domaine w2k et station/server mandrake 10 - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 28-09-2004 à 14:39:01
tu lances l'utilitaire nommé drakauth, et dans la méthode d'authnetification tu sélection SAMBA ou AD.
cet utilitaire a été réécrit pour la 10.1 et devrait marcher mieux.
Ton domaine AD sous 2000 peut être en mode natif si tu veux.
Cependant, tu dois autoriser dans les stratégies de sécurité du domaine les connexions non sécurisées/non cryptées afin que kerberos ne soit pas utilisé mais l'ancien protocol de NT4 ( NTLM ) lorsque ta station linux ira s'authentifier.
Marsh Posté le 28-09-2004 à 21:20:47
Tu dois modifier le fichier /etc/krb5.conf et ajouter ton serveur Windows2000 comme realm
Pour plus de details regardes ici :
http://us1.samba.org/samba/docs/ma [...] ads-member
Cette doc n'existe pas (encore) en francais, désolé...
Marsh Posté le 29-09-2004 à 02:51:08
hellice a écrit : Tu dois modifier le fichier /etc/krb5.conf et ajouter ton serveur Windows2000 comme realm |
M E R C I!!!!!
je teste ca des demain!
t'inquietes pas, je suis english compliant.... <:-)
Marsh Posté le 30-09-2004 à 19:23:28
ok! ca avance!!!
grace a ce que j'ai lu sur ce texte, j'ai pu linker ma machine au domaine, c'est a dire qu'elle se trouve dans le domaine d'un point de vue ID reseau. mais je n'arrive toujours pas a faire l'authentication via l'AD. il me dit, a chaque fois que j'essaye de "relinker" la machine, que l'ecryption du kerberos ne correspond pas...
que faire? quelqu'un a une idee??? paskeu jusque la, vous m'avez bien aide, la....
merci!!!!
Marsh Posté le 30-09-2004 à 21:35:55
Refais un ptit tour sur le lien :
Les common errors ne t'aident pas ?
Dans /etc/krb5.conf il y a bien ces lignes :
default_enctypes = des-cbc-crc des-cbc-md5
default_enctypes_des = des-cbc-crc des-cbc-md5
Tu peux sinon essayer les librairies kerberos Heimdall (au lieu des MIT)
Marsh Posté le 30-09-2004 à 21:40:10
EDIT : Oups ...
Marsh Posté le 04-10-2004 à 00:04:06
disons que j'ai plusieurs problemes, soudain...
1- la commande kinit n'existe pas sur ma machine, et je n'ai aucune idee ni de pourquoi, ni de comment on l'installe....
2- j'ai remodifie le fichier kbr5.conf, comme c'est indique, masi ca ne donne rien...
3- c'est quoi, cette histoire de librairies heimdall ou mit??????
merci!!
Marsh Posté le 04-10-2004 à 11:27:50
mickael de psagot>
1.
2.
3. ce sont les différentes implémentations du protocole Kerberos.
Marsh Posté le 05-10-2004 à 00:26:58
merci de ta reponse!!!
comment je verifie quelle version de kbr5 j'ai et comment j'en change (newbies inside...)
t'as une idee pour le kinit?
Marsh Posté le 05-10-2004 à 14:31:20
d'après une discussion que j'ai eu sur cooker-server seule la MIT est fournie.
cela devrait marcher, c'est à toi de conf correctement soit le linux, soit tes DC widows.
avec la 10.1, drakauth le propose de base. ( mais il me semble qu'il le faisait déjà en partie sur la 10.0 ... pas sûr )
Marsh Posté le 05-10-2004 à 18:34:48
...
j'ai reutilise drkauth...
il m'a linke ma machine au domaine, je veux dire que tout c'est passe sans accroc...
MAIS!:
1-mon authentication se fait toujours sans passer par le DC
2-j'ai essaye un petit su - administrator, il m'a repondu d'aller me faire foutre sans vaseline et avec du verre pile...
3-j'ai meme plus access a mon server samba depuis windows....
4-le wbinfo qui marchait juste avant que je reboot ma machine nunux ne fonctionne plus...
5-je peux meme plus faire de su pour passer en root....
bref que du bonheur...
une idee???
Marsh Posté le 05-10-2004 à 19:13:32
tu as ajouté le compte de al machine sur le DC ?
peut être que celui de la 10.0 est buggé ... faudra que je vérifie. si tu pouvais tester avec la 10.1
dans les logs, tu n'as rien de spécial ? ( côté AD et côté linux )
Marsh Posté le 05-10-2004 à 20:39:53
le compte de la machine s'ajoute tout seul au dc. c'est meme le seul truc qui marche....
a mon avis, vu le nombre de modifs que j'ai faites de ci de la pour que ca fonctionne enfin, et que je n'ai quasiment rien compris a ce que j'ai fait (j'ai suivi les conseil sur forum/tutos/autres..), j'ai du faire une jolie bouilie assez indigeste....
je sens que je vais reinstaller tout...
