Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi...

Active Directory, LDAP, Kerberos, Samba, et moi et moi et moi... - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 07-09-2003 à 11:54:52    

Bonjour les gens...
 
Alors voilà. Une fois n'est pas coutume, on m'a demandé de connecter une station Linux à Active Directory, afin de pouvoir utiliser Active Directory pour l'authentification, la session et tout le reste.
 
D'habitude je connecte plutôt des machines Windows au monde Unix, mais bon là...
 
Enfin, toujours est-il que j'ai des petits problèmes. Apparement, l'authentification se fait bien à travers pam_krb5 ou pam_ldap, là ça joue. L'utilisateur est validé "oui c'est bien lui c'est son bon mot de passe". Mais là où les choses se corsent c'est quand j'ai besoin de récupérer par pam le numéro d'utilisateur, le numéro de groupe, le home directory, et le shell. Aïe. Ca coince tout de suite plus :)
 
En effet, le schéma LDAP d'Active Directory n'intègre pas ces éléments...
Alors, j'ai essayé de mapper, dans pam_ldap.conf, l'attribut "uid" à "uSNCreated" (qui est, selon le MSDN, un attribut unique dans Active Directory), et "gid" à "primaryGroupID" (qui me donne 512 ou 513 pour tous les utilisateurs, je sais plus). Apparement sans succès, vu qu'au login avec GDM, celui-ci me donne l'erreur suivante : "Impossible de définir votre groupe d'utilisateur". Ensuite, je n'arrive pas à trouver le moyen de faire pam utiliser des valeurs spécifiques pour les attributs du shell et du home directory. J'aimerais que pam donne par défaut le shell /bin/bash, par exemple, et le home directory en /home/@{pam_user}.
 
Ah, oui, petit truc encore : je sais qu'il est possible d'étendre le schéma LDAP d'Active Directory pour Unix (et donc intégrer les champs manquants) mais dans le cas qui m'intéresse je n'ai aucun droit là dessus, je n'ose même pas y songer en rêve :)
 
J'ai épluché toute la doc que j'ai pu trouver, sans succès. Est-ce que quelqu'un aurait une piste à me donner pour réussir ce tour de force ?
 
Merci d'avance.


---------------
perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Reply

Marsh Posté le 07-09-2003 à 11:54:52   

Reply

Marsh Posté le 08-09-2003 à 02:28:22    

hmmm c'est vrai que c'est pas simple comme problème ces histoires d'intégration de linux dans AC.  
Est-ce qu'il ne serait pas judicieux de créer un clone de ta base LDAP d'active directory grace à slurpd ?
Comme ca eventuellement tu rajoutes tes attributs qu'il te manque dans ton schema.
Sinon je ne sais pas si il est possible de modifier directement le schéma LDAP d'active directory.
 
Sinon je sais qu'IdealX à créer un package LDAP/SAMBA qui permet de faire le pont avec un réseau windows. Essai de voir de ce coté la.
http://www.idealx.org/


---------------
"Every solution breeds new problems"
Reply

Marsh Posté le 08-09-2003 à 07:35:31    

Ah ! Si seulement c'était si simple ! :)
 
Je n'ai pas le moyen d'installer un double d'AD, de rajouter un serveur dans le réseau ou d'étendre le schéma AD. Je n'ai _que_ les pleins droits quant à la configuration du client.
 
C'est vraiment la merde :D
 
Mais merci quand même.


---------------
perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed