[Résolu ^^'] Monter un partage Windows 2003 sur client Ubuntu

Monter un partage Windows 2003 sur client Ubuntu [Résolu ^^'] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 29-04-2010 à 18:48:21    

Salut à tous !
Dans la catégorie "question tordue :pt1cable: " ( :lol: ), j'en tiens une :
 

Citation :


J'ai un domaine AD, géré par du Windows (2003).
J'ai un serveur de fichier, sous Windows (2003) (nommons-le "fichiers001" ), avec de la gestion de quota, et une identification des utilisateurs par le domaine (bon j'ai aussi un autre serveur de fichiers sur Debian, avec identification sur un LDAP lié au domaine, donc pas taper :bounce: )
Mon domaine AD dispose d'un lien vers un "sous-domaine" (lié) Kerberos.
 
Mon serveur Windows (2003) n'accepte que du AD comme identification (domaine "ad.MYFICTIF1.fr" )
Mes PC clients Ubuntu (8.04 voir 10.04 la semaine prochaine :D ) n'acceptent que Kerberos comme identification (domaine "krb.MYFICTIF1.fr" )
Par politique locale, mon identification peut se faire sur AD comme sur Kerberos (même user/pass pour "ad.MYFICTIF1.fr" et "krb.MYFICTIF1.fr" ) grâce à pam.
 
Je dois connecter des PC clients Ubuntu... vers mon serveur Windows (2003) :heink:


La problématique est posée.
 
Ce que je souhaiterais faire :

Citation :

Créer un script qui serait mis dans le etc/gdm/presession, qui donc ferait le montage à l'ouverture de la session.


 
Mon début de solution : un script, que les utilisateurs lancent dès qu'ils ont besoin d'un fichier sur mon serveur "fichiers001" (Windows) :

mount -t smbfs -o username=$USER //fichiers001/mon_partage$ ~/Mon_Partage


paf 1er soucis : "mount: seul l'usager ROOT peut faire cela"
 
Si je fais directement un sudo mount -t..., ça passe en demandant d'abord mon mot de passe (root de la machine ou "droits root" par sudoers) puis le mot de passe d'une personne qui sera concernée (par contre il changerait de domaine tout seul ? :pt1cable: ). Idem en CIFS.
 
Avec pam_mount, il me demande à l'ouverture de session de taper 2 fois mon mot de passe... donc pas vraiment user friendly le truc :/
Et en plus gère mal les accès (je ne peux modifier un fichier créé depuis mon poste Ubuntu sur le serveur Windows, alors que depuis Windows je peux le faire, et que sur un serveur Debian je peux le faire aussi).
 
Je ne peux créé de fichier .smbcredentials avec le mot de passe de l'utilisateur en clair.
 
Je ne peux pas installer Likewise, même "que" pour 20 machines (pour rester en conformité logicielle dans l'authentification dans un parc de 1o ooo machines Ubuntu).
 
Aie.
Une idée ? éventuellement autre solution mais qui n'impose pas de changement du serveur Windows :o (on m'a dit : "ça fait 6 ans qu'il tourne, alors pas touche" )
 
(éventuellement à déplacer en "pro", mais vu que mes clients sont de l'Ubuntu, et que je souhaite scripter :o ...)


Message édité par bardiel le 07-05-2010 à 16:54:12

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 29-04-2010 à 18:48:21   

Reply

Marsh Posté le 03-05-2010 à 11:59:53    

Reply

Marsh Posté le 03-05-2010 à 12:26:45    

essaies la commande  
 

mount -t cifs -o username=tonuser //servername/share /mnt/tonmontage


 
edit: autant pour moi, je n'ai pas vu que tu avais déjà essayé.
 
Je ne comprends pas bien l'histoire du changement de domaine. En ajoutant dans le fichier /etc/fstab, l'option user sur ton montage, tu peux autoriser d'autres utilisateurs que root.  
 
Chez nous, les machines linux sont intégrées au domaine, ça simplifie énormément les problèmes d'authentification.


Message édité par Hanka le 03-05-2010 à 13:13:06
Reply

Marsh Posté le 03-05-2010 à 17:45:00    

Justement, mon soucis c'est que la machine est déjà sur le même domaine, enfin presque car étant dans un "sous-domaine" Kerberos lié à mon domaine Active Directory :/
Et je me sers d'Active Directory pour gérer mes droits d'accès pour les utilisateurs (tel user à ça, ça et ça, tel autre à ça, ça et ça,...) et gérer les quotas (j'ai pas envie de fusiller mes sauvegardes parce que 20 utilisateurs sur 100 sont "illimités" en espace disque :cry: , donc exit un montage avec un user "générique" avec un fichiers .smbcredentials avec son login et mot de passe valable que pour ce serveur).
 
