problème de mise en relation de linux avec domaine windows

problème de mise en relation de linux avec domaine windows - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-03-2007 à 15:10:47    

Bonjour à tous, j'essaie de joindre depuis un serveur d'authentification freeradius 1.0.5 basé sur mandrake 10.0 le domaine active directory de windows 2000 j'ai édité les fichiers krb5.conf ainsi que smb.conf à cet effet, cependant je n'arrive pas à joindre le domaine windows par les commandes suivantes:
net ads join -U utilisateur@domaine
kinit utilisateur@domaine
J'aimerais donc savoir si l'utilisateur en question doit être obligatoirement un administrateur du domaine recherché afin de s'y authentifier, par ailleurs s'il existe des outils d'analyse de cette communication entre mon serveur linux et le domaine windows(si possible autre qu'ethereal)??

Reply

Marsh Posté le 12-03-2007 à 15:10:47   

Reply

Marsh Posté le 12-03-2007 à 17:40:50    

il faut utiliser l'admin du domaine(ou un compte autorisé a joindre une machine au domaine)  pour la commande net ads join
pour kinit, un utilisateur du domaine suffit (je crois)


---------------
hebergez vos images
Reply

Marsh Posté le 12-03-2007 à 19:11:23    

Merci pour ta réponse aknott31, par contre même pour kinit je rencontre des difficultés à joindre le domaine, je rencontre l'erreur suivante:
 Client not found in Kerberos database while getting initial credentials :(
Je vais donc poursuivre mes recherches sur la question merci tout de même encore une fois pour l'info!

Reply

Marsh Posté le 12-03-2007 à 19:28:26    

J'ai tenté un nouvel essai avec un autre client lambda:
kinit lambda@domaine.com
là dessus ça m'affiche:
Password for lambda@domaine.com
j'entre donc le mot de passe et il m'affiche l'erreur suivante:
kinit (v5): KDC reply did not match expectations while getting initial credentials
J'avoue sécher un peu, le premier essai a été réalisé sur un compte créé  ce matin même, le second sur un compte qui ne date pas d'hier lol d'où deux résultats différents, à croire que le compte récent n'aurait pas encore été prit en compte!

Reply

Marsh Posté le 12-03-2007 à 20:25:52    

tu pourrais poster ton krb5.conf et ton smb.conf?


---------------
hebergez vos images
Reply

Marsh Posté le 12-03-2007 à 21:21:52    

Voici ma configuration smb.conf:
workgroup = DOMAINE.COM
netbios name = localhost
server string = %h
printcap name = /etc/printcap
   load printers = yes
printer admin = @adm
log file = /var/log/samba/log.%m
max log size = 50
map to guest = bad user
security = ads
 smb passwd file = /etc/samba/smbpasswd
*passwd:*all*authentication*tokens*updated*successfully*
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
 dns proxy = no
#============================ Share Definitions ==============================
realm = domaine.com
encrypt passwords = yes
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
winbind use default domain = yes
password server = @dresse_dns
[homes]
   comment = Home Directories
   browseable = no
   writable = yes
 comment = All Printers
   path = /var/spool/samba
   browseable = no
 guest ok = no
   writable = no
   printable = yes
   create mode = 0700
 path = /var/lib/samba/printers
   browseable = yes
   write list = @adm root
   guest ok = yes
   inherit permissions = yes
 path = /var/tmp
   guest ok = No
   printable = Yes
   comment = PDF Generator (only valid users)
 
Voici ma configuration krb5.conf:
libdefaults]
 ticket_lifetime = 24000
 default_realm = DOMAINE.COM
 default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
 default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
 permitted_enctypes = des3-hmac-sha1 des-cbc-crc
 dns_lookup_realm = false
 dns_lookup_kdc = false
 kdc_req_checksum_type = 2
 checksum_type = 2
 ccache_type = 1
 forwardable = true
 proxiable = true
 
[realms]
 domaine.com = {
 
  kdc = domaine.com:88
  admin_server = domaine.com:749
  default_domain =domaine.com
  kdc = *
 }
 
[domain_realm]
.domaine.com = DOMAINE.COM
domaine.com = DOMAINE.COM
 
 
[kdc]
 profile = /etc/kerberos/krb5kdc/kdc.conf
 
[pam]
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
 
 [login]
 krb4_convert = false
 krb4_get_tickets = true
 
 
 

Reply

Marsh Posté le 12-03-2007 à 21:35:28    

dans la section realms de ton krb5.conf, les lignes kdc et  admin server sont fausses
ca doit etre tonserveur.domaine.com et pas domaine.com


---------------
hebergez vos images
Reply

Marsh Posté le 18-03-2007 à 16:06:15    

ce doit être mon serveur tu parles de l'active directory ou du serveur linux?

Reply

Marsh Posté le 19-03-2007 à 04:54:53    

AD


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 19-03-2007 à 13:21:28    

Merci du renseignement je vais donc procéder aux modifications et je vous tiendrai au courant des résultats!!!

Reply

Marsh Posté le 19-03-2007 à 13:21:28   

Reply

Marsh Posté le 19-03-2007 à 14:03:26    

J'ai procédé aux modifications que vous m'avez suggérez à savoir dans le krb5.conf j'ai mis pour le kdc et l'admin server : serverAD.domaine.com, par ailleurs j'ai inscris dans smb.conf pour server string: serverAD, j'arrive toujours au même résultat à savoir qu'avec la commande kinit quand je tappe un loggin inexistant dans AD le système me dit: Client not found in Kerberos database while getting initial credentials, quand je tappe un bon loggin ça me demande le mot de passe du client en question, une fois tappé le système me renvoie:  kinit (v5): KDC reply did not match expectations while getting initial credentials, enfin quand je fais l'essai de net ads join -U administrateur@domaine.com, le même message d'erreur apparait, j'avoue que cela me rend perplexe le système sait lorsqu'un client n'est pas référencé dans l'annuaire active directory cependant suite à la saisie du mot de passe rien ne se déroule comme prévu, serais je passé à côté de quelquechose dans la configuration est ce qu'à un moment donné on précise une adresse de fichier contenant les mots de passe?

Reply

Marsh Posté le 19-03-2007 à 14:17:46    

à ce propos je viens de m'appercevoir que la ligne smb passwd file = /etc/samba/smbpasswd n'était pas en commentaire j'ai donc rajouté un ; devant celle ci, par ailleurs la commande net ads join -U administrateur@domaine.com ne doit elle pas être effectuée avant celle de kinit utilisateur@domaine.com, selon ce que j'ai vu c'est elle qui permet de joindre la machine linux au domaine windows, celle de kinit ne sert qu'à authentifier un utilisateur, si la jonction n'a pas été faite l'authentification ne peut qu'échouer???...

Reply

Marsh Posté le 19-03-2007 à 17:43:21    

le kinit DOIT etre fait avec un compte connu de l'AD
la date du client(linux) doit etre synchronisée avec celle du serveur (AD)
dans le cas contraire, le kinit foire assez souvent...

 

le kinit sert a tester...
si ton krb5.conf et ton smb.conf sont corrects, le net ads join se suffit a lui même...

 

va voir ce tuto
http://doc.ubuntu-fr.org/tutoriel/ [...] _directory

 

c'est pour ubuntu mais ca marche pareil avec du redhat donc...


Message édité par aknott31 le 19-03-2007 à 17:44:27

---------------
hebergez vos images
Reply

Marsh Posté le 19-03-2007 à 19:23:09    

Ok merci j'ai effectivement lu quelquepart qu'il fallait synchroniser l'heure du client linux avec celle du domaine windows, cependant le message d'erreur relatif à la non synchronisation des deux systèmes ne s'affiche pas pour moi, je vais cependant effectuer la synchronisation sait on jamais, la marge de synchronisation est de combien de minutes je ne m'en souviens plus trop, sinon ben là je suis en train de tout refaire histoire de voir quelles pourraient être mes erreurs, je refais donc la configuration de smb.conf ainsi que celle de krb5.conf, j'ai fais smb.conf je vais m'attaquer à krb5.conf...

Reply

Marsh Posté le 22-03-2016 à 13:40:47    

Bonjour,
 
j'ai rencontré le même problème, Je suis en train d’intégrer le protocole Kerberos pour authentifier l'utilisateur dans un serveur Linux. J'essaye d’exécuter la commande Kinit sur plusieurs utilisateurs et ca marche très bien. Malheureusement  :fou: j'arrive pas à demander un ticket pour un SPN que j'ai crée. J'ai toujours le meme message : kinit: Cannot find KDC for requested realm while getting initial credentials
 
Je ne pense pas que mon problème est dans mes fichiers de configurations parce que tout simplement j'arrive a exécuter kinit pour n'import quel utilisateur dans le réseau.  
kinit user@DomainName
 
Est ce que vous pouvez vérifier ma commande s'il vous plait:
j'ai vérifie le SPN que j'ai crée dans le serveur Windows Active Directory en utilisant la commande suivant
C:\>setspn -l spolitis
Registered ServicePrincipalNames for CN=User Name,OU=Corporate,OU=Users,O
U=UK,OU=DomainName,DC=tgptrading,DC=glb,DC=corp,DC=local:
        KERBEROSLINUXSPN/MACHINENAME.domainname:10000
 
dans le serveur Linux:
kinit -k -t /mykeytab.keytab KERBEROSLINUXSPN/MACHINENAME.domainname:10000@domainname
kinit: Cannot find KDC for requested realm while getting initial credentials  
 
Quelqu'un peut comprendre pour quel raison j'aurai cette message.
Merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed