[migration win2k => samba + ldap + krb]

[migration win2k => samba + ldap + krb] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 29-07-2004 à 10:57:06    

salut
on va migrer notre systeme win2k server (ad + exchange) vers du libre donc linux + samba + openldap + krb5 ... je voudrais savoir si quelqu'un a fait ça avant, ou si kelkun aurait un bon  howto
merci

Reply

Marsh Posté le 29-07-2004 à 10:57:06   

Reply

Marsh Posté le 29-07-2004 à 23:33:29    

dès qu'il s'ait de linux, le meilleur compagnon est www.google.fr :) (tu pourras trouver quelques tutos intéressants sur www.lea-linux.org)
 
bye ;)

Reply

Marsh Posté le 30-07-2004 à 12:08:30    

hum ça m'étonnerait de trouver ça dans lea linux étant donné que c vraiment pas évident et que c assez nouveau tout ça :/

Reply

Marsh Posté le 30-07-2004 à 12:28:26    

pour la partie samba + ldap, tu trouveras des docs là -> http://linsec.ca/bin/view/Main/WebHome
 
par contre pour la partie kerberos ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 30-07-2004 à 12:29:11    

et c'est plutôt http://www.google.fr/linux qu'il faut utiliser


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 30-07-2004 à 14:29:58    

bin en fait avant de me lancer dans le paramétrage et la galère j'aimerais aussi avoir les avis de gens qui l'ont fait et qui pourraient me dire ce qui est risqué, ce qui fonctionne, ce qui ne fonctionne pas, ce qu'on gagne et ce qu'on perd au passage ! car il faudra que j'argumente aussi un peu :)

Reply

Marsh Posté le 30-07-2004 à 14:33:52    

je ne suis pas sûr concernant le fait que cela marche ... sans problème.
 
tu defrais plutôt demander l'expertise d'une SSL spécialisée.
 
Autant la partie Samba + LDAP passe, autant la partie kerberos ...
 
de plus par koi remplace tu Exchange ? as tu un logiciel avec une aussi grande intégration avec AD ?
 
il faut que ton logiciel utilise la base LDAp et que le schéma utilisé dans ta base LDAP soit compatible pour l'auth et ton logiciel de mail.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 30-07-2004 à 14:41:15    

bin en fait on n'utilise que très peu de fonctionnalités exchange. mon but serait de faire des boites mails en imap, puis de basculer tout l'info sur les contacts vers une forme exploitable au niveau LDAP, puis après, je pourrais utiliser soit des webapps qui se connectent à du ldap soit n'importe quel autre logiciel .
je ne comprends pas bien en fait surtout le role de kerberos dans tout ca... j'imagine que c pour des droits d'exécution de certaines applications réseau  du style ODBC et autres ? je vois pas trop la !


Message édité par k666 le 30-07-2004 à 14:41:51
Reply

Marsh Posté le 30-07-2004 à 14:58:04    

Kerberos est utilisé pour l'authentification par Active Directory. Avec les tickets kerberos, AD peut certifier l'origine et l'identité du client qui demande l'accès à une ressource.
 
si tu vires kerberos, tes clients doivent alors utiliser NTLM qui était le protocol utilisé par NT4 et normalement celui qu'implémente Samba.
 
Ce pendant NTLM est moins sûr que Kerberos.
 
Et il se peut que les dernières versions d'Exchange requiers Kerberos too


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 30-07-2004 à 15:04:54    

oki merci pour ces précisions:jap:
j'ai réussi à faire monter un domaine basique dans le mini réseaud e chez moi, et les pc s'authetifient sur mon serveur samba controlleur de domaine... très très basique mais j'ai le droit de balourder des scripts d'ouverture de session et autres choses de ce style.
par contre ici au boulot on a une gestion un peu plus fine des droits d'utilisation du domaine, par exemple, limiter les droits d'installation de logiciels par utilisateur/machine .... ce genre de choses se gèrent à quel nvieau ? au niveau des scripts de démarrage ? au niveau de kerberos ?

Reply

Marsh Posté le 30-07-2004 à 15:04:54   

Reply

Marsh Posté le 30-07-2004 à 17:12:32    

au niveau d'active directory plutôt avec les group policy.
 
tu vas être obligé de venir à la méthode NT4 avec poledit & cie


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 31-07-2004 à 11:12:19    

k666 a écrit :

salut
on va migrer notre systeme win2k server (ad + exchange) vers du libre donc linux + samba + openldap + krb5 ... je voudrais savoir si quelqu'un a fait ça avant, ou si kelkun aurait un bon  howto
merci


eh bien bon courage mon ami, vraiment bon courage ...
 
tu va passer d'une archi faite pour, à un assemblage de briques pas prevues pour , enfin chacun sons caca : c un conseil.
 
Si tu maitrises Kerberos, l'archi AD, n°usn, les timestamp, bref les mecanismes AD de 2000 tu te douterais que c quasi imposible d'arriver aux memex resultats sous linux avec ldap samba et ... un postfix ..  
 
c toi qui vois


Message édité par fioul666 le 31-07-2004 à 11:16:15
Reply

Marsh Posté le 31-07-2004 à 11:18:00    

Dark_Schneider a écrit :

Kerberos est utilisé pour l'authentification par Active Directory. Avec les tickets kerberos, AD peut certifier l'origine et l'identité du client qui demande l'accès à une ressource.
 
si tu vires kerberos, tes clients doivent alors utiliser NTLM qui était le protocol utilisé par NT4 et normalement celui qu'implémente Samba.
 
Ce pendant NTLM est moins sûr que Kerberos.
 
Et il se peut que les dernières versions d'Exchange requiers Kerberos too


 
tout a fait , je ne te parles meme pas de la gestion des USN entre serveurs .... les replications ... l'authentification en 3 points ... les acl .. bref en passant sous linux tu perdras bcp de confort : c une evidence
 
enfin bref ca sent le sapin.

Reply

Marsh Posté le 31-07-2004 à 11:18:43    

Dark_Schneider a écrit :

au niveau d'active directory plutôt avec les group policy.
 
tu vas être obligé de venir à la méthode NT4 avec poledit & cie


 
super !!!
 
quand on migre en gal c pour mettre une archi apportant plus  ..mais bon

Reply

Marsh Posté le 31-07-2004 à 11:43:33    

k666 a écrit :

oki merci pour ces précisions:jap:
j'ai réussi à faire monter un domaine basique dans le mini réseaud e chez moi, et les pc s'authetifient sur mon serveur samba controlleur de domaine... très très basique mais j'ai le droit de balourder des scripts d'ouverture de session et autres choses de ce style.
par contre ici au boulot on a une gestion un peu plus fine des droits d'utilisation du domaine, par exemple, limiter les droits d'installation de logiciels par utilisateur/machine .... ce genre de choses se gèrent à quel nvieau ? au niveau des scripts de démarrage ? au niveau de kerberos ?


 
ahahah, mon pauvre, que de galere en vue ...
le samba que je connais simule les fonctionnalité de NT4 ... on est a 2003 now (ca reste de l'AD 2000 dessous , mais qd meme !!)
 
Pour le prix je comprends
Pour la philosophie : 100% d'accord (:d)
Pour ta place .... -300% d'accord : tu cours a la cata.

Reply

Marsh Posté le 31-07-2004 à 12:43:45    

bof on n'utilise presque pas les fonctionnalités AD ... je pense que c jouable pour l'authentification etc..., pour le partage de fichiers/imprimantes etc... apres fo voir pour les VPN et pour la réintégration de données exchange dans un groupware basé web ... ya uniquement des trucs que je sais pas si ça va passer: les sources ODBC qui nécessitent authentification je pense que la ça se base sur kerberos :/
enfin voila c une ptite boite avec tout qui pour l'instant repose sur du freebsd / win2k server et qu'on veut passer vers du linux

Reply

Marsh Posté le 31-07-2004 à 13:02:49    

k666 a écrit :

bof on n'utilise presque pas les fonctionnalités AD ... je pense que c jouable pour l'authentification etc..., pour le partage de fichiers/imprimantes etc... apres fo voir pour les VPN et pour la réintégration de données exchange dans un groupware basé web ... ya uniquement des trucs que je sais pas si ça va passer: les sources ODBC qui nécessitent authentification je pense que la ça se base sur kerberos :/
enfin voila c une ptite boite avec tout qui pour l'instant repose sur du freebsd / win2k server et qu'on veut passer vers du linux


 
ds ce cas , ok : si Ad est tres peu utilisé , car sous 2K c l'epine dorsale de l'archi .... d'ou ma grosse inquietude qd a ton projet !!
 
Mais bon la ca passe


Message édité par fioul666 le 31-07-2004 à 13:03:02
Reply

Marsh Posté le 10-08-2004 à 11:27:27    

bon bah j'ai un peu avancé sur le sujet (peu hein :p)
j'ai lu pas mal de docs; à priori ça devrait le faire;
il faut juste que j'arrive à avoir un schéma (somme de schémas en fait) qui soit compatible avec celui de active directory, donc notamment contenant inetOrgPerson et autres (comme samba?) ... après sous windows il ya des outils pour dumper les données sous format ldif, notamment ldifde qui crache toute la structure de l'annuaire... il ya aussi des outils pour dumper les bàl exchange sous format PST et il existe une lib unix (libpst) qui reconvertit les pst sous format maildir ou autres. reste à savoir comment récupérer toutes les infos sur les contacts et autres se trouvant encore dans exchange/ad ... si vous avez une idée ce serait cool, je suppose qu'il faudra taper un ldifde sur un noeud particulier ... enfin voila...
sinon j'ai utilisé comme groupware webbased "more groupware" qui a l'avantage d'avoir une interface très simple à prendre en main, d'avoir un webmail IDENTIQUE à outlook, avec agenda partagé etc... maintenant reste à savoir si j'arrive à le faire joindre l'annuaire ldap et qu'il utilise l'authentification globale ldap comme ça les données pourront être protégées... voila en gros je continue d'avancer, et ce serait cool si y'en a qui ont des avis (même si je sais que microsoft = mesquinnité pour le partage de savoir, ya qu'à chercher un bon forum de support windows ;) ;) ;) )
 
enfin help un peu qd meme :p


Message édité par k666 le 10-08-2004 à 11:29:19
Reply

Marsh Posté le 30-09-2004 à 23:05:24    

bonjours a tous je voudrais savoir si quelqu'un c'est comment faire pour migrer toute la base AD (schema, mot de passe,ect..) vers openldap merci.

Reply

Marsh Posté le 01-10-2004 à 15:09:36    

http://us1.samba.org/samba/docs/ma [...] ads-member
 
je pense qu'il faut lui faire devenir membre du domain AD avant. ensuite quand il est synchronisé, tu dois pouvoir le transformer en PDC et désactiver les controleurs de domaines 2k


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 05-10-2004 à 07:20:33    

est ce que samba peut remplacer AD et devenir un annuaire (et quid de ldap)??

Reply

Marsh Posté le 05-10-2004 à 08:17:45    

fioul : tg, je bosse la dedans et je dit que ca se fait ...  par contre on perd les gpo  
 
Postfix, samba, squid peuvent se connecter à un annuaire ldap ... avec une interface d'administration du ldap (je bosse sur ce genre de projet) ca se fait ...
 
maintenant, c'est sur, ce n'est pas trivial ....

Reply

Marsh Posté le 05-10-2004 à 14:37:43    

On dira que linux cela donne plutôt : NT4 + LDAP
 
fonctionnalités d'un NT4 avec une base LDAP. On peut répliquer les bases LDAP et faire certains services s'auth sur l'annuaire LDAP.
 
C'est à mis chemin entre NT4 et AD ( 2k/2k3 )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 05-10-2004 à 15:02:12    

GUG > par les gpo tu veux dire la sécurité et les droits d'utilisation un peu plus fins, du style droit d'installation sur workstation, modif de base de registre etc.... ?

Reply

Marsh Posté le 05-10-2004 à 15:07:04    

non, les Group Policies.
 
tu peux faire vraiment pas mal de trucs via les GPO concernant la sécurité, les restrictions ( machines, utilisateurs et programmes pour les programmes le supportant, ... )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 05-10-2004 à 15:09:46    

certe, mais j'ai vu de nombreuses entreprises où la polituqe était de laisser les utilisateurs administrateurs de leur machine ... donc pas d'interet des gpo ...
 
maintenant d'autres entreprises les utilisent énormément ... et c'est dommage que ce ne soit pas implémenté sous samba (je ne critique pas Samba ni rien)

Reply

Marsh Posté le 05-10-2004 à 15:20:17    

GUG> dans le premiers ce sont de mauvais admins !!! si vraiment un logiciel a besoin des droits d'admin alors ce logiciel est mal foutou.
 
cependant si tu mets ces utilisateurs dans une OU, tu peux appliquer des restrictions dessus et ce même si ils sont adminitrateurs. le trucs c'est qu'ils soient Administrateurset pas Administrateurs du domaine.
 
pire ( ou mieux ), l'application qui a besoin des droits admins. tu la monitore avec des outisl spécialisées pour voir ce qu'elle fait.
Si elle a besoin de taper des clés dans la BdR autres que HKEY_CURRENT_USER, alors tu changes les droits/ACL des clés qu'elle utilisent en disant que le groupe auxquel appartient ces utilisateurs ont les droits en écritures.
Même choses si il tapes dans son "program files" au lieu de taper dans  "Documents & settins/utilisateurs/Application data"
 
avec un peu de manip, tu peux faire l'appli marcher sans accorder les droits admins.
 
impossioble d'implemé;enter les GPO sous Samba. trop complexe.
 
il y a une forte interaction avec AD donc ssamba ne pourra le faire que vissé à LDAP sachant que LDAP ne supporte pas tout ce que fais AD.
ensuite il faut pour lancer un utilitaire qui fasse les GPO sachant que ce sont des clés de la BdR. c'est vraiment trop, trop compliqué.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 05-10-2004 à 15:21:45    

Je suis bien d'accord avec toi :)  
mais par exemple à Degremont la politique de la boite est de laisser tous les utilisateurs administrateurs de leur poste  
(ce qui pose des soucis au support technique mais ca tout le monde s'en fout ...) et j'ai jamais dit que c'etait de bon admins ;)


Message édité par GUG le 05-10-2004 à 15:23:41
Reply

Marsh Posté le 05-10-2004 à 15:23:01    

>il y a une forte interaction avec AD donc ssamba ne pourra le faire que vissé à LDAP sachant que LDAP ne supporte pas tout ce que fais AD.
ensuite il faut pour lancer un utilitaire qui fasse les GPO sachant que ce sont des clés de la BdR. c'est vraiment trop, trop compliqué.
 
je disais ca comme ca ;) je ne me suis pas renseigné plus avant ;)
 
est ce qu'avec des scripts passés au loggin on peut arriver à une chose potable dans la restriction des droits and co ?


Message édité par GUG le 05-10-2004 à 15:24:31
Reply

Marsh Posté le 05-10-2004 à 15:52:26    

La plupart des GPO ne sont rien de plus que des modifs sur la base de registre des stations, ca ce script sans prob oui.
 
Bizarre comme projet, je ne vois vraiment aucun avantage a la manip. Remplacer exchange ok pkoi pas a la limite on peut invoquer le prix des CAL, mais virer AD non c'est ridicule... eventuellement si ct pas deja en place...
Il n'y a pas mieux qu'active directory pour manager un parc de machines windows 2k/xp.
Je soupconne une meconnaissance certaine d'AD pour envisager de le remplacer par autre chose, surtout la partie sur kerberos... a la limite tant mieux, ca veut dire que vous n'avez pas une utilisation avancé d'AD, ca ne vous manquera pas et les fonctionnalitées de base vous suffiront.
Vous vous emmerdez au boulot ou quoi pour sortir un projet pareil? :D

Reply

Marsh Posté le 05-10-2004 à 15:54:56    

tu peux, je pense via le netlogon + script de démarrage, faire des fichiers .reg qui s'exécuteront et qui empêcheront l'utilisateur de faire des choses particulières, mais c'est un peu de la bidouille quand même ... sinon la solution dont parlait Dark est faisable: créer des groupes locaux, sur chacune des workstation, avec des droits bien prédéfinis .. puis après faire en quelque sorte que l'utilisateur se loguant sur la machine appartienne à ce groupe là; et du coup tu as une sorte de sécurité au niveau utilisateur. mais l'inconvénient, c qu'il faut passer sur chacune des machines, et si modif il y a à faire, il faut aussi tout se retaper !

Reply

Marsh Posté le 05-10-2004 à 16:24:02    

Knives : je travaille dans une SSLL (terme à la mode) et on a des samba/ldap pour authentifié des clients windows, donc non je m'emmerde pas ....
 
>Je soupconne une meconnaissance certaine d'AD pour envisager de le remplacer par autre chose
Ah bah je suis pas une brute en AD, loin de la ;)
 
k666 : la première solution est envisageable (créer des scripts de loggin) mais la deuxième non.

Reply

Marsh Posté le 05-10-2004 à 16:27:06    

Passer sur toutes les machines non. Ajouter des groupes, modifier des droits sur des fichiers et sur le registre ca se fait tres bien a travers le reseau.
 
Mais faut tester toutes les applis et voir les droits qu'il va falloir ajouter aux utilisateurs pour qu'elles marchent.
Le probleme sous Windows c'est que le debut du developement de beaucoup d'applications remonte a l'epoque Win 9x ou il n'y avait pas de droits. La plupart des devs se foutent totalement des droits necessaires a leur applis et font un joli readme qui dit "si t'es admin ca marche".

Reply

Marsh Posté le 05-10-2004 à 16:32:35    

k666> poledit. c'est la meileure solution. fais des .pol dans lesquelles les restcitions sont définies par utilisateurs/groupe voire machine. met dans le NETLOGON et cela se fera tout seul.
 
pour faire des .pol il te faudra :
- soit une machine NT4/2000 pour les .pol des clients 2000
- soit une machine 9x pour les .pol des clients 9x
 
le truc c'est de mettre en place le serveur samba avec winbind qui marche. ton client qui sera utilisé pour le .pol est authentifié sur le serveur samba.
Grace à winbind il peut récupérer la liste des utilisateurs/groupes et donc ton poledit pourra fonctionner correctement. Pour un 9x il ne faut pas oublier de lui dire de récupérer la liste des utilisateurs sur le domaine.
Une fois poledit installé ( dispo dans les Reskit ), tu le lance et applique tes restriction. Si il te manque des adm, tu les chopes sur internet ( fais vite car le support NT4 est fini donc ils ne traineront pas longtemps sur le site de MS ).  
Une fois fais, tu sauvegardes le .pol. Il doit avoir un nom précis : ntconfig.pol pour client NT ( NT4/2k/XP ) et config.pol pour client 9x.
tu le place dans le NETLOGON, et le tour est joué.
 
quand ton utilisateur se connecte, Windows cherche un .pol dans NETLOGON, si il existe, il cherche si il y a des restriction pour la machine, puis les groupes et enfin l'utilisateur.
Souvent tu le feras par groupes et pour des cas spécifiques pour des utilisateurs spécifiques, tu feras en plus une restriction utilisateur.
 
plus d'infos :
http://www.linux-france.org/~eprigent/
http://samba.2037.org/documentation.php


Message édité par Dark_Schneider le 06-10-2004 à 11:55:50

---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 05-10-2004 à 16:38:04    

GUG a écrit :

Knives : je travaille dans une SSLL (terme à la mode) et on a des samba/ldap pour authentifié des clients windows, donc non je m'emmerde pas ....

Ah mais j'avais bien compris et je n'en doute pas une seconde, je m'adressais a k666 en fait ;)  

Reply

Marsh Posté le 05-10-2004 à 23:05:11    

flag :)
 
le sujet m'interesse
 
interessant le coup de poledit !

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed