Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Journal : Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. (Jabber id, page perso, ) le 07 septembre 2003Alors voilà. Une fois n'est pas coutume, on m'a demandé de connecter une station Linux à Active Directory, afin de pouvoir utiliser Active Directory pour l'authentification, la session et tout le reste.
D'habitude je connecte plutôt des machines Windows au monde Unix, mais bon là...
Enfin, toujours est-il que j'ai des petits problèmes. Apparement, l'authentification se fait bien à travers pam_krb5 ou pam_ldap, là ça joue. L'utilisateur est validé "oui c'est bien lui c'est son bon mot de passe". Mais là où les choses se corsent c'est quand j'ai besoin de récupérer par pam le numéro d'utilisateur, le numéro de groupe, le home directory, et le shell. Aïe. Ca coince tout de suite plus :)
En effet, le schéma LDAP d'Active Directory n'intègre pas ces éléments...
Alors, j'ai essayé de mapper, dans pam_ldap.conf, l'attribut "uid" à "uSNCreated" (qui est, selon le MSDN, un attribut unique dans Active Directory), et "gid" à "primaryGroupID" (qui me donne 512 ou 513 pour tous les utilisateurs, je sais plus). Apparement sans succès, vu qu'au login avec GDM, celui-ci me donne l'erreur suivante : "Impossible de définir votre groupe d'utilisateur". Ensuite, je n'arrive pas à trouver le moyen de faire pam utiliser des valeurs spécifiques pour les attributs du shell et du home directory. J'aimerais que pam donne par défaut le shell /bin/bash, par exemple, et le home directory en /home/@{pam_user}.
Ah, oui, petit truc encore : je sais qu'il est possible d'étendre le schéma LDAP d'Active Directory pour Unix (et donc intégrer les champs manquants) mais dans le cas qui m'intéresse je n'ai aucun droit là dessus, je n'ose même pas y songer en rêve :)
J'ai épluché toute la doc que j'ai pu trouver, sans succès. Est-ce que quelqu'un aurait une piste à me donner pour réussir ce tour de force ?
Merci d'avance.
> Lire le journal (8 commentaires, moyenne: 1,8).
Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
tu as essayé avec winbind ?
c'est un composant de samba qui permet de faire ce que tu veux faire
-
[^]Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. (Jabber id, page perso, ) le 07/09/2003 à 10:07. (lien). Évalué à 2.Même de donner l'UID, le GID, le shell, et le home ?
C'est un Active Directory natif, il tourne plus en mode mix.
Je retiens l'idée, je vais faire mon enquête. Merci.--
Quand le chat regarde la tartine beurrée, le sage s'en mord les doigts.
République bananière -- Banana Republic-
[^]Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par Nap () le 07/09/2003 à 10:16. (lien). Évalué à 1.en fait je me suis peut-etre emballé, j'ai lu ton post en diagonale :-/
enfin je l'ai jamais essayé, mais voici la doc :
http://ftp.easynet.be/samba/devel/docs/html/Samba-HOWTO-Collection.(...)
raconte nous quand ça marchera (si ça marche) :)
sinon si tu veux stocker des informations qui ne sont pas dans active directory et que tu n'as pas les droits pour modifier le schéma, je ne sais pas trop quoi faire... peut etre mettre un autre annuaire en place et essayer de se démerder :)-
[^]Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. (Jabber id, page perso, ) le 07/09/2003 à 10:56. (lien). Évalué à 3.Peut-être aurais-je du rajouter que je n'ai pas le droit d'installer un serveur supplémentaire.
En gros, je dois me débrouiller avec le client pour qu'il puisse utiliser le serveur Active Directory et les ressources du réseau Windows.
Ca fait 4-5 jours que je tourne dans la choucroute, ça commence à bien faire :D
Mais si ça réussit, ça vaudra la peine d'en faire un HowTo complet, car là pour le moment sur Internet il n'y a semble-t-il rien qui parle d'une réussite sans avoir modifié le schéma LDAP d'AD.--
Quand le chat regarde la tartine beurrée, le sage s'en mord les doigts.
République bananière -- Banana Republic-
[^]Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par Nap () le 07/09/2003 à 11:39. (lien). Évalué à 1.je vais pas tarder a essayer la meme chose de mon coté d'ailleurs, et [+] pour le HOWTO :)
-
[^]Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. (Jabber id, page perso, ) le 07/09/2003 à 11:54. (lien). Évalué à 1.Si tu trouves quelque chose, fait-moi signe s'il te plaît :o !
DaLR #+ç&% linuxfr.org
mon mail si jamais :)--
Quand le chat regarde la tartine beurrée, le sage s'en mord les doigts.
République bananière -- Banana Republic
-
-
-
-
Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Etendre le shéma AD aux attributs Unix peut se faire par ad4unix : http://www.css-solutions.ca/ad4unix/(...)
Pour ce qui est de l'intégration d'un système GNU/Linux dans un environnement LDAP, tu as samba 3+openldap+kerberos, et en prime une doc (non suffisante, mais utile) : http://www.bayour.com/(...)
-
[^]Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. (Jabber id, page perso, ) le 07/09/2003 à 10:10. (lien). Évalué à 2.> Ah, oui, petit truc encore : je sais qu'il est possible d'étendre le schéma LDAP d'Active Directory pour Unix (et donc intégrer les champs manquants) mais dans le cas qui m'intéresse je n'ai aucun droit là dessus, je n'ose même pas y songer en rêve :)
:(--
Quand le chat regarde la tartine beurrée, le sage s'en mord les doigts.
République bananière -- Banana Republic
Cette page a été générée par Templeet en 0.0578s (dont 0.0051 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.