugin LDAP mais tu peux mettre vraiment tout ce que tu veux.
  
  Y'a meme eut une news slashdot, y'a pas longtemps.
  http://slashdot.org/article.pl?sid=02/04/14/134208&mode=thread(...)

[^]Re: Samba

Posté par Arnaud Da Costa () le 19/04/2002 à 11:21. (lien). Évalué à 18.
Apparement Samba a pas mal avancé, en particulier sur des outils comme winbind qui permet semble-t-il d'authentifier des utilisateurs Linux sur un serveur 2000.
- [^]Re: Samba
  
  Posté par Nicolas Dubois () le 19/04/2002 à 11:42. (lien). Évalué à 10.
  effectivement, pour authentifier les utilisateurs windows sur un unix, il reste encore et toujours le protocole SMB..
  
  Il est aujourd'hui possible d'utiliser samba comme controleur de domaine avec des postes W2K.
  
  Il est egalement possible d'utiliser samba comme serveur aditionnel à un serveur d'authentifiction W2K (mais pas en mode natif), les users+passwords sont synchroniser avec winbind.
  
  Aujourd'hui ce qui bloque c'est le mode natif de W2K avec l'active Directory et Kerberos. Mais comme un serveur W2K peut utiliser le mode "NT4", on peut toujour insérer des serveurs de fichiers Samba dans une architecture existante..
  
  Samba 3.0 alpha est sortie il ya quelques temps. Le travail avance à petit pas...
  
  ND
  - [^]Re: Samba
    
    Posté par Vanhu () le 19/04/2002 à 12:00. (lien). Évalué à 12.
    Mais comme un serveur W2K peut utiliser le mode "NT4"
    
    Ouais, sauf que le mode "NT4" il est pas top du tout d'un point de vue sécurité !!!!
    
    Donc, c'est nettement mieux si on peut causer directement en "mode W2K" ou en LDAP natif (sur SSL, bien sur).
    - [^]Re: Samba
      
      Posté par Nicolas Dubois () le 19/04/2002 à 14:31. (lien). Évalué à 2.
      amha, c'est pas vrai. les password sont criptés. les données aussi. ce qui n'est pas sécurisé c'est la pile logiciel SMB du système NT....
      
      Il existe bien un serveur FTP sur NT.. ce qui est pourri c'est bien le servuer de microsoft et non le protocole en lui meme..
      
      ND
      - [^]Re: Samba
        
        Posté par Vanhu () le 19/04/2002 à 17:31. (lien). Évalué à 7.
        les password sont criptés
        
        Il y a (souvent, malheureusement) une différence entre "ne passe pas en clair" et "est sécurisé"...
        
        La en l'occurence, effectivement, neuneu avec son sniffer ira pas bien loin, mais le fonctionnement est quand meme assez bien fourni en faiblesses....

A vous de voir ?

Posté par Gloo () le 19/04/2002 à 13:21. (lien). Évalué à 21.

C'est tout vu:

- Active Directory que pour WinXP et Win2k
- Active Directroy oblige la mise à jour de tout les systèmes d'exploitations anterieurs à Win2k, et des manips coté clients *nix.
- Active Directory à un kerberos modifié juste pour rendre difficile l'interoperabilité.

Voulez-vous vraiment jouer le jeu de microsoft ?

- pam-ldap + nss-ldap: linux + *nix
- pam-ldap + nss-ldap: n'oblige pas de mise à jour
- pam-ldap + nss-ldap: s'appuie sur des standard ouvert.

Bref, win + active directory si le parc le permet dejà et si c'est _nécessaire_, et de toute facon pam-ldap + nss-ldap pour les *nix, qui, de toute façon, font rarement le même boulot.

Je tiens à mentionner ici un projet interessant (j'ai meme vu qu'il pouvait gerer samba, mais je n'ai pas testé cette foncionnalité). Il n'est pas encore parfait, mais fonctionnel et j'imagine que les contributions sont attendues.

J'ai moi même _tout juste_ commencé un projet similaire s'appuyant sur la rfc 2307bis http://www.padl.com/Contents/Documentation.html,(...) et les gens interessés peuvent prendre contact avec moi ne serait-ce que pour en discuter.

[^]le projet interessant: http://diradmin.open-it.org/index.php

Posté par Gloo () le 19/04/2002 à 13:23. (lien). Évalué à 16.
http://diradmin.open-it.org/index.php(...)
- [+] [^]Re: le projet interessant: http://diradmin.open-it.org/index.php
  
  Posté par pasBill pasGates () le 19/04/2002 à 17:19. (lien). Évalué à -1.
  Active Directory a un Kerberos modifie car rien dans Kerberos ne permet le support des systemes de permissions avec ACL
  
  Resultat, MS a utilise la meme methode que les autres OS avec ACL.

A peine Hors Sujet: Postfix vs Exchange

Posté par fenril () le 19/04/2002 à 21:31. (lien). Évalué à 7.

J'etait en train de discuter avec une client qui voudrait monter une messagerie interne, quand celui ci sortit le nom qu'il ne fallait pas: MS Exchange (C) (R) (TM).
Je n'ai pas eu de mal à le convaincre le la légendaire stabilité de nunux (uptime est ton ami...), ni des avantages offerts par les ll basés sur des standards ouverts, ni de l'énorme différence de cout de licence... et un petit pigouin ne devrait pas tarder à s'installer dans sa société.
Ma question est la suivante: Sachant que j'utilise postfix depuis grossomodo 18 mois, avec MS Outlook coté clients (oui je sais... mais une chose à la fois) sans rencontrer de pb de synchro d'agenda...etc, et sachant que je ne connais pas MS Exchange, existe t'il des chez ce dernier des fonctions vicelardes qui ne figureraient pas dans couple serveurs SMTP/(POP/IMAP) classique?

ouiaps c pas gagne

Posté par franck pz () le 13/06/2002 à 18:43. (lien). Évalué à 1.

jai essayé le plugin ad4unix , impossible d'avoir une authentification , la recherche ldap fonctionne , je vois le dn d'un utilisateur , mais impossible de me logguer .
Bizarre.

Articles précédents : Logiciel

Liens connexes

Dépêche modérée par

Logiciel : Active Directory et Linux

LDAP

[^]Re: LDAP

Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

[^]Re: Samba

A vous de voir ?

[^]le projet interessant: http://diradmin.open-it.org/index.php

[+] [^]Re: le projet interessant: http://diradmin.open-it.org/index.php

A peine Hors Sujet: Postfix vs Exchange

ouiaps c pas gagne