Proxy SQUID avec authentification AD sous Ubuntu 9.10

Proxy SQUID avec authentification AD sous Ubuntu 9.10 - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 19-05-2010 à 09:57:46    

Salut,
 
Je suis étudiant en 2ème année école supérieur d'informatique. Je suis actuellement en stage dans un lycée où je dois installé un proxy qui doit filtrer l'accès internet des élèves, avec une authentification AD. Sur le réseau existant, le domaine est géré par un serveur en Windows Server 2003.
 
J'ai donc suivi ce tutoriel qui m'a paru être adapté au travail que l'on m'a demandé : http://doc.ubuntu-fr.org/tutoriel/ [...] _directory
 
J'ai monté mon serveur avec un Ubuntu 9.10.
 
J'ai donc installé tous les paquets, puis paramétrer le fichier krb5.conf comme indiqué, en essayant de comprendre à quoi servait chaque paramètre du fichier. Dèja, 1er soucis, je ne peux pas mettre le nom du serveur dans le krb5.conf, sinon, Kerberos ne m'initialise pas les tickets. En mettant l'adresse ip du serveur, ça marche...
 
Contenu du krb5.conf

Code :
  1. [libdefaults]
  2.         default_realm = DOMAINE.LOCAL
  3. clock_skew = 300
  4.         ticket_lifetime = 24000
  5.         default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
  6.         default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
  7.         dns_lookup_realm = false
  8.         dns_lookup_kdc = true
  9. [realms]
  10.         DOMAINE.LOCAL = {
  11.                 kdc = SERVEUR.DOMAINE.LOCAL                         //Si a ces 2 parmètres, je met l'ip du serveur,
  12.                 admin_server = SERVEUR.DOMAINE.LOCAL          //Kerberos initialise bien les tickets, sinon message d'erreur...
  13.  default_domain = SERVEUR.DOMAINE.LOCAL
  14.                 }
  15. [domain_realm]
  16.         .domaine.local = DOMAINE.LOCAL
  17.         domaine.local = DOMAINE.LOCAL


 
Message d'erreur renvoyé si je met le nom du serveur à la place des IPs

Code :
  1. kinit: Cannot resolve network address for KDC in realm DOMAINE.LOCAL while getting initial credentials


 
Par la suite, si je met les IPs, et que ça marche à peu prés, (en tout cas, pas de message d'erreur, et ma klist contient un ticket), je passe à la configuration de Samba. Je remplie le fichier smb.conf, comme dit dans le tutoriel, mais au moment de faire la commande net ads join -U Administrateur, ça me renvoi un message d'erreur...
 
Contenu de smb.conf

Code :
  1. [global]
  2.    workgroup = DOMAINE.LOCAL
  3.    realm = DOMAINE.LOCAL
  4.    security = ads
  5.    encrypt passwords = yes
  6.    password server = SERVEUR.DOMAINE.LOCAL
  7.    idmap uid = 10000-20000
  8.    idmap gid = 10000-20000
  9.    winbind enum groups = yes
  10.    winbind enum users = yes
  11.    winbind use default domain = yes


 
Message d'erreur reçu après la commande net ads join -U Administrateur :

Code :
  1. Failed to join domain: failed to find DC for domain DOMAINE.LOCAL


 
Ca fait 2 jours que je bataille, impossible de trouver une solution. Et comme je débute avec Linux et le réseau, ça facilite pas la tache...
 
Merci d'avance pour votre aide !

Message cité 1 fois
Message édité par T-Kila64 le 20-05-2010 à 09:52:25

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 09:57:46   

Reply

Marsh Posté le 19-05-2010 à 10:05:02    

Ca semble être un problème de DNS, as-tu bien l'adresse de ton DC dans le fichier /etc/resolv.conf ?

Reply

Marsh Posté le 19-05-2010 à 10:22:51    

Oui, je viens de vérifier.
Resolv.conf :

Code :
  1. # Generated by NetworkManager
  2. nameserver 192.168.XXX.XXX


 
C'est bien l'IP de mon serveur DNS.
Je ne connaissais pas ce fichier, mais je trouve que y'a pas grand chose dedans. C'est normal ?
 
Merci


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 10:27:19    

Oui c'est normal, il contient simplement la liste des serveurs DNS.

Reply

Marsh Posté le 19-05-2010 à 10:33:22    

Ok.
 
J'avais pensé à un problème de DNS. Il n'y a pas de DHCP sur le réseau, les poste sont paramétré à la main. Et j'ai les mêmes paramètres que les postes des élèves qui arrivent a accéder à un ordinateur du réseau via son nom... donc pas de raisons que ça ne marche pas sur le serveur...


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 10:39:25    

Essaye un nslookup serveur.domaine.local.

Reply

Marsh Posté le 19-05-2010 à 10:49:41    

Voila ce que donne le nslookup :

Code :
  1. Server:  192.168.XXX.XXX
  2. Address: 192.168.XXX.XXX#53
  3. Name: serveur.domaine.local
  4. Address: 192.168.XXX.XXX


 
Ça m'a l'air bon non ? En tout cas, les IPs que j'ai masqué sont celles du DC qui fait DNS, et c'est bien son petit nom que ça renvoi... A quoi correspond le #53 ?


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 10:51:13    

Oui c'est bon :)
Le #53 correspond au port du service DNS qui écoute par défaut sur le port 53 en UDP.

Reply

Marsh Posté le 19-05-2010 à 10:53:35    

Ok.
 
Merci de ton aide Gavrinis !


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 11:05:54    

T'as essayé en désactivant Avahi ?

Code :
  1. sudo update-rc.d -f avahi-daemon remove

Reply

Marsh Posté le 19-05-2010 à 11:05:54   

Reply

Marsh Posté le 19-05-2010 à 11:07:27    

Ben non, je viens de taper ta commande, je dois reboot ? Ou je ressaye direct ?


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 11:10:49    

Tu réessayes.

Reply

Marsh Posté le 19-05-2010 à 11:17:24    

Encore le même message d'erreur...


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 11:48:19    

Si ça peut aider, même en mettant l'adresse ip dans le smb.conf, dans la champ password server, toujours ce message d'erreur...


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 19-05-2010 à 11:53:56    

Et nouvelle info, j'ai trouvé cette commande : net ads join -U administrateur -S 192.168.XXX.XXX
Lorsque je la tape dans la console pour se connecter à l'AD, nouveau message d'erreur :

Code :
  1. Failed to join domain: failed to connect to AD: Operations error


 
Ca veut dire quoi "operations error" ? Qu'il a contacté le serveur, mais n'a pas pu se connecter ?


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 09:02:52    

UP !!


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 09:06:29    

Bonjour,
Merci de ne pas remonter de topic tant qu'il est en première page de l'index. Ceci dans le but de donner les mêmes "droit" de visibilité à chaque topic et de ne pas être "pollué" par des posts "up" inutiles.
 
Merci.

Reply

Marsh Posté le 20-05-2010 à 10:06:13    

Dans ton krb5.conf tu as mis les Ip ou les noms DNS ?
Mets les nom DNS si tu as un soucis par la suite il ne vient pas de ce fichier ... mais de ta résolution DNS
Ton 1er message d'erreur est assez explicite.
 
Peux tu nous mettre le fichier complet avec les vrais champs ?
J'ai un doute sur un truc ..
 
Au passage tu ping SERVEUR.DOMAINE.LOCAL ?


Message édité par boobaka le 20-05-2010 à 10:14:26

---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 10:16:09    

Voila le contenu du krb5.conf :
 

Code :
  1. [libdefaults]
  2.         default_realm = SAINTDOMINIQUE.LOCAL
  3. clock_skew = 300
  4.         ticket_lifetime = 24000
  5.         default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
  6.         default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
  7.         dns_lookup_realm = false
  8.         dns_lookup_kdc = true
  9. [realms]
  10.         SAINTDOMINIQUE.LOCAL = {
  11.                 kdc = 192.168.120.245
  12.                 admin_server = 192.168.120.245
  13.  default_domain = SERVEUR.SAINTDOMINIQUE.LOCAL
  14.                 }
  15. [domain_realm]
  16.         .saintdominique.local = SAINTDOMINIQUE.LOCAL
  17.         saintdominique.local = SAINTDOMINIQUE.LOCAL


 
Actuellement, j'ai mis le IPs, et ça marche. Mais si je met les noms machines, ça marche plus... J'ai pensé au problème de DNS, mais si tu regardes, j'ai fait des manips, et il a l'air de répondre et d'être bien paramétré...
 
Sur le réseau, on arrive aller sur un poste client depuis un autre poste client en tapant son nom dans l'explorateur windows, ça veut bien dire qu'il est là et qu'il répond non ?
 
Merci
 
EDIT : En mettant SERVEUR.SAINTDOMINIQUE.LOCAL à la place des IPs, voila le message d'erreur en tapant kinit Administrateur :

Code :
  1. kinit: Cannot resolve network address for KDC in realm SAINTDOMINIQUE.LOCAL while getting initial credentials


Message édité par T-Kila64 le 20-05-2010 à 10:20:02

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 10:19:18    

De ton serveur si tu fais  
ping SERVEUR.SAINTDOMINIQUE.LOCAL  
ca te donne quoi ?

Citation :

[realms]
        SAINTDOMINIQUE.LOCAL = {
                kdc = 192.168.120.245
                admin_server = 192.168.120.245
 default_domain = SERVEUR.SAINTDOMINIQUE.LOCAL


 
default_domain = SERVEUR.SAINTDOMINIQUE.LOCAL
C'est ton domaine à indiquer pas une machine


Message édité par boobaka le 20-05-2010 à 10:20:54

---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 10:21:09    

Code :
  1. ping: unknown host SERVEUR.SAINTDOMINIQUE.LOCAL


 
Par contre je le ping via son adresse ip ...


Message édité par T-Kila64 le 20-05-2010 à 10:22:34

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 10:22:40    

ahah problème DNS donc

Citation :

Par contre je le ping via son adresse ip ...


Oui mais c'est loin de suffire si tu veux l'intégrer au domaine.
 
C'est quoi ton serveur DNS


Message édité par boobaka le 20-05-2010 à 10:23:45

---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 10:32:22    

Le serveur AD. Plus haut, j'ai mis le résultat d'une commande nslookup serveur.saintdominique.local, et ça me donne les infos de mon DNS...
 
Voila ce que donne le nslookup :

Code :
  1. Server:  192.168.120.245
  2. Address: 192.168.120.245#53
  3. Name: serveur.saintdominique.local
  4. Address: 192.168.120.245


Message édité par T-Kila64 le 20-05-2010 à 10:37:33

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 10:45:43    

Oui mais si tu attaques ton DNS par l'IP ...  
que te donnes un nslookup SERVEUR.SAINTDOMINIQUE.LOCAL  
commande a effectué sur le Linux


---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 10:51:09    

Ça me donne la même chose ...

Code :
  1. root@PROXY:/etc# nslookup SERVEUR.SAINTDOMINIQUE.LOCAL
  2. Server:  192.168.120.245
  3. Address: 192.168.120.245#53
  4. Name: SERVEUR.SAINTDOMINIQUE.LOCAL
  5. Address: 192.168.120.245


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 10:55:00    

Et si tu ping SERVEUR.SAINTDOMINIQUE.LOCAL il ne resoud pas ?
ton /etc/resolv.conf est bien 192.168.120.245 ?


---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 10:56:55    

Oui, oui. Voila ce qu'il contient :

Code :
  1. # Generated by NetworkManager
  2. nameserver 192.168.120.245


 
Mais pas possible de faire ping SERVEUR.SAINTDOMINIQUE.LOCAL ...


Message édité par T-Kila64 le 20-05-2010 à 10:57:50

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:03:03    

bof, y a un truc qui m'échappe .. c'est quoi comme Windows le DNS ?
Ajoute  
192.168.120.254 SERVEUR.SAINTDOMINIQUE.LOCAL
dans ton /etc/hosts
C'est une verrue, pas une solution.


---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 11:04:26    

Le DNS est sous Windows 2003 Server...
 
EDIT : Heu.. en rajoutant la ligne dans /etc/hosts, ça devrait marcher maintenant le ping SERVEUR.SAINTDOMINIQUE.LOCAL ?


Message édité par T-Kila64 le 20-05-2010 à 11:07:06

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:09:05    

Bah oui c'est pour uen résolution local des noms ...


---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 11:09:57    

Ben ça donne ça maintenant ...
 

Code :
  1. root@PROXY:/etc# ping SERVEUR.SAINTDOMINIQUE.LOCAL
  2. PING SERVEUR.SAINTDOMINIQUE.LOCAL (192.168.120.254) 56(84) bytes of data.
  3. From PROXY.local (192.168.120.246) icmp_seq=1 Destination Host Unreachable
  4. From PROXY.local (192.168.120.246) icmp_seq=2 Destination Host Unreachable
  5. From PROXY.local (192.168.120.246) icmp_seq=3 Destination Host Unreachable
  6. ^C
  7. --- SERVEUR.SAINTDOMINIQUE.LOCAL ping statistics ---
  8. 6 packets transmitted, 0 received, +3 errors, 100% packet loss, time 5119ms
  9. , pipe 3


 
Ça me parait de plus en plus bizarre ... On lui dit en dur que 192.168.120.245 = SERVEUR.SAINTDOMINIQUE.LOCAL, donc plus de DNS trouver l'ip du serveur, c'est ça ? Y'a pas de raison qui trouve pas ...


Message édité par T-Kila64 le 20-05-2010 à 11:11:56

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:13:05    

C'est quoi cette machine : 192.168.120.254
c'est quoi l'@IP de ton poste linux ( ifconfig -a )


---------------
www.google.fr  
Reply

Marsh Posté le 20-05-2010 à 11:13:59    

t'as inversé les chiffres ! c'est .245 et non .254  :whistle:

Reply

Marsh Posté le 20-05-2010 à 11:14:55    

Oups... 254, c'est une adresse vide. J'avais pas fait attention, erreur de frappe. Je corrige de suite et je reteste.
L'ip du poste linux : 192.168.120.246


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:16:51    

J'ai corrigé mon erreur, désolé. Ça marche mieux maintenant, ça ping bien avec le nom du serveur.
 
EDIT : Donc mainteant, j'ai un ticket Kerberois avec les noms machines dans le krb5.conf, mais lorsque je fais net ads join -U Administrateur, nouveau message d'erreur a propos du DNS...
 

Code :
  1. root@PROXY:/etc/samba# net ads join -U Administrateur
  2. Enter Administrateur's password:
  3. Using short domain name -- SAINTDOMINIQUE
  4. Joined 'PROXY' to realm 'saintdominique.local'
  5. No DNS domain configured for proxy. Unable to perform DNS Update.
  6. DNS update failed!


Message édité par T-Kila64 le 20-05-2010 à 11:21:56

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:22:42    

OK.
Maintenant commentes à l'aide de # la ligne que tu viens d'ajouter dans le fichiers /etc/hosts (celle correspondant à 192.168.120.245 SERVEUR.SAINTDOMINIQUE.LOCAL)
 
Et ajoutes dans ton /etc/resolv.conf la ligne suivante (en haut du fichier) : search SAINTDOMINIQUE.LOCAL
 
Et fais un : /etc/init.d/network restart
 
et maintenant lances : ping SERVEUR
 
Ça marche ?

Reply

Marsh Posté le 20-05-2010 à 11:27:35    

Pour faire ta commande /etc/init.d/network restart, il dit : bash: /etc/init.d/network: Aucun fichier ou dossier de ce type.
 
Qui se rapproche de ça, dans init.d, j'ai networking, network-interface, et network-manager...


---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:28:45    

alors networking ^^

Reply

Marsh Posté le 20-05-2010 à 11:31:11    

Ca marche !!!!
 

Code :
  1. root@PROXY:/# /etc/init.d/networking restart
  2. * Reconfiguring network interfaces...                          Ignoring unknown interface eth0=eth0           [ OK ]
  3. root@PROXY:/# ping SERVEUR
  4. PING SERVEUR.SAINTDOMINIQUE.LOCAL (192.168.120.245) 56(84) bytes of data.
  5. 64 bytes from 192.168.120.245: icmp_seq=1 ttl=128 time=0.171 ms
  6. 64 bytes from 192.168.120.245: icmp_seq=2 ttl=128 time=0.194 ms
  7. ^C64 bytes from 192.168.120.245: icmp_seq=3 ttl=128 time=0.157 ms
  8. --- SERVEUR.SAINTDOMINIQUE.LOCAL ping statistics ---
  9. 3 packets transmitted, 3 received, 0% packet loss, time 10194ms
  10. rtt min/avg/max/mdev = 0.157/0.174/0.194/0.015 ms


 
Ça a fait quoi ce que tu m'as fait faire en fait ?
 
Merci !
 
EDIT : J'ai la même erreur que avant en fait en faisant kinit Administrateur ...


Message édité par T-Kila64 le 20-05-2010 à 11:36:20

---------------
Mon Feed-back /// Mon Topic Achat/Ventes
Reply

Marsh Posté le 20-05-2010 à 11:34:29    

Tu peux eventuellement ajouter dans ton /etc/hosts, une nouvelle ligne
192.168.120.245  SERVEUR.SAINTDOMINIQUE.LOCAL  
 
Le réponse à la commande hostname doit te  répondre avec le FQDN
 
Par defaut tu cherches dans le domaine SAINTDOMINIQUE.LOCAL  avec la modif précedente


Message édité par boobaka le 20-05-2010 à 11:35:28

---------------
www.google.fr  
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed