Proxy SQUID avec authentification AD sous Ubuntu

Proxy SQUID avec authentification AD sous Ubuntu - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 11-04-2012 à 14:53:52    

Bonjour à tous.
 
Avant toute chose, sachez que j'ai entièrement parcouru le thread suivant :  
 
http://forum.hardware.fr/hfr/OSAlt [...] 1066_1.htm
 
où la personne avait exactement le même problème que moi (au début en tout cas), mais même en utilisant les mêmes solutions, rien n'a changé de mon côté.
 
Je suis en train de suivre le tuto suivant :  
 
http://doc.ubuntu-fr.org/tutoriel/ [...] _directory
 
pour réaliser une authentification AD via mon proxy squid (que je n'ai pas encore installé/configuré).
 
Je suis bloqué à l'étape où je dois demander un ticket avec la commande kinit, qui me retourne ceci :  
 

Citation :

sudo kinit Administrateur
kinit: Realm not local to KDC while getting initial credentials


 
Voici mon fichier krb5.conf :  

Citation :


[libdefaults]
        default_realm = DOMAIN-NAME.LOCAL
        clock_skew = 300
        ticket_lifetime = 24000
        default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
        default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
        dns_lookup_realm = false
        dns_lookup_kdc = true
[realms]
       DOMAIN-NAME.LOCAL = {
                kdc = dc-name
                admin_server = dc-name
                default_domain = DOMAIN-NAME.LOCAL
        }
[domain_realm]
        .domain-name = DOMAIN-NAME
        domain-name = DOMAIN-NAME
 


 
Je pense que le problème pourrait venir d'une conf DNS, non?
 
Des idées?
 
EDIT : j'ai un peu avancé, maintenant mon krb5.com est comme ça :  

Citation :


[libdefaults]
        default_realm = DOMAIN-NAME
        clock_skew = 300
        ticket_lifetime = 24000
        dns_lookup_realm = true
        dns_lookup_kdc = true
[realms]
        DOMAIN-NAME = {
                kdc = DC-NAME
                admin_server = DC-NAME
                default_domain = DOMAIN-NAME
        }
[domain_realm]
        .domain-name = DOMAIN-NAME
        domain-name = DOMAIN-NAME


 
Kerberos me demande maintenant le mot de passe Administrateur lorsque j'essaie de créer un ticket, mais il plante toujours :

Citation :


kinit Administrator@DOMAIN-NAME
Password for Administrator@DOMAIN-NAME:  
kinit: KDC reply did not match expectations while getting initial credentials


 
EDIT 2 et solution :  
 
Il suffit de demander le ticket comme ça :  
 

Citation :


kinit Administrator@DC-NAME


Message édité par sennin31 le 11-04-2012 à 16:52:49
Reply

Marsh Posté le 11-04-2012 à 14:53:52   

Reply

Marsh Posté le 11-04-2012 à 17:04:03    

Bon en fait un autre problème s'est posé plus loin :  
 
voilà ce que j'ai maintenant :  
 

Citation :

kinit Administrator@DC-NAME
Password for Administrator@DC-NAME:  
bgimet@ubuntu:~$ sudo net ads join -U Administrateur
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: This operation is only allowed for the PDC of the domain.


 
J'ai pas compris là, et quand je fais un sudo klist, il me dit ça :  
 

Citation :

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)


 
Cela veut il dire que mon klist n'a pas marché? Pourtant je n'ai plus de message d'erreur...
 
EDIT :  
 
Bon en fait il fallait lancer la demande de ticket en sudo pour qu'il fonctionne...
 
Par contre toujours le même message d'erreur quand j'essaie de joindre le domaine...
 
 
Edit 2 : petit à petit, l'oiseau fait son nid
 
J'ai réussi à passer cette étape, le problème venait du fait qu'il manquait la ligne  
 

Citation :

  security = ADS


 
dans mon fichier smb.conf.
 
Maintenant j'en suis là :  
 

Citation :

bgimet@ubuntu:~$ sudo net ads join -U Administrateur
Enter Administrateur's password:
Failed to join domain: failed to lookup DC info for domain 'DC-NAME' over rpc: Logon failure


 
Effectivement quand je fais un nslookup de DC-NAME, pas d'informations sur le DC..mais je sais pas pourquoi....
 


Message édité par sennin31 le 11-04-2012 à 17:52:14
Reply

Marsh Posté le 12-04-2012 à 11:53:35    

Problème résolu en modifiant le fichier de conf de samba.
 
Aujourd'hui j'en suis là :  
 

Citation :

bgimet@ubuntu:~$ sudo net join -U Administrator -S DOMAIN-NAME
Enter Administrator's password:
[2012/04/12 11:50:38.972691,  0] libads/sasl.c:821(ads_sasl_spnego_bind)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect to AD: Invalid credentials
ADS join did not work, falling back to RPC...
Enter Administrator's password:
[2012/04/12 11:50:48.196182,  0] utils/net_rpc_join.c:406(net_rpc_join_newstyle)
  Error in domain join verification (credential setup failed): NT_STATUS_INVALID_COMPUTER_NAME
   
Unable to join domain DIMAIN-NAME.


 
Je pense que le problème vient du fichier de conf samba qui a cette tête pour le moment :  
 

Citation :

[global]
   workgroup = DOMAIN-NAME
   realm = FDQN
   password server = fdqn
   security = ads


 
Si quelqu'un passe par là et a une idée pour m'aider je suis preneur!
 
 

Reply

Marsh Posté le 12-04-2012 à 15:00:39    

En bidouillant un peu j'ai l'impression d'avoir avancé, mais j'ai cette erreur :
 

Citation :

sudo net ads join -U Administrator%MOTDEPASSE -W DOMAIN-NAME -S DOMAIN-NAME
[2012/04/12 14:44:53.133784,  0] libads/sasl.c:821(ads_sasl_spnego_bind)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect to AD: Invalid credentials


 
Help!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed