Active Directory et Linux

Posté par  (site Web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
19
avr.
2002
Linux
Cet article, paru dans SecurityFocus, discute de l'utilisation de l'Active Directory de Microsoft en tant que service d'identification pour Linux.
Bien que Linux ait déjà un système d'identification avec OpenLDAP, certaines architectures peuvent être intéressées par un tel système. Il peut être utile d'identifier des utilisateurs Linux sur un serveur Microsoft Windows 2000 par exemple.

A vous de voir.

Aller plus loin

  • # LDAP

    Posté par  . Évalué à 10.

    Au passage (et c'est précisé dans l'article), ActiveDirectory EST un serveur LDAP, mais comme d'habitude, Microsoft a ajouté plein d'extensions et des modes de fonctionnement maison, dont une faible partie seulement est plus ou moins justifiée....

    L'essentiel du probleme est donc de réussir à mettre en place un schéma LDAP qui convienne aux clients AD et aux clients LDAP "classiques".
    • [^] # Re: LDAP

      Posté par  . Évalué à 10.

      L'essentiel du probleme est donc de réussir à mettre en place un schéma LDAP qui convienne aux clients AD et aux clients LDAP "classiques".

      Certes, mais ensuite il faudra maintenir cette compatibilité tout au long des releases successives d'AD, qui va :

      • soit diverger si assez de monde y passe

      • soit converger pour rester compatible LDAP



      La stratégie de Microsoft est assez forte de ce côté :
      <ul>
    • On reste aux aguets pour voir les technologies émergentes

    • Dès qu'un techno arrive, on se jette dessus, quitte à faire croire qu'on l'a inventée, car «c'est nous qui en parlons le plus fort»

    • <li>Une fois qu'on la maîtrise, on fait gentiment diverger les normes dans nos implémentations, «pour optimisation seulement».
      </ul>

      Des exemples ?
      Allez, un au hasard, qui va vous plaire : le HTML !
      Si vous «surfez sur le web» avec un butineur sous GNU/Linux, vous aurez la mauvaise surprise de voir certains site avec des phrases ponctuées intempestivement de «?» (points d'interrogation), là où vous vous seriez attendu à des «'» (apostrophes) ou d'autres signes. Vous êtes en présence de MS-ASCII : certains outils Microsoft utilisent des plages de code ASCII qui ne sont pas réservées pour coder certains caractères qui exsitent déjà ailleurs dans la table ASCII.

      Résultat : les gens qui sont sous Windows ne se rendent compte de rien ; ceux qui sont sous les autres systèmes «marginaux» se font avoir...

      Référence :
  • # Samba

    Posté par  . Évalué à 10.

    Samba pourra t'il un jour gérer l'Active Directory, c'est à dire créer des UO, gérer des stratégies, etc....
    Parce que ça parrait réalisable, à l'aide de bases de données par exemple pour stocker les options de stratégies, mais du coté microsoft? Est-ce que quelqu'un sait si le principe global de l'active directory est pas breveté-anti-tout?
    On a vu reçement les problèmes que pourrait rencontrer Samba avec les nouvelles licences microsoft, j'ai peur qu'à terme, les OS microsoft soient cloisonnés, et qu'on se retrouve à administrer presque deux reseaux distinct: le réseau microsoft et le réseau des "autres"(Linux, Unix, MacOS, etc...).
    Je suis admin, donc fénéant(ou l'inverse), la solution d'administration des postes windows par l'active directory semble être la mieux moins pire pour ne pas passer son temps à courir dans les salles. Si on pouvait garder le système d'active directory en se passant de l'OS, ca serait pas mal...
    • [^] # Re: Samba

      Posté par  . Évalué à 10.

      Et pourquoi pas plustot tenter d'identifier un windows face a un LDAP.... (Ok je sais microsoft ne laissera jamais faire un tel truc!)
      • [^] # Re: Samba

        Posté par  (site Web personnel) . Évalué à 10.

        > Et pourquoi pas plustot tenter d'identifier un windows face a un LDAP.... (Ok je sais microsoft ne laissera jamais faire un tel truc!)

        il ne faut pas lui demander son avis. Tu dis à ton windows qu'il a en face de lui un PDC windows officiel, et Samba s'occupe de le gruger.

        http://www.unav.es/cti/ldap-smb-howto.html(...)
        Dans la doc, ça marche bien, par contre, je sais pas trop comment on fait pour authentifier aussi des users Unix sur le même LDAP.
        • [^] # Re: Samba

          Posté par  . Évalué à 10.

          >Dans la doc, ça marche bien, par contre, je sais pas trop comment on fait pour authentifier aussi des users Unix sur le même LDAP

          Avec ça:http://online.securityfocus.com/infocus/1427(...)

          Mais le problème n'est absolument pas contourné parceque, ok on identifie via LDAP mais la gestion des droits des utilisateurs, des droits par station? des quotas?
          LDAP c'est bien, mais le problème initial c'était de gérer un parc de station microsoft sans avoir à se deplacer...
          • [^] # Re: Samba

            Posté par  . Évalué à 1.

            As-tu eu une réponse à ta question ?
            Je m'intéresse également au sujet et j'aurais bien aimé avoir une réponse: quelles solutions pour la gestion des droits des utilisateurs, des droits par station? des quotas?

            Je suis pour l'instant dans la phase d'étude. Après présentation des différents solutions possibles à l'équipe, nous prendrons une décision et nous implémenterons. Je posterai alors le détail de la mise en place.
      • [^] # Re: Samba

        Posté par  . Évalué à 10.

        Il y ajustement de gentils monsieurs qui ont rendus ca possible. Ils ont developpes une partie authentification qui remplace celle de windows (2000/XP/NT). Et cette authentification est GPL et basee sur des plugins. Ca s'appelle pGina et ca se trouve la :
        http://pgina.cs.plu.edu/(...)

        Il y a justement un plugin LDAP mais tu peux mettre vraiment tout ce que tu veux.

        Y'a meme eut une news slashdot, y'a pas longtemps.
        http://slashdot.org/article.pl?sid=02/04/14/134208&mode=thread(...)
    • [^] # Re: Samba

      Posté par  . Évalué à 10.

      Apparement Samba a pas mal avancé, en particulier sur des outils comme winbind qui permet semble-t-il d'authentifier des utilisateurs Linux sur un serveur 2000.
      • [^] # Re: Samba

        Posté par  . Évalué à 10.

        effectivement, pour authentifier les utilisateurs windows sur un unix, il reste encore et toujours le protocole SMB..

        Il est aujourd'hui possible d'utiliser samba comme controleur de domaine avec des postes W2K.

        Il est egalement possible d'utiliser samba comme serveur aditionnel à un serveur d'authentifiction W2K (mais pas en mode natif), les users+passwords sont synchroniser avec winbind.

        Aujourd'hui ce qui bloque c'est le mode natif de W2K avec l'active Directory et Kerberos. Mais comme un serveur W2K peut utiliser le mode "NT4", on peut toujour insérer des serveurs de fichiers Samba dans une architecture existante..

        Samba 3.0 alpha est sortie il ya quelques temps. Le travail avance à petit pas...

        ND
        • [^] # Re: Samba

          Posté par  . Évalué à 10.

          Mais comme un serveur W2K peut utiliser le mode "NT4"

          Ouais, sauf que le mode "NT4" il est pas top du tout d'un point de vue sécurité !!!!

          Donc, c'est nettement mieux si on peut causer directement en "mode W2K" ou en LDAP natif (sur SSL, bien sur).
          • [^] # Re: Samba

            Posté par  . Évalué à 2.

            amha, c'est pas vrai. les password sont criptés. les données aussi. ce qui n'est pas sécurisé c'est la pile logiciel SMB du système NT....

            Il existe bien un serveur FTP sur NT.. ce qui est pourri c'est bien le servuer de microsoft et non le protocole en lui meme..

            ND
            • [^] # Re: Samba

              Posté par  . Évalué à 7.

              les password sont criptés

              Il y a (souvent, malheureusement) une différence entre "ne passe pas en clair" et "est sécurisé"...

              La en l'occurence, effectivement, neuneu avec son sniffer ira pas bien loin, mais le fonctionnement est quand meme assez bien fourni en faiblesses....
  • # A vous de voir ?

    Posté par  . Évalué à 10.

    C'est tout vu:

    - Active Directory que pour WinXP et Win2k
    - Active Directroy oblige la mise à jour de tout les systèmes d'exploitations anterieurs à Win2k, et des manips coté clients *nix.
    - Active Directory à un kerberos modifié juste pour rendre difficile l'interoperabilité.

    Voulez-vous vraiment jouer le jeu de microsoft ?

    - pam-ldap + nss-ldap: linux + *nix
    - pam-ldap + nss-ldap: n'oblige pas de mise à jour
    - pam-ldap + nss-ldap: s'appuie sur des standard ouvert.

    Bref, win + active directory si le parc le permet dejà et si c'est _nécessaire_, et de toute facon pam-ldap + nss-ldap pour les *nix, qui, de toute façon, font rarement le même boulot.

    Je tiens à mentionner ici un projet interessant (j'ai meme vu qu'il pouvait gerer samba, mais je n'ai pas testé cette foncionnalité). Il n'est pas encore parfait, mais fonctionnel et j'imagine que les contributions sont attendues.

    J'ai moi même _tout juste_ commencé un projet similaire s'appuyant sur la rfc 2307bis http://www.padl.com/Contents/Documentation.html,(...) et les gens interessés peuvent prendre contact avec moi ne serait-ce que pour en discuter.
  • # A peine Hors Sujet: Postfix vs Exchange

    Posté par  . Évalué à 7.

    J'etait en train de discuter avec une client qui voudrait monter une messagerie interne, quand celui ci sortit le nom qu'il ne fallait pas: MS Exchange (C) (R) (TM).
    Je n'ai pas eu de mal à le convaincre le la légendaire stabilité de nunux (uptime est ton ami...), ni des avantages offerts par les ll basés sur des standards ouverts, ni de l'énorme différence de cout de licence... et un petit pigouin ne devrait pas tarder à s'installer dans sa société.
    Ma question est la suivante: Sachant que j'utilise postfix depuis grossomodo 18 mois, avec MS Outlook coté clients (oui je sais... mais une chose à la fois) sans rencontrer de pb de synchro d'agenda...etc, et sachant que je ne connais pas MS Exchange, existe t'il des chez ce dernier des fonctions vicelardes qui ne figureraient pas dans couple serveurs SMTP/(POP/IMAP) classique?
  • # ouiaps c pas gagne

    Posté par  . Évalué à 1.

    jai essayé le plugin ad4unix , impossible d'avoir une authentification , la recherche ldap fonctionne , je vois le dn d'un utilisateur , mais impossible de me logguer .
    Bizarre.
  • Suivre le flux des commentaires

    Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.