Bonjour les gens...
Alors voilà. Une fois n'est pas coutume, on m'a demandé de connecter une station Linux à Active Directory, afin de pouvoir utiliser Active Directory pour l'authentification, la session et tout le reste.
D'habitude je connecte plutôt des machines Windows au monde Unix, mais bon là...
Enfin, toujours est-il que j'ai des petits problèmes. Apparement, l'authentification se fait bien à travers pam_krb5 ou pam_ldap, là ça joue. L'utilisateur est validé "oui c'est bien lui c'est son bon mot de passe". Mais là où les choses se corsent c'est quand j'ai besoin de récupérer par pam le numéro d'utilisateur, le numéro de groupe, le home directory, et le shell. Aïe. Ca coince tout de suite plus :)
En effet, le schéma LDAP d'Active Directory n'intègre pas ces éléments...
Alors, j'ai essayé de mapper, dans pam_ldap.conf, l'attribut "uid" à "uSNCreated" (qui est, selon le MSDN, un attribut unique dans Active Directory), et "gid" à "primaryGroupID" (qui me donne 512 ou 513 pour tous les utilisateurs, je sais plus). Apparement sans succès, vu qu'au login avec GDM, celui-ci me donne l'erreur suivante : "Impossible de définir votre groupe d'utilisateur". Ensuite, je n'arrive pas à trouver le moyen de faire pam utiliser des valeurs spécifiques pour les attributs du shell et du home directory. J'aimerais que pam donne par défaut le shell /bin/bash, par exemple, et le home directory en /home/@{pam_user}.
Ah, oui, petit truc encore : je sais qu'il est possible d'étendre le schéma LDAP d'Active Directory pour Unix (et donc intégrer les champs manquants) mais dans le cas qui m'intéresse je n'ai aucun droit là dessus, je n'ose même pas y songer en rêve :)
J'ai épluché toute la doc que j'ai pu trouver, sans succès. Est-ce que quelqu'un aurait une piste à me donner pour réussir ce tour de force ?
Merci d'avance.
Journal Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
7
sept.
2003
# Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par Nap . Évalué à 1.
c'est un composant de samba qui permet de faire ce que tu veux faire
[^] # Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. . Évalué à 2.
C'est un Active Directory natif, il tourne plus en mode mix.
Je retiens l'idée, je vais faire mon enquête. Merci.
[^] # Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par Nap . Évalué à 1.
enfin je l'ai jamais essayé, mais voici la doc :
http://ftp.easynet.be/samba/devel/docs/html/Samba-HOWTO-Collection.(...)
raconte nous quand ça marchera (si ça marche) :)
sinon si tu veux stocker des informations qui ne sont pas dans active directory et que tu n'as pas les droits pour modifier le schéma, je ne sais pas trop quoi faire... peut etre mettre un autre annuaire en place et essayer de se démerder :)
[^] # Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. . Évalué à 3.
En gros, je dois me débrouiller avec le client pour qu'il puisse utiliser le serveur Active Directory et les ressources du réseau Windows.
Ca fait 4-5 jours que je tourne dans la choucroute, ça commence à bien faire :D
Mais si ça réussit, ça vaudra la peine d'en faire un HowTo complet, car là pour le moment sur Internet il n'y a semble-t-il rien qui parle d'une réussite sans avoir modifié le schéma LDAP d'AD.
[^] # Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par Nap . Évalué à 1.
[^] # Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. . Évalué à 1.
DaLR #+ç&% linuxfr.org
mon mail si jamais :)
# Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par Anonyme . Évalué à 3.
Pour ce qui est de l'intégration d'un système GNU/Linux dans un environnement LDAP, tu as samba 3+openldap+kerberos, et en prime une doc (non suffisante, mais utile) : http://www.bayour.com/(...)
[^] # Re: Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...
Posté par L. R. . Évalué à 2.
:(
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.