Et j'ai beau configurer dans tous les sens le pam_mount, il me demande toujours 2 fois le mot de passe de l'utilisateur. Si ce dernier se trompe au 1er, la session ne s'ouvre pas (là ok, normal), mais s'il se trompe au 2ème la session s'ouvre mais pas le montage :pt1cable:  
Et le "1234" ou "azerty" comme mot de passe ça le fera pas pour ne pas se tromper :lol:


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 03-05-2010 à 18:20:11    

bardiel a écrit :

Et j'ai beau configurer dans tous les sens le pam_mount, il me demande toujours 2 fois le mot de passe de l'utilisateur


 
bah vas y postes ta conf ...

Reply

Marsh Posté le 03-05-2010 à 20:59:29    

Juste la partie modifiée de mon pam_mount.conf.xml qui contient mon montage ou la totale ? ( y'a du lourd :pt1cable: )
Pour la base de PAM, on (ceux qui ont crée la base et l'ont déployé) s'est servi en grande partie d'une méthode identique à celle d'ubuntu-fr, avec juste une configuration personnalisée correspondant aux services d'identification.
 
De mon côté j'ai voulu partir sur la méthode expliquée iciConfiguration de pam_mount) mais dans le sens "client ubuntu -> serveur Windows" :

<volume fstype="cifs" server="mon_serveur" path="mon_partage" mountpoint="~/mon_montage" user="*" options="rw,domain=MONDOMAINE,auto,iocharset=utf8,file_mode=775,dir_mode=775,nounix" />


Avec l'option guest, le montage m'est refusé (avec un fichier "lisez-moi" avec un message disant que le montage n'est pas accessible, blablabla...)
A cela s'ajoute un problème de droits (même en 666 je ne peux pas écrire sur un fichier dans mon serveur, bien qu'ayant la place et les droits dessus en lecture/écriture :pt1cable: ), alors quite à ré-inventer la roue, j'en ferais pas une "carrée" et qui roule, elle ! :o  
 
Comme par hasard, c'est le genre de problème souvent trouvé avec PAM (recherche Google sur la question posée à la connexion : "re enter password for pam_mount" ). J'ai déjà fouillé tous les fichiers de config à la recherche de "sufficient", ils sont déjà tous en "required" au minimum :/
La solution de mettre session sufficient pam_localuser.so avant le @include common_pammount change rien.
etc etc...


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 04-05-2010 à 11:50:40    

nan c'est la conf PAM qui m'intéresse ...
 
la ligne qui contient "pam_mount"
Pour ne pas re-saisir le mot de passe, il y a une option magique de PAM : try_first_pass

Reply

Marsh Posté le 04-05-2010 à 15:22:57    

déjà tenté, try_first_pass et use_first_pass :o
 
bon, je rajoute quelques trucs :  
mon GDM (etc/gdm)

Citation :


#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session required        pam_limits.so
@include common-session
session optional        pam_gnome_keyring.so  auto_start
@include common-password
 
@include common-pammount


le common-pammount :

Citation :

# Include this file in every /etc/pam.d/SERVICE you use for login:
# [...]
# @include common-auth
# @include common-session
# [...]
# # added for libpam-mount
# @include common-pammount
#
# Make sure that the common-auth and common-session includes are
# above the common-pammount include (just as in the example above).
 
# replace "optional" with "required" if a user must mount the specified
# volumes, for example the home directory
 
# make sure that there is no PAM module loaded with a "sufficient"
# priority before these entries, else the pam_mount module is not
# executed
 
# for configuration details about different login programs see
# /usr/share/doc/libpam-mount/README.Debian.gz
 
auth       optional   pam_mount.so try_first_pass
session    optional   pam_mount.so try_first_pass


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 04-05-2010 à 17:44:16    

le try_fisrt_pass sur la ligne "session" ne sert à rien
 
fais voir ton common-auth

Reply

Marsh Posté le 05-05-2010 à 11:47:46    

Le common-auth :

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
 
auth [user_unknown=ignore success=done default=ignore] pam_unix.so
 
# Default groups of the user
auth optional pam_group.so
 
# local users must not be authenticated against kerberos  
# check_shadow script test if it is a local user (last parameter is debug)
auth requisite pam_preprofile_all_retcode.so /usr/local/sbin/check_shadow.pl 0
 
# we check is wether the nssldap directory is available or not
# nssldap_survey script change slapd config state if network is down/up
# (last parameter is debug)
auth required pam_preprofile_auth.so /usr/local/sbin/nssldap_survey.pl 1
 
auth [default=ignore success=1] pam_krb5.so use_first_pass
auth [default=done] pam_ccreds.so action=validate use_first_pass
auth [default=done] pam_ccreds.so action=store
 


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 05-05-2010 à 11:47:46   

Reply

Marsh Posté le 05-05-2010 à 13:04:31    

hum ... le [default=done] du pam_ccreds ne m'inspire pas trop ... je me demande s'il n'arrêterait pas l'exécution de la pile pam
 
perso je rajouterai le pam_mount au milieu, dans le common-auth :

Citation :


...
auth [default=ignore success=1] pam_krb5.so use_first_pass
auth       optional   pam_mount.so use_first_pass
auth [default=done] pam_ccreds.so action=validate use_first_pass
...

Reply

Marsh Posté le 05-05-2010 à 13:38:31    

j'ai essayé, toujours la même chose, toujours mon "reenter password for pam_mount" :pt1cable:


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 05-05-2010 à 15:29:35    

"reenter password for pam_mount" c'est toi qui écrit ça comme ça, ou c'est ce qui s'écrit sur la console ou l'écran de login lors de l'identification ?

Reply

Marsh Posté le 05-05-2010 à 15:42:12    

C'est ce qui est marqué sur l'écran de login, et la phrase je la retrouve dans le pam_mount.conf.xml à la toute fin :

<!--
In case the 'session' PAM block does not have the password (e.g. on su
from root to user), it will ask again.
-->
<msg-sessionpw>reenter password for pam_mount:</msg-sessionpw>


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 05-05-2010 à 16:26:46    

bon, bah soit pam_mount est codé avec la pied, soit y'a un soucis avec ta conf PAM
 
parce que ça devrait clairement pas te redemander le mot de passe ...
avec le "use_first_pass", le mot de passe est transmis à chaque module sur toute la chaîne "auth" (bon, je suppose que je n'apprends rien là)
 
du coup, je pense que pour ceux qui disaient sur leurs forums "c'est bon j'ai trouvé" ça devait juste être à force de tatonner avec leur conf pam qu'ils ont fini par la faire marcher ...
 
là je suis désolé mais je ne peux plus trop grand chose pour toi, la conf PAM c'est (pour moi du moins) assez subtile, et il n'est vraiment facile de tester qu'avec la conf sous la main (ce que je n'ai pas) ...

Reply

Marsh Posté le 05-05-2010 à 16:48:34    

D'où mon choix de trouver une solution alternative à pam_mount :o


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 05-05-2010 à 20:08:26    

j'ai bien compris, mais comme j'ai déjà essayé de te l'expliquer, y'a pas 36 solutions ...
 
* soit tu mets le mot de passe dans un fichier => tu ne veux pas
* soit tu passes par PAM pour profiter du fait que cet l'utilisateur lui même qui va saisir son mot de passe => tu n'arrives pas à configurer pam_mount
* soit tu passes par une identification "transparente" à la Kerberos => tu ne veux/peux pas
 
après si tu veux, on peut toujours appeler le génie de la lampe ...

Reply

Marsh Posté le 05-05-2010 à 21:23:09    

fighting_falcon a écrit :

* soit tu mets le mot de passe dans un fichier => tu ne veux pas


je met quoi comme couple identifiant/mot de passe ?
-> celui d'un utilisateur local du serveur, et je perds tout moyen de contrôler qui met quoi dessus et je désactive les quota ? :o  
-> celui de l'utilisateur en lui-même, mais alors n'importe qui (enfin presque) peut trouver le mot de passe de mes utilisateurs ? :pfff:  

fighting_falcon a écrit :

* soit tu passes par PAM pour profiter du fait que cet l'utilisateur lui même qui va saisir son mot de passe => tu n'arrivesn  pas à configurer pam_mount


ben ce n'est pas que je n'y arrive pas, c'est que c'est infaisable :cry: (si tu avais fait une recherche Google sur les termes du message qui m'est renvoyé, tu ne dirais pas ça)

fighting_falcon a écrit :

* soit tu passes par une identification "transparente" à la Kerberos => tu ne veux/peux pas


ben justement, c'est ce que je souhaite :pt1cable: mon client ubuntu s'identifie déjà sur un "sous-domaine" lié au domaine de mon serveur...
 
si c'est pour critiquer et ne pas faire avancer les choses, autant ne rien mettre s'il te plaît :pfff:


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 05-05-2010 à 21:56:03    

bardiel a écrit :


je met quoi comme couple identifiant/mot de passe ?
-> celui d'un utilisateur local du serveur, et je perds tout moyen de contrôler qui met quoi dessus et je désactive les quota ? :o  
-> celui de l'utilisateur en lui-même, mais alors n'importe qui (enfin presque) peut trouver le mot de passe de mes utilisateurs ? :pfff:  


tu es parano ou quoi ? est ce que j'ai dis quelque part que tu ne voulais pas pour de mauvaises raisons ? je fais un constat de la situation, point.
 

bardiel a écrit :


ben ce n'est pas que je n'y arrive pas, c'est que c'est infaisable :cry: (si tu avais fait une recherche Google sur les termes du message qui m'est renvoyé, tu ne dirais pas ça)


tu disais toi même avoir trouvé des posts ou la conclusion était "ça marche"
 

bardiel a écrit :


ben justement, c'est ce que je souhaite :pt1cable: mon client ubuntu s'identifie déjà sur un "sous-domaine" lié au domaine de mon serveur...
 
si c'est pour critiquer et ne pas faire avancer les choses, autant ne rien mettre s'il te plaît :pfff:


arrête la mauvaise foi s'il te plait ...
je t'ai donné comme info (dans le fil que tu as supprimé ...) que la commande mount.cifs avait une option -sec=krb5 qui permet justement de passer par une identification kerberos.
Tu veux quoi de plus, que je te dise explicetement écris un script à tel endroit avec tel contenu ...
Faut tester, et ça dépend complètement de ton installation !!

Reply

Marsh Posté le 06-05-2010 à 12:34:24    

Je ne fais que constater aussi, sur d'autres sites de mon travail, ils sont arrivés à la même conclusion que toi, avec la création d'un utilisateur local sur le serveur, avec éventuellement un encryptage par gpg (sans passphrase). Résultat bof bof pour les raisons que je t'ai citées. Chose que je ne peux me permettre dans l'environnement où je bosse (sécurité, gros sous, etc... au bout d'un moment, si on n'est pas carré sur l'identification, "oh ben zut on a perdu 3ooo€ de matos" :pfff: ).
Cela m'étonne même qu'ils n'aient pas déjà eu des problèmes :heink:  
 

Citation :

tu disais toi même avoir trouvé des posts ou la conclusion était "ça marche"


Et si tu les avais lu, tu te demanderais si :
- soit ce sont des mythos ( :pt1cable: youhou j'ai inventé le mouvement perpétuel)
- soit ils ont changés de principe de fonctionnement, pour faire un utilisateur local sur leur serveur.
 
Pour ceux que j'avais contacté pour exposer un peu quels réglages ils ont fait, pour tous ceux qui m'ont répondu (pas les mythos donc, qui mettent "RTFM" ) c'est le choix "utilisateur local" qu'ils ont pris... à contre-coeur.
 
Sur mon système l'option -sec=krb5 n'est pas reconnu :/ seul le NTLM (par défaut quoi) permet de m'authentifier par rapport au serveur sur le domaine où travaille habituellement mes machines Ubuntu. Pour l'avoir testé dans un autre environnement (cad machine ubuntu sur serveur Debian), l'option -sec=krb5 ne permet pas de connaître le propriétaire des fichiers autres que les siens :pt1cable:  
Et j'avais préféré supprimer le fil car cela partait (comme maintenant) sur des questions totalement autres :/


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 06-05-2010 à 12:52:04    

bardiel a écrit :

... pour tous ceux qui m'ont répondu ... c'est le choix "utilisateur local" qu'ils ont pris... à contre-coeur.


 

bardiel a écrit :

Sur mon système l'option -sec=krb5 n'est pas reconnue ...


 
Bon, là ok ... si tu ne nous dis pas tout aussi
Je ne pouvais pas deviner tout ça !!!
 
Bah du coup, je sèche ...

Reply

Marsh Posté le 06-05-2010 à 23:40:13    

pam_mount, j'en avais fait mais sur une authentification non-kerberos. C'est pas un problème entre pam_mount et kerberos en fait ?
 
Tu as essayé d'authentifier tes users avec kerberos, ssns faire d'automontage ? Tu peux récupérer des tickets avec kinit ? Si oui, tu dois pouvoir faire un montage post login, sans demande de mot de passe ?


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 07-05-2010 à 11:13:52    

roscocoltran a écrit :

Tu as essayé d'authentifier tes users avec kerberos, ssns faire d'automontage ?


Sans mes "bricolages" (avec l'insertion de pam_mount), ça le fait déjà.
 
Pour le kinit, il me redemande mon mot de passe (d'utilisateur du réseau) :/
En faisant klist, j'ai pourtant déjà un ticket qui doit expirer 10h après la connexion (la création du ticket) :pt1cable:  
 
De plus je peux sans soucis faire un montage vers un serveur Debian sans redemande du mot de passe, mais pas sur ce pù$1n de serveur Windows  :cry:  
 
Mon krb5.conf :

Citation :

[libdefaults]
 default_realm = KRB.MON-DOMAINE.FR
 
# The following krb5.conf variables are only for MIT Kerberos.
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true
 
# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
 
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
 
# The following libdefaults parameters are only for Heimdal Kerberos.
 v4_instance_resolve = false
 v4_name_convert = {
  host = {
   rcmd = host
   ftp = ftp
  }
  plain = {
   something = something-else
  }
 }
 fcc-mit-ticketflags = true
 
[realms]
 
[domain_realm]
 
[login]
 krb4_convert = true
 krb4_get_tickets = false



---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 07-05-2010 à 14:19:34    

Normalement le ticket krb devrait te donner accès à la ressource réseau sans demande de mot de passe, c'est juste ? Si oui alors peut-être que le serveur d'authentification et le serveur de fichier ne sont pas dans le même "realm" ? Je connais pas encore assez krb pour debbuger en ligne de commande, navré. [:spamafote]


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 07-05-2010 à 16:52:59    

roscocoltran a écrit :

Normalement le ticket krb devrait te donner accès à la ressource réseau sans demande de mot de passe, c'est juste ? Si oui alors peut-être que le serveur d'authentification et le serveur de fichier ne sont pas dans le même "realm" ? Je connais pas encore assez krb pour debbuger en ligne de commande, navré. [:spamafote]


Justement, je l'indiquais au début :

Citation :

Mon domaine AD dispose d'un lien vers un "sous-domaine" (lié) Kerberos.


Donc "virtuellement" ils sont ensembles, puis que pour aller sur Kerberos ce dernier doit aller chercher ses billes (identifiants) sur AD :/
 
Je vais mettre "Résolu" aussi, jouer le "RTFM" etc etc... :o  
Ils se contenteront de mettre 2 fois leur mot de passe au démarrage, et basta :D  
 
(Sinon petite connerie : kinit redemande le mot de passe de l'utilisateur, c'est une action normale chez lui :whistle: n'empêche que j'ai déjà mon ticket :/ )


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 07-05-2010 à 21:36:50    

bardiel a écrit :

Sinon petite connerie : kinit redemande le mot de passe de l'utilisateur, c'est une action normale chez lui :whistle: n'empêche que j'ai déjà mon ticket


 
Nan ça c'est normal ...
La philosophie de base de Linux c'est que chaque commande doit faire un truc simple mais le faire bien
kinit c'est pour "initialiser" Kerberos donc pour récupérer un ticket, il se fout complètement que tu en aies déjà un ...
 
et ensuite ce n'est (forcément) le mot de passe de l'admin qu'il te demande, c'est le mode passe de l'utilisateur que tu lui donnes :
kinit user@real.tld
 
Par défaut, sans utilisateur spécifié, c'est effectivement l'admin ...
 
Si tu veux tester la validité de ton ticket acquis, tu as klist par exemple ..

Reply

Marsh Posté le 08-05-2010 à 12:06:43    

C'est un peu une porte grande ouverte que tu as enfoncé :jap:  

bardiel a écrit :

(Sinon petite connerie : kinit redemande le mot de passe de l'utilisateur, c'est une action normale chez lui :whistle: n'empêche que j'ai déjà mon ticket :/ )


 :whistle:  
Un klist me donne directement mon ticket, crée au login de l'utilisateur :D  
 
Mais bon, je clos toute recherche dessus, pas que cela m'enchante, mais bon je vais pas y passer 3 semaines j'ai passablement d'autres choses à voir au boulot :

Citation :

Je vais mettre "Résolu" aussi, jouer le "RTFM" etc etc... :o  
Ils se contenteront de mettre 2 fois leur mot de passe au démarrage, et basta :D


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed