[ubuntu] se signer avec des comptes Active Directory

se signer avec des comptes Active Directory [ubuntu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 16-08-2006 à 16:56:03    

Bonjour, afin de tests, j'essaye de me connecter sur une ubuntu en utilisant non pas des comptes locaux, mais des utilisateurs de notre domaine (sous Windows 2003, en mode natif).
 
En suivant ce tuto j'arrive jusqu'au bout, tout a l'air de fonctionner (ie toutes les commandes passés pour test réagissent correctement), mais si je ferme ma session pour en ouvrir une avec un compte du domaine, il me répond:
 
"L'administrateur système a temporairement désactivé l'accès au système"
 
Afin d'etre sur, si je tape un mot de passe bidon, il m'envoie chier, donc la vérification de l'authentification au niveau de l'AD fonctionne.
 
Si vous avez une idée, j'ai rien trouvé sur google.
Merci d'avance

Reply

Marsh Posté le 16-08-2006 à 16:56:03   

Reply

Marsh Posté le 16-08-2006 à 17:03:41    

A noter que dans le journal d'evenement de mon controleur de domaine j'ai un paquet d'erreur (une 20aine) toutes de ce type :
 
Source : KDC Id Evt : 27
Lors du traitement d'une requête TGS pour le serveur cible host/test-ubuntu.domaine.test, le compte test-UBUNTU$@DOMAINE.TEST n'avait pas de clé appropriée pour générer un ticket Kerberos (l'ID de la clé manquante est 8). Les types requis étaient 2. Les types de compte disponibles étaient 23  -133  -128  3  1.
 
 
Je ne sais pas si ca a un lien


Message édité par doum le 16-08-2006 à 17:05:18
Reply

Marsh Posté le 18-08-2006 à 15:07:03    

up :)

Reply

Marsh Posté le 18-08-2006 à 15:39:10    

Je connais pas grand chose en AD mais en kerberos oui.
 
La machine a bien un principal du genre host/fqdn@DOMAIN ?
 
Car tu peux te faire jeter à la préauthentification sur un KDC (je ne sais pas si AD fait du preauth, mais bon), et pour autant, refuser de délivrer le TGS car le host n'est pas habilité à en recevoir un.
 
Edit: syntaxe.

Message cité 1 fois
Message édité par Gf4x3443 le 18-08-2006 à 15:39:42
Reply

Marsh Posté le 18-08-2006 à 15:50:28    

Gf4x3443 a écrit :

Je connais pas grand chose en AD mais en kerberos oui.
 
La machine a bien un principal du genre host/fqdn@DOMAIN ?
 
Car tu peux te faire jeter à la préauthentification sur un KDC (je ne sais pas si AD fait du preauth, mais bon), et pour autant, refuser de délivrer le TGS car le host n'est pas habilité à en recevoir un.
 
Edit: syntaxe.


 
Qu'est ce que tu appelles un principal du genre host/fqdn@DOMAIN.

Reply

Marsh Posté le 18-08-2006 à 16:03:15    

Pour un kerberos, utilisateur ou service, c'est la même chose. L'un utilise un mot de passe, l'autre une clé dans un keytab, mais c'est pareil.
 
Quand tu joins une machine windows au domaine, c'est plus ou moins une manière de lui dire de faire le lien avec l'hote.
 
Exemple pour mes montages NFS4 sur des machines distantes:
root@machine ~ # kadmin.local -q "listprincs" | grep host
host/carbone.domain.dns@DOMAIN.KRB
host/mathilda.domain.dns@DOMAIN.KRB
 
etc...
 
Si ta machine n'a pas de principal qui lui est attitré, elle ne peut pas récupérer de TGS du KDC. Elle peut récupérer un TGT car c'est toi, en temps qu'utilisateur, qui l'obtient (pour l'authentification), mais le TGS, pour le "service" (en l'occurence, une session à ouvrir), ne fonctionnera pas, car il n'y en a pas.
 
Maintenant, ca c'est pour kerberos MIT et Heimdal. Pour AD je n'en sais rien, et je sais que les implémentations grosoftienne du protocole sont assez "particulières".

Reply

Marsh Posté le 21-08-2006 à 10:17:23    

Si je tape ta commande j'obtiens ca, effectivement il semble y avoir un soucis (a noter que kadmin.local il connait pas)
 

Citation :


Authenticating as principal root/admin@DOMAINE with password.
kadmin: Client not found in Kerberos database while initializing kadmin interface


Message édité par doum le 21-08-2006 à 10:21:05
Reply

Marsh Posté le 21-08-2006 à 11:45:16    

Quel looser...en fait ca venait de l'heure de mon client Linux, trop de décallage avec le DC...
 
Maintenant reste a trouver si y'a un moyen pour que les utilisateurs recuperent automatiquement leur partage reseau

Reply

Marsh Posté le 21-08-2006 à 11:46:56    

doum a écrit :

Quel looser...en fait ca venait de l'heure de mon client Linux, trop de décallage avec le DC...


 
Ah ca c'est un beau classique, effectivement  :D

Reply

Marsh Posté le 21-08-2006 à 12:14:10    

Gf4x3443 a écrit :

Ah ca c'est un beau classique, effectivement  :D


 
D'ailleurs j'ai un soucis avec ntpd...parceque il devrait mettre a jour mon poste et il ne le fait pas
Est ce que ca pourrait etre du a un trop grand decallage au démarrage?
Parceque j'ai l'impression qu'en reglant l'heure a 10min de celle du domaine, il me la remet bien a l'heure.

Reply

Marsh Posté le 21-08-2006 à 12:14:10   

Reply

Marsh Posté le 21-08-2006 à 15:23:05    

Il faut regarder le décalage avec le serveur.
 
Si le décalage est +- 5 min, ca ne devrait pas marcher.
 
Edit: et regarder les logs, normalement, pam te répond des choses du style: "clock skew too great".


Message édité par Gf4x3443 le 21-08-2006 à 15:23:46
Reply

Marsh Posté le 21-08-2006 à 15:47:01    

Je vais regarder.
 
Le probleme que j'ai je crois, c'est qu'au boot de la machine il a une heure completement folcklo...style 2h de decallage...Pourtant le fuseau horaire est bien reglé

Reply

Marsh Posté le 28-08-2006 à 17:43:16    

En utilisant le tuto cité, mon poste Mandriva fait maintenant partie du domaine :) . J'aimerais attribuer des droits à certains répertoires en utilisant les comptes AD (en fait c'est pour limiter l'accès du serveur Apache aux seuls membres du domaine, sans avoir à retaper tous les comptes en htaccess !  :pt1cable: ). Quelqu'un sait comment on fait ? Merci d'avance !


Message édité par r'chris le 28-08-2006 à 17:50:56
Reply

Marsh Posté le 28-08-2006 à 17:57:08    

tu peux utiliser htaccess avec un annuaire LDAP, tu peux surement le faire avec AD.
 
Enfin si j'ai bien compris ce que tu veux faire ?

Reply

Marsh Posté le 28-08-2006 à 18:03:26    

Au départ mon site est sur serveur windows. Les autorisations de certaines parties du site sont gérées avec les autorisations windows et active directory. Une partie du site migre sur un serveur apache, mais je voudrais éviter que mes utilisateurs aient à s'authentifier 2 fois (et le pire serait avec 2 bases différentes, AD d'un côté et une autre sur mon serveur Apache). J'ai commencé par intégrer mon serveur linux au domaine, mais je ne sais pas comment continuer...


Message édité par r'chris le 28-08-2006 à 18:04:31
Reply

Marsh Posté le 28-08-2006 à 18:12:59    

sur ton serveur apache, installe mod_ldap, jsp si y a des paquets RPM en tout cas y en a pour debian.
 
tu fais un htaccess de ce style:
 
AuthType Basic
AuthName "LDAP auth against user"
AuthLDAPEnabled on
AuthLDAPUrl ldap://ipdetonwin2003/dc=....,dc=....
<LIMIT GET POST>
    Require valid-user
</LIMIT>
 
 
http://httpd.apache.org/docs/2.2/mod/mod_ldap.html

Reply

Marsh Posté le 29-08-2006 à 12:34:16    

Merci pour la piste !  
Après plusieurs essais j'ai fini par placer tes 4 premières lignes dans httpd.conf et le LIMIT dans le htaccess. Et ça roule...

Reply

Marsh Posté le 29-08-2006 à 13:45:09    

ca marche alors ?
 
chez moi j'ai tout mis dans le htaccess

Reply

Marsh Posté le 01-09-2006 à 18:49:04    

Oui oui ça marche au poil. Je ne suis pas informaticien mais je me suis dit que le httpd.conf est chargé au lancement d'Apache (donc 1 fois pour toutes), alors que le htaccess a l'air d'être lu plus souvent : plus je l'allège mieux on se porte, non ? (mais peut être que je délire). En plus je peux gérer en 3 lignes les accès à chaque répertoire, plus pratique.
 
Par contre il me reste un pb résiduel, assez mineur mais agaçant : mes visiteurs sont accueillis sur un serveur web windows (IIS, scripts ASP etc...), ils s'identifient à ce moment, et n'accèdent au serveur Linux qu'en suivant un lien. Et ils doivent s'identifier une 2° fois. Pas très pratique quand même. Rien trouvé dans le forum ni par google. Il doit y avoir une histoire de cache mais je ne trouve pas. Si qq'1 a une piste je prends !


Message édité par r'chris le 01-09-2006 à 18:52:25
Reply

Marsh Posté le 05-09-2006 à 13:22:03    

dans ton smb.conf, as tu mis security=share ou domain ?
as tu inscrit ta machine linux dans le domain NT ?
as tu completer la ligne "password server ="
as tu completé le etc/samba/smbusers ? (pour les clients unix)
 
... oups ! je parlais MDK ... excuse


Message édité par phd0 le 05-09-2006 à 13:24:40

---------------
Adept du PC depuis 1985 - débutant sur Linux depuis 1995
Reply

Marsh Posté le 12-09-2006 à 16:26:00    

dans smb.conf j'ai  
security=ads (en suivant un topic de ce forum). J'ai fait un essai avec domain, reboot : pas de chgmt
password server=monserveur.MONDOMAINE
Ma machine est intégrée au domaine, et c'est le seul client UNIX donc pas configuré le smbusers. J'ai bon ou pas ?
Merci !


Message édité par r'chris le 12-09-2006 à 16:27:22
Reply

Marsh Posté le 14-09-2006 à 08:23:05    

pour faire suite à : http://marc.theaimsgroup.com/?l=sa [...] 116638&w=2
 

Citation :

I had a similar problem.
I have worked around it by removing "mdns" entries from
/etc/nsswitch.conf. After that I could join domain.


---------------
Adept du PC depuis 1985 - débutant sur Linux depuis 1995
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed