Bien que Linux ait déjà un système d'identification avec OpenLDAP, certaines architectures peuvent être intéressées par un tel système. Il peut être utile d'identifier des utilisateurs Linux sur un serveur Microsoft Windows 2000 par exemple.
A vous de voir.
Aller plus loin
- L'article sur SecurityFocus (475 clics)
# LDAP
Posté par Vanhu . Évalué à 10.
L'essentiel du probleme est donc de réussir à mettre en place un schéma LDAP qui convienne aux clients AD et aux clients LDAP "classiques".
[^] # Re: LDAP
Posté par R4f . Évalué à 10.
Certes, mais ensuite il faudra maintenir cette compatibilité tout au long des releases successives d'AD, qui va :
La stratégie de Microsoft est assez forte de ce côté :
<ul>
<li>Une fois qu'on la maîtrise, on fait gentiment diverger les normes dans nos implémentations, «pour optimisation seulement».
</ul>
Des exemples ?
Allez, un au hasard, qui va vous plaire : le HTML !
Si vous «surfez sur le web» avec un butineur sous GNU/Linux, vous aurez la mauvaise surprise de voir certains site avec des phrases ponctuées intempestivement de «?» (points d'interrogation), là où vous vous seriez attendu à des «'» (apostrophes) ou d'autres signes. Vous êtes en présence de MS-ASCII : certains outils Microsoft utilisent des plages de code ASCII qui ne sont pas réservées pour coder certains caractères qui exsitent déjà ailleurs dans la table ASCII.
Résultat : les gens qui sont sous Windows ne se rendent compte de rien ; ceux qui sont sous les autres systèmes «marginaux» se font avoir...
Référence :
http://www.perl.com/language/misc/ms-ascii.html(...)
http://yath.mine.nu/personal/mstranslate.html(...)
# Samba
Posté par sToR_K . Évalué à 10.
Parce que ça parrait réalisable, à l'aide de bases de données par exemple pour stocker les options de stratégies, mais du coté microsoft? Est-ce que quelqu'un sait si le principe global de l'active directory est pas breveté-anti-tout?
On a vu reçement les problèmes que pourrait rencontrer Samba avec les nouvelles licences microsoft, j'ai peur qu'à terme, les OS microsoft soient cloisonnés, et qu'on se retrouve à administrer presque deux reseaux distinct: le réseau microsoft et le réseau des "autres"(Linux, Unix, MacOS, etc...).
Je suis admin, donc fénéant(ou l'inverse), la solution d'administration des postes windows par l'active directory semble être la
mieuxmoins pire pour ne pas passer son temps à courir dans les salles. Si on pouvait garder le système d'active directory en se passant de l'OS, ca serait pas mal...[^] # Re: Samba
Posté par patton . Évalué à 10.
[^] # Re: Samba
Posté par mister popo ポポ (site web personnel) . Évalué à 10.
il ne faut pas lui demander son avis. Tu dis à ton windows qu'il a en face de lui un PDC windows officiel, et Samba s'occupe de le gruger.
http://www.unav.es/cti/ldap-smb-howto.html(...)
Dans la doc, ça marche bien, par contre, je sais pas trop comment on fait pour authentifier aussi des users Unix sur le même LDAP.
[^] # Re: Samba
Posté par sToR_K . Évalué à 10.
Avec ça:http://online.securityfocus.com/infocus/1427(...)
Mais le problème n'est absolument pas contourné parceque, ok on identifie via LDAP mais la gestion des droits des utilisateurs, des droits par station? des quotas?
LDAP c'est bien, mais le problème initial c'était de gérer un parc de station microsoft sans avoir à se deplacer...
[^] # Re: Samba
Posté par brini . Évalué à 1.
Je m'intéresse également au sujet et j'aurais bien aimé avoir une réponse: quelles solutions pour la gestion des droits des utilisateurs, des droits par station? des quotas?
Je suis pour l'instant dans la phase d'étude. Après présentation des différents solutions possibles à l'équipe, nous prendrons une décision et nous implémenterons. Je posterai alors le détail de la mise en place.
[^] # Re: Samba
Posté par GrosBenny . Évalué à 10.
http://pgina.cs.plu.edu/(...)
Il y a justement un plugin LDAP mais tu peux mettre vraiment tout ce que tu veux.
Y'a meme eut une news slashdot, y'a pas longtemps.
http://slashdot.org/article.pl?sid=02/04/14/134208&mode=thread(...)
[^] # Re: Samba
Posté par Arnaud Da Costa . Évalué à 10.
[^] # Re: Samba
Posté par Nicolas Dubois . Évalué à 10.
Il est aujourd'hui possible d'utiliser samba comme controleur de domaine avec des postes W2K.
Il est egalement possible d'utiliser samba comme serveur aditionnel à un serveur d'authentifiction W2K (mais pas en mode natif), les users+passwords sont synchroniser avec winbind.
Aujourd'hui ce qui bloque c'est le mode natif de W2K avec l'active Directory et Kerberos. Mais comme un serveur W2K peut utiliser le mode "NT4", on peut toujour insérer des serveurs de fichiers Samba dans une architecture existante..
Samba 3.0 alpha est sortie il ya quelques temps. Le travail avance à petit pas...
ND
[^] # Re: Samba
Posté par Vanhu . Évalué à 10.
Ouais, sauf que le mode "NT4" il est pas top du tout d'un point de vue sécurité !!!!
Donc, c'est nettement mieux si on peut causer directement en "mode W2K" ou en LDAP natif (sur SSL, bien sur).
[^] # Re: Samba
Posté par Nicolas Dubois . Évalué à 2.
Il existe bien un serveur FTP sur NT.. ce qui est pourri c'est bien le servuer de microsoft et non le protocole en lui meme..
ND
[^] # Re: Samba
Posté par Vanhu . Évalué à 7.
Il y a (souvent, malheureusement) une différence entre "ne passe pas en clair" et "est sécurisé"...
La en l'occurence, effectivement, neuneu avec son sniffer ira pas bien loin, mais le fonctionnement est quand meme assez bien fourni en faiblesses....
# A vous de voir ?
Posté par Gloo . Évalué à 10.
- Active Directory que pour WinXP et Win2k
- Active Directroy oblige la mise à jour de tout les systèmes d'exploitations anterieurs à Win2k, et des manips coté clients *nix.
- Active Directory à un kerberos modifié juste pour rendre difficile l'interoperabilité.
Voulez-vous vraiment jouer le jeu de microsoft ?
- pam-ldap + nss-ldap: linux + *nix
- pam-ldap + nss-ldap: n'oblige pas de mise à jour
- pam-ldap + nss-ldap: s'appuie sur des standard ouvert.
Bref, win + active directory si le parc le permet dejà et si c'est _nécessaire_, et de toute facon pam-ldap + nss-ldap pour les *nix, qui, de toute façon, font rarement le même boulot.
Je tiens à mentionner ici un projet interessant (j'ai meme vu qu'il pouvait gerer samba, mais je n'ai pas testé cette foncionnalité). Il n'est pas encore parfait, mais fonctionnel et j'imagine que les contributions sont attendues.
J'ai moi même _tout juste_ commencé un projet similaire s'appuyant sur la rfc 2307bis http://www.padl.com/Contents/Documentation.html,(...) et les gens interessés peuvent prendre contact avec moi ne serait-ce que pour en discuter.
[^] # le projet interessant: http://diradmin.open-it.org/index.php
Posté par Gloo . Évalué à 10.
[^] # Re: le projet interessant: http://diradmin.open-it.org/index.php
Posté par pasBill pasGates . Évalué à -1.
Resultat, MS a utilise la meme methode que les autres OS avec ACL.
# A peine Hors Sujet: Postfix vs Exchange
Posté par fenril . Évalué à 7.
Je n'ai pas eu de mal à le convaincre le la légendaire stabilité de nunux (uptime est ton ami...), ni des avantages offerts par les ll basés sur des standards ouverts, ni de l'énorme différence de cout de licence... et un petit pigouin ne devrait pas tarder à s'installer dans sa société.
Ma question est la suivante: Sachant que j'utilise postfix depuis grossomodo 18 mois, avec MS Outlook coté clients (oui je sais... mais une chose à la fois) sans rencontrer de pb de synchro d'agenda...etc, et sachant que je ne connais pas MS Exchange, existe t'il des chez ce dernier des fonctions vicelardes qui ne figureraient pas dans couple serveurs SMTP/(POP/IMAP) classique?
# ouiaps c pas gagne
Posté par franck pz . Évalué à 1.
Bizarre.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.