Marsh Posté le 06-10-2004 à 12:26:37
essaie la 10.1 stp. des corrections ont été apportées.
si tu pouvais même tester la cooker ce serait parfait. cela permettrais de débugger la bête pour que la 10.1 official marche de manière transparente.
Marsh Posté le 06-10-2004 à 13:20:51
je viens de reinstaller une 10... desole, j'avais pas eu le temps de voir ton message...
j'ai directment utilise drakauth
il s'est mis a autentifier mon user qui, par miracle, avec le meme username, via mon dc. joie... mais:
je peux plus me logger en root, ce qui est quand meme genant...
j'ai essaye en creant un user root sur le dc, mais ca ne donne rien....
avant que je DL la 10.1, as tu une idee???
Marsh Posté le 06-10-2004 à 13:24:32
ben normalement il devrait utiliser /etc/paswwd si il ne trouve pas.
donne le contenu de :
/etc/nsswitch.conf
/etc/pam.d/system-auth
Marsh Posté le 06-10-2004 à 13:24:49
c'est cool!!! meme quand je change le password du user (aldric, en l'occurence), cela se erpercute sur l machine nunux... ca me plait!!! <:-)
mais bon.. il ne me reste plus qu'a reussir a me logger en root, et c'est bon....
enfin, presque...
Marsh Posté le 06-10-2004 à 13:55:40
Code :
|
system-auth:
Code :
|
system-auth-winbind
Code :
|
j'ai mis ce dernier aussi. on sait jamais...
merci a toi!!!!
Marsh Posté le 06-10-2004 à 14:25:10
cela me semble correcte ...
si tu ouvres un terminal et que tu fais "su -" pour te connecter en root, est ce que cela marche ?
Marsh Posté le 06-10-2004 à 16:47:54
bah non. c'est ca mon prob... snif... <:-\ il me dit incorrect password...
je t'assure, si j'arrive faire marcher ca, sans en faire le serment, je pete un tuto bien classe bien range!
Marsh Posté le 06-10-2004 à 16:58:24
as tu des infos dans les logs ? cela pourrais être utils ( /var/log/messages )
une solution simple, tu bootes en mode single, tu modifies /etc/syslog.conf et tu ajoutes tout à la fin la ligne suivante :
|
puis tu rebootes après avoir sauvegardé.
Cela va envoyé tous les log vers le terminal 12 ( CTRL+ALT+F12 )
Marsh Posté le 09-10-2004 à 19:21:31
j'ai du mal a noter ce qu'il me renvoie, vu que j'ai un message d'erreur par seconde me disant "neighboor table overflow"... alors c'est pas pratique....
bref, il me dit en substance que c'est un probleme de windbind:
get_trust_pw could not fetch trust account password for my domain olympus.com
request failed nt_status_cant_acces_domain_info, pam error was 4, nt error was nt_status_cant_acces_domain_info
voila, en substance....
une idee?? ?<:-\
remarque, la je viens de rebooter la machine en verbose mode, et il me dit que winbind failed to stop... en rouge, et tout...
a mon avis, vu que winbind est responsable de l'authetication face au DC, le pb viens de la....
<:-\ mais comment le resoudre...?
Marsh Posté le 09-10-2004 à 19:36:28
est ce que windbind est bien lancé ?
il me semble qu'il faut faire correspondre le compte root avec un autre compte ...
Marsh Posté le 09-10-2004 à 21:15:16
oui, il est lance. il ne se ferme pas, mais il est lance!
j'ai cree un autre compte root sur mon DC...
mais maintenant, meme mes comptes "courants" ne fonctionnent plus...
<:-(
Marsh Posté le 11-10-2004 à 22:57:43
bon... on reprend... on va deja eviter de reinstaller pour la nienieme fois...
dites: comment je fait pour que l'authetication se refasse via la SAM, ou le truc qui correspond, sous nunux???
merci!!!!
Marsh Posté le 11-10-2004 à 23:11:52
quelques tutos qui ont l'air pas mal (désolé, je peux pas faire mieux ) pour joindre un serveur linux à un domaine W2K :
http://forum.2037.org/viewtopic.ph [...] 62f7446226
les autres semblent plus anciens :
http://forum.2037.org/viewtopic.php?t=1525
http://forum.2037.org/viewtopic.ph [...] sc&start=0
http://forum.2037.org/viewtopic.php?t=10445
Marsh Posté le 14-10-2004 à 15:38:16
re tout le monde!!
bon, j'ai suivi le tuto du dessus (merci mjules). plusieurs choses:
-1 le fichier kdc.conf ne se trouve pas chez moi a /var/kerberos/krb5kdc/kdc.conf, mais a /etc/kerberos/krb5kdc/kdc.conf . est-ce normal???
-2 il continue de me dire, lors du kinit administrator@olympus.com, qu'il nbe trouve pas de kdc pour mon realm.
alors, tout d'abord, c'est quoi, un kdc????? deuzio, faut que je fasse quoi??? <:-(
vous voulez un copier/coller d'un fichier? krb5.conf? kdc.conf?
merci!!!
Marsh Posté le 14-10-2004 à 16:17:49
1. à mon avis oui. les fihiers de conf sont censé être dans /etc et non dans /var
Marsh Posté le 14-10-2004 à 16:19:17
c'est deja une bonne nouvelle... c'est donc une erreur du tuto (grumbl...)
une idee pour le 2eme point?
Marsh Posté le 14-10-2004 à 16:30:38
je n'ai jamais touché à kerberos, donc je ne sais pas.
et il me faut attendre next week avant que je ne teste justement ce genre de fonctionallités ( domaine AD + client mdk 10.1 ). j'attends al sortie de la Official et de conf correctement mon VMWare
Marsh Posté le 14-10-2004 à 16:48:20
je sens qu'a partir de la semaine prochaine, on va bien rigoler, tout les deux! <:-)
Marsh Posté le 14-10-2004 à 17:27:01
Le KDC sous Win2K est le Key Distribution Center et comme son nom l'indique il a pour rôle de distribuer les TGT (ticket granting ticket) lors du process d'authentification kerberos.
Il y a un srv record dans ton DNS qui pointe vers le/les DC hébergeant le KDC. Pas de KDC, pas d'authentification !
Marsh Posté le 14-10-2004 à 18:26:16
retour au probleme d'encryptions pas compatibles.... je n'arrive pas a linker ma machine au domain....
Marsh Posté le 15-10-2004 à 02:00:12
CAAAAAAAAAA MAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAARCHE!!!!
je sais pas encore ce qeu j'ai fait pour que ca marche, mais ca marche!!!
si!!!
j'ai authetication via mon dc, j'ai pu linker ma machine sur le domain!!!!
ca marche!! joie!!!!
vais me prendre un whisky, moi!
j'ai un seul petit probleme, enfin pour l'instant...
il refuse de me lance kde avec les user du domain....
icewn, il me le lance sans bobo, mais pas kde...
ou puis trouver des info pour localiser le probleme????
pendant ce temps, moi, des demain, je recherche quelles sont les manip pour que ca marche, et je pete un tuto....
d'ailleurs, pourquoi y'a pas une sous classe tuto, sur ce forum????
bon, moi, whisky!!!!
merci les namy!!!
Marsh Posté le 15-10-2004 à 02:16:36
par contre, lorsque je tente de me logger sur le server samba a partir d'une station winodws, l'authetication est refusee...
elle est pas gagnee, la guerre....
Marsh Posté le 15-10-2004 à 12:58:16
pour lancer kde, il faut à mon avis qu'il y a un rep perso où kde puisse copier ses fichiers ...
Marsh Posté le 28-09-2004 à 13:52:24
salut les gurus
c'est pas que je suis tetu, c'est juste que j'aime pas quand ca marche pas.....
JE CHERCHE TOUJOURS A LINKER UNE STATION LINUX A MON DOMAINE W2K.
alors, j'ai commence le yoga, j'ai arrete le cafe, j'ai commence une tri-therapie (tranxen/prozac/lexomil), et je m'efforce d'avancer....
voila ou j'en suis:
j'ai lu sur un site que je sais meme plus lequel, que pour arriver a faire ca, il fait demarer un service qui porte le doux et rassurant nom de "winbind"
apres 3 jours de bataille, et en collant ces ligne dans mon smb.conf, qui n'est autre que le fichier de configuration du serveur samba si j'y ai compris plus que je ne le pense:
winbind enum users = yes
winbind gid = 10000-20000
winbind enum groups = yes
winbind uid = 10000-20000
winbind cache time = 15
winbind use default domain = yes
password server = *
name resolve order = hosts lmhosts wins bcast
j'ai trouve ca la:
http://lists.linux.org.au/archives [...] 00033.html
bon, je sais pas ce que ca veut dire, mais ca marche, le service est lance... joie, gros pas en avant...
j'arrive, grace a la commande net join, ou a webmin (voila un utilitaire qu'il est cool...) a faire admettre ma machine dans mon active directory. malgre tout, je recois cette erreur, et je ne peux toujours pas autentifier mes user face au DC....
libads/kerberos.c:ads_kinit_paswword(133)
kerberos_kinit_password Administrator@olympus.com failed: cannot find KDC for requested realm
joined domain olympus.
..failed! see the output above for the reason why
voila... tout est dit....
quelqu'un a t'il une idee, avant que je me suicide par overdose de vache qui rit?
merci les djeunz!!!
---------------
"afin de prolonger tes jours sur cette terre que l'eternel ton D-ieu te donne."