Bonjour,
Voila, étant étudiant en première année d'iut RT (Réseaux et Télécoms, anciennement Génie des Réseaux et des Télécommunications), j'ai constaté que toute leur architecture réseau était sous windows avec gestions des utilisateurs par Active Directory. J'ai cherché sur Linuxfr, au niveau des journaux et des news, mais le tout commence a dater.
J'ai cherché un peu sur google aussi, mais on tombe pas sur des solutions concrete (ou alors j'ai mal cherché ... possible!).
Alors voila mes questions:
- Est-il possible d'authentifier pleinement (c-a-d avec gestion de quotas et tout ...) un utilisateur dans un annuaire Active directory sur un poste linux ?
- Est-il possible de remplacer un serveur Active directory tournant sous windows par une solution libre sous linux ? (avec possibilitée d'utiliser pGina sous windows qui permet de changer le système d'authentification). Le tout étant pratiquement transparant pour l'utilisateur windows & linux, et gerant aussi les quotas, les dossiers réseaux etc etc ... ?
Y-a-t-il des personnes qui ont eu a faire ce genre de chose ? Si oui votre expérience a-t-elle été convaincante ?
Merci,
Sébastien.
Journal Active directory et Linux ... ou l'inverse!
1
oct.
2005
# < HS >
Posté par Fabien Engels . Évalué à 3.
Je sors d'une licence qui a changé de nom au bout de 2ans sur 4ans d'existence .... résultat, aucune entreprise connait la nouvelle nomination ...
Un peu moins HS :
J'avais vu une extension à Active Directory qui rajoutait un champ UID et un GID pour que les stations linux puissent se logguer dessus. Mais j'ai jamais eu de retour important sur cette solution.
[^] # Re: < HS >
Posté par bath66 . Évalué à 2.
Ouep, je comrpends pas trop aussi pourquoi changer aussi souvent les noms mais bon ... faut pas chercher a comprendre .... peut-etre pour donner un renouveau a la formation ?
Concernant ton extension a Active Directory, ne serais-ce pas AD4Unix ? Ils en parlent sur un article (http://online.securityfocus.com/infocus/1563(...)) dont j'ai eu le lien dans un journal sur Linuxfr. Ca m'a l'air interessant en effet, mais il faut voir ce si c'est compatible avec les quotas et tout ... Je testerais cela quand j'aurai un peu de temps !
[^] # Re: < HS >
Posté par Quentin Delance . Évalué à 3.
C'est pas super simple mais ca se fait.
Apres tu as le choix entre recuperer les comptes avec winbind (de la meme maniere que tu le ferais avec un domaine NT4 c'est a dire avec pam_winbind) ou en attaquant l'active directory comme un arbre LDAP (active directory est entre basee sur LDAP...). ATTENTION, cette derniere solution necessite de modifier l'active directory pour ajouter des attributs exploitables (sinon il te manque des infos dans la vue LDAP de l'active directory). AD4Unix est assez mort il me semble. Par contre tu as les services for unix (SFU) de ... microsoft qui sont gratuits. Mais le principal pb de cette solution n'est pas le prix mais plutot la volonte de l'admin d'appliquer ce gros bouzin sur son active directory (peur peur). Pour avoir joue un peu avec des machines de test ca a l'air de marcher.
[^] # Re: < HS >
Posté par bath66 . Évalué à 1.
Les récuperer pour les mettre dans la machine Linux (style dans le /etc/passwd par exemple) ou les recuperer en vue de faire tourner un remplaçant d'active directory sous linux (pour ne pas avoir a s'embeter a recreer les comptes un par un ...) ?
Pour la premiere solution, ca peux etre une bonne idée, mais je trouve que cela fait un peu bricolo non ? De plus je vais pas pouvoir récuperer les dossiers partagés de l'utilisateur ?
Ce que j'aimerai faire a terme, c'est de voir s'il est possible d'avoir une solution avec un serveur tournant sous linux, et pour les postes client du windows et du *nix ... Il va donc etre necessaire d'utiliser un module émulant AD, si on ne veut pas réécrire tout le processus d'authentification de windows ...
[^] # Re: < HS >
Posté par Quentin Delance . Évalué à 3.
Il ne s'agit nullement de copier les utilisateurs dans /etc/passwd ce qui serait pour le moins bricolo.
Sous UNIX/Linux, les outils qui ont besoin d'authentification reposent sur PAM. Par defaut, PAM va chercher les comptes dans les fichers textes "classiques" qui monde UNIX (/etc/passwd et /etc/group). C'est le module pam_unix (va voir dans /etc/pam.d pour t'en convaincre).
Il est possible d'ajouter des sources de comptes avec pam_ldap (comptes dans un annuaire LDAP) ou pam_winbind (comptes lus depuis le service winbind qui est une sous partie de Samba). Winbind va donc chercher les comptes dans ton active directory et les mettre a disposition de ton poste Linux.
Par contre, ceci est valable pour "inclure" un poste client Linux dans un monde Windows. L'inverse n'est pas possible aujourd'hui. Du moins pas en active directory car Samba ne sait pas (encore) faire ca. Samba ne peut etre que PDC d'un domaine NT4 et pas active directory. Si tes versions de Windows peuvent joindre un domaine NT4 alors Samba peut suffire a faire ce que tu veux.
# Pour le poste client
Posté par Florent Bayle (site web personnel) . Évalué à 4.
[^] # Re: Pour le poste client
Posté par bath66 . Évalué à 1.
Cordialement,
Sébastien.
[^] # Re: Pour le poste client
Posté par Quentin Delance . Évalué à 1.
Il s'agit en realite d'un domaine NT 4 et pas d'un active directory.
Il faut bien comprendre que cela est tres different. Le domaine NT4 est quelque chose d'assez simple (grossierement une "simple" gestion d'authentification centralisee) et d'assez vieux alors que l'active directory permet bien plus (strategies de securite).
Les domaines NT 4 commencent a se faire rares car NT4 n'est plus supporte par microsoft depuis presque 1 an et que l'active directory est apparu avec ... windows 2000 ce qui commence a dater. Meme si une emulation des domaines NT4 est possible avec l'active directory cela va finir par disparaitre...
# Pour le second point, une piste
Posté par ndv . Évalué à 2.
[^] # Re: Pour le second point, une piste
Posté par Quentin Delance . Évalué à 1.
C'est ce qu'on fait en general lorsqu'on monte une PDC Samba avec backend LDAP (PDC d'un domaine NT 4, Samba ne permettant pas de le faire avec active directory...).
# avec Samba
Posté par matli . Évalué à 3.
Ensuite, une petite modif nsswitch et pam et hop, le tour est joué.
Pour plus d'info, il suffit de regarder sur le site Samba, y'a les HowTo qui vont bien.
Par contre, je ne sais pas pour la gestion des quotas
# Livre O'Reilly
Posté par Christophe Mutricy . Évalué à 4.
http://www.oreilly.com/catalog/linuxwinworld/index.html(...) [en]
Et coup de chance le chapitre d'exemple traite de l'autentification a partir d'un domaine NT ou AD.
--
Xtophe
# PDC avec samba + smbldap-tools
Posté par eolyte . Évalué à 1.
Ensuite tu partages le /home (/users chez moi, en fait) en nfs, tu places des quotas sur ton serveur, et samba les gère à merveille. Mes utilisateurs Windows pensent que leur home directory (Z:) est un disque dur réseau de 500Mo.
Il ne reste plus qu'à configurer pam pour que tes utilisateurs puissent s'authentifier aussi sous Linux, et à placer un lien ou un alias pour que passwd appelle smbldap-passwd. Attention, ce dernier point ne fonctionnera pas sans coder si tu ne stockes pas tout tes utilisateurs dans le même niveau de l'arborescence du ldap.
[^] # Re: PDC avec samba + smbldap-tools
Posté par gnumdk (site web personnel) . Évalué à 6.
Et puis si t'as pas envie de te prendre la gueule, y'a des solutions complete pour remplacer un Active Directory(et plus):
http://www.crdp.ac-caen.fr/se3/(...)
T'auras un Controleur de domaine sous debian Sarge avec:
- Gestion des restrictions(windows) par parc, utilisateurs, groupes
- Gestion des imprimantes(windows et linux) avec affectation par parc
- Délégation de parcs
- Délégation d'administration
- Gestion des ACL's
- Inventaire du réseau
- Intégration des win2k et Xp via un script tout simple
- Début d'intégration de backuppc
[^] # Re: PDC avec samba + smbldap-tools
Posté par Quentin Delance . Évalué à 2.
Quel est ton retout de pam_mount (marche bien ? a compiler soi meme ?)
Si je vais sur cette page j'ai un peu peur :
http://www.flyn.org/projects/pam_mount/(...)
(la peur vient de "I no longer have the time to maintain pam_mount.")
[^] # Re: PDC avec samba + smbldap-tools
Posté par bath66 . Évalué à 1.
Je ne sais pas si ca pourrai etre du a une incompatibilité avec vmware mais bon ... Avec le cd qu'ils proposent pour installer, j'ai eu pas mal de probleme, notament du fait que le disque dur n'était pas monter avant la copie des fichiers ... donc forcement ca merdais.
J'ai ensuite utilisé la methode qui consiste a installer une debian puis installer le package se3. Aucun probleme, toute l'installation se déroule bien, par contre pas moyen de lancer le serveur apache ... en effet, dans la configuration du apache dédié a SE il y a un "include /etc/backuppc/apache.conf" .... aucun repertoire backuppc dans /etc de créé apres l'install ... Néanmoins une fois cette ligné commenté tout tourne ... enfin presque, en effet, l'interface web est d'une lenteur incroyable ... pire que quand j'étais en 56k ... j'ai du sauter un niveau quelque part je pense ;-)
Voila, s'il y a d'autres personnes qui utilisent ou qui ont utilisé SE3, j'aimerai bien avoir leur avis aussi :-)
# Active Directory
Posté par Matthieu . Évalué à 2.
Tu peux par exemple arriver (je pense) à t'authentifier sous Linux en utilisant Active Directory comme annuaire LDAP (en passant sûrement par samba). Mais bon, si tu y arrives, tu n'en auras pas fini...
... car Active Directory gère tout et n'importe quoi ! et oui. Y'a les stratégies de groupe par exemple. Où tu peux y mettre par exemple les configurations des proxies web. Pleins pleins de trucs que je doute que tu arriveras à exploiter sous linux.
En résumé : oui tu peux t'authentifier auprès d'AD (je le fais pour mon serveur apache), mais je doute que tu puisses aller plus loin.
[^] # Re: Active Directory
Posté par MalMok . Évalué à 1.
Puisqu'en théorie, AD est un annuaire LDAP, tu peux l'attaquer avec des requêtes LDAP et donc gérer l'authentification mais aussi tes DNS par exemple, ou encore ton DHCP.
Tu peux donc gérer tout ce qui est attaquable en LDAP.
La seule chose qui n'est pas possible (mais qui est tout l'interet d'Active Directory en fait) ce sont les GPO. Alors là, evidement, c'est a mon avis pas encore faisable...
En tout cas bon courage, car c'est pas si simple...
[^] # GPO depuis Samba
Posté par Sytoka Modon (site web personnel) . Évalué à 4.
Ce que j'en ai compris, les GPO sont surtout un coup de secedit. J'avais dis comment j'avais fait cela ici :
http://linuxfr.org/submit/comments,17047,532680,5.html
En gros l'idée est de faire généré un ou des fichiers spécifique à chaque machine/personne qui se connecte avec l'option "root pre exec" de samba.
C'est d'ailleurs un des trucs que je trouve des plus génial dans samba, c'est cette possibilité de configurer et de générer des fichiers à chaud. Comparativement, le couple nfs/autofs est d'une rigidité incroyable.
Je viens de faire un tour sur pGina. Ca a l'air vachement intéressant. Il manque cependant cet aspect "scripting" qui est la force de samba. J'ai pas l'impression que dans pGina, on puisse lancer des scripts ici ou là avec tout un tas de paramètre possible.
D'un autre coté, je ne suis pas spécialiste de PAM mais j'ai pas l'impression que cela ce scripte non plus. Le peu que j'en ai vu, ce sont surtout des greffons binaires avec des fichiers de configuration figé.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.