Journal Partager son compte de machine entre windows et linux

Posté par  .
Étiquettes : aucune
0
26
mai
2005
Voilà basiquement mon problème: au boulot j'ai un dual boot windows-linux, et évidement notre admin système est de la vieille école et est plutôt grognon en ce moment, ce qu'il fait qu'il refuse que mon Linux soit intégré au domaine windows. C'est un peu lourd car plein de trucs sur notre réseau dépendent de ça. Donc je me disais que comme mon Windows fait partie du domaine je pourrais essayer d'utiliser ces infos pour que mon SAMBA puisse s'authentifier correctement. Voilà ou en sont mes investigations:

1 - quand on joins une machine à un domaine windows il y un compte associé à la machine(nom_de_la_machine$) qui est créé, et un mot de passe est généré pour ce compte. Le controlleur de domaine et la machine locale partage ce mot de passe et sont donc à même de pouvoir s'authentifier l'un/l'autre.
2 - ce compte/mot de passe doit très certainement être stocké dans la base SAM de mon windows

Donc ce que je voudrais c'est basiquement extraire le mot de passe de mon compte machine(Machine Account) de la base SAM, et le donner à manger à mon SAMBA pour que mon linux fasse partie du réseau avec l'identité de mon windows.

Si quelqu'un connait des outils/process pour réaliser ça, je suis preneur.

Autre truc qui pourrait me poser un problème: normalement une machine windows change régulièrement son mot de passe de compte machine. Je ne sais pas ce que fait SAMBA, mais si SAMBA implémente ça aussi je risque de me retrouver avec mon windows qui ne sera plus authentifier auprès du domaine...
  • # Commentaire supprimé

    Posté par  . Évalué à 3.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Partager son compte de machine entre windows et linux

      Posté par  . Évalué à 5.

      Il est certain qu'en pareille situation, il faut faire preuve de sagesse et surtout pas entrer en guerre avec son administrateur système. Par contre, si les utilisateurs ne se plaignent pas, il n'y aucune raison pour que cela change spontanément.

      A la place, il faudrait commencer à fédérer les différentes personnes qui peuvent avoir un intérêt à voir les machines Linux être officiellement prises en compte, multliplier les messages de demandes (justifiées et argumentées), attendre le mailing agacé de l'administrateur rapellant aux utilisateurs que ce n'est pas la politique de la maison, continuer les demandes argumentées, demander un rendez-vous avoir le directeur informatique, et commencer à planifier cela sérieusement. Au bout d'un moment cela va se faire.

      Ceci dit, dans le cas présent, je comprends l'administrateur. J'ai personnement confiance dans les logiciels libres, mais pas dans Windows. Il est tout-à-fait possible que l'intégration dans un domaine Windows d'une machine dont le logiciel n'a pas été écrit par Microsoft, même s'il respecte les spécifications, puisse compromettre la base du domaine, parce qu'il y a fort à parier que les dernières versions intègrent tout un tas de caractéristiques non documentées servant en général de workaround à des bugs trop compliqués à corriger. Donc, sans soutien officiel de la maison mère et sans campagne de tests et de validation poussée, je ne le ferais pas non plus.

      Il est par contre tout-à-fait envisageable de consacrer un serveur Windows spécial à l'installation d'un NFS et d'une liste de ressources partagées en SMB (Imprimantes, etc), qui lui pourrait être accessible à des machines Unix.

      Essaie de transiger, les administrateurs systèmes sont parfois moins bornés qu'on le croit lorsqu'on leur propose un système garanti sans risque et qui ne leur apportera pas trop de boulot (loin de moi, d'ailleurs, l'idée de traiter les adminitrateurs de fainéants. Les problèmes inattendus survenant un permanence dans un parc de machines, même petit, censé fonctionner seul suffisent à justifier deux postes à temps plein).
  • # colinux

    Posté par  (site web personnel) . Évalué à 7.

    Un solution serait peut être de lancer linux... dans windows. Colinux permet de lancer un kernel en "user mode", et donc comme une appli windows. Tu peux faire booter à peu pres n'importe quelle distribution avec ca. Il utilise windows pour toutes les communications (ca crée une interface reseau, à toi de faire du partage sous XP pour lier les 2), et donc plus de problèmes d'accès au domaine (tu peux aussi acceder aux partitions windows).

    http://www.colinux.org/(...)
    http://linuxfr.org/~Gniarf/10048.html(...)
    http://fr.wikipedia.org/wiki/CoLinux(...)
  • # Emulation du SID ?

    Posté par  . Évalué à 4.

    Il est possible de récupérer le SID de Windows : http://www.sysinternals.com/ntw2k/freeware/psgetsid.shtml(...)

    Celui ci contient normalement une partie "machine" + la partie "domaine". Par contre je ne sais pas si ça suffit (ça me paraît quand même trop facile pour "usurper" un PC), ni comment l'injecter dans le Linux...

    Bon courage !
    • [^] # Re: Emulation du SID ?

      Posté par  . Évalué à 3.

      Rhhaaa SysInternals ! Love them.

      Combien d'administrateurs et de développeurs Windows ont vu leur vie sauvée par les freewares de cette sympatique structure ...
  • # Pas besoin de s'intégrer au domaine...

    Posté par  (site web personnel) . Évalué à 2.

    Hello,

    bon, à priori, pas besoin de s'intégrer au domaine. Utilise smbmount avec les bonnes options pour te connecter sur le ou les partages du serveur qui vont bien.

    Attention, smbfs ne doit pas tenir compte des ACL élaborées de NTFS. Tes droits seront donc (et encore faut voir) plus limités qu'avec le client MS.

    man smbmount est ton ami !
    • [^] # Re: Pas besoin de s'intégrer au domaine...

      Posté par  (site web personnel) . Évalué à 3.

      Le problème, je pense, c'est qu'il a pas le mot de passe de son compte.

      Perso, je vois que deux cas:

      Première cas, le système est vraiment sur, on a que le hash de SAM (hypothèse de David).
      Donc, il peut utiliser chntpw pour récupérer le hash qui sert à l'authentification, et ensuite le réinjecter dans Samba. Si le hash suffit à se loguer, ça devrais être possible, mais là il faudrait peut être en causer sur la ML de Samba.
      Sinon, rainbowcrack devrait t'aider à retrouver le mot de passe associé au hash.

      Deuxième cas, windows a bel est bien besoin du mot de passe, qui est enfouis dans une clef de la base de registre pour être activé automatiquement au démarrage.
      Donc il peut dumper directement le mot de passe pendant qu'il est sous windows... parce que windows le garde en mémoire tout le temps de la session. Faudrais voir sur google quel utilitaire fait ça (j'en avais entendu parler dans un Misc).
      Sinon, tu peut utiliser chntpw (encore) pour aller trifouiller la BDR et trouver le mot de passe (google te diras probablement où est la clef).
      Variante : tu vire le mot de passe administrateur local avec chntpw, tu reboot et tu poursuis avec regedit, qui est plus sympa.

      <troll>Peut être parce que j'ai jamais vu d'entreprise de ma vie (étudiant), mais pour ce que je constate comme niveau chez la masse des administrateurs windowsiens, je pense qu'on est dans le second cas.</troll>
      • [^] # Re: Pas besoin de s'intégrer au domaine...

        Posté par  (site web personnel) . Évalué à 2.

        Hello,

        Le problème, je pense, c'est qu'il a pas le mot de passe de son compte.


        Sous quel version de Windows ? A priori, l'ensemble de mes users ont tous un compte de domaine et pour moi, un compte de domaine = login+mot de passe.

        L'histoire des comptes de machine: OK ! Mais le mot de passe de compte de machine... je connais pas ! D'ailleurs, je n'ai jamais encore vu comment on faisait pour le mettre...

        Donc question à Mr David Fort: comment tu fais pour te logguer sur ta machine ?
        • [^] # Re: Pas besoin de s'intégrer au domaine...

          Posté par  (site web personnel) . Évalué à 2.

          Rhaa ! Mais faut suivre. Je viens de dire qu'il y a une clef de la base de registre telle que windows va y chercher les identifiants (nom d'utilisateur et mot de passe). Le fait que ces identifiants soient ceux du réseau n'empêche rien.
          Je pense que pour l'admin c'est une manière d'associer le compte au poste et pas à l'utilisateur.
    • [^] # Re: Pas besoin de s'intégrer au domaine...

      Posté par  . Évalué à 1.

      J'ai eu le même problème avec un domaine netware, le client netware pour linux hélas n'existe pas encore pour des raisons légales (rsa entre autres).

      Alors la solution la plus simple c'est de se démerder pour monter directement les partages, c'est moins élégant mais c'est efficasse.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.