Puis j'ai passé la commande de join :
# net join -w MON_DOMAIN -U totoadmin
Puis j'ai passé la commande de join :
# net join -w MON_DOMAIN -U totoadmin
Puis j'ai passé la commande de join :
# net join -w MON_DOMAIN -U totoadmin
Nicolas MICHEL wrote:Puis j'ai passé la commande de join :
# net join -w MON_DOMAIN -U totoadmin
Je peux me tromper, je n'ai jamais beaucoup utilisé cette commande (sauf
une fois quand je cherchais un truc) vu que je joins plutôt des Mac OS X
Server que des clients à des domaines AD et que dans ce cas, il y a un
outil dédié. Mais ta commande ne devrait-elle pas plutôt ressembler à un
truc comme ça (je la fais bavarde) :
# net join ADS MEMBER -U totoadmin -w MON_DOMAIN
De plus, je n'ai pas le souvenir que cette commande soit suffisante côté
kerberos, elle ne doit pas créer le principal pour le service sur le
serveur ni ramener la keytab.
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Puis j'ai passé la commande de join :
# net join -w MON_DOMAIN -U totoadmin
Je peux me tromper, je n'ai jamais beaucoup utilisé cette commande (sauf
une fois quand je cherchais un truc) vu que je joins plutôt des Mac OS X
Server que des clients à des domaines AD et que dans ce cas, il y a un
outil dédié. Mais ta commande ne devrait-elle pas plutôt ressembler à un
truc comme ça (je la fais bavarde) :
# net join ADS MEMBER -U totoadmin -w MON_DOMAIN
De plus, je n'ai pas le souvenir que cette commande soit suffisante côté
kerberos, elle ne doit pas créer le principal pour le service sur le
serveur ni ramener la keytab.
Nicolas MICHEL wrote:Puis j'ai passé la commande de join :
# net join -w MON_DOMAIN -U totoadmin
Je peux me tromper, je n'ai jamais beaucoup utilisé cette commande (sauf
une fois quand je cherchais un truc) vu que je joins plutôt des Mac OS X
Server que des clients à des domaines AD et que dans ce cas, il y a un
outil dédié. Mais ta commande ne devrait-elle pas plutôt ressembler à un
truc comme ça (je la fais bavarde) :
# net join ADS MEMBER -U totoadmin -w MON_DOMAIN
De plus, je n'ai pas le souvenir que cette commande soit suffisante côté
kerberos, elle ne doit pas créer le principal pour le service sur le
serveur ni ramener la keytab.
De plus, je n'ai pas le souvenir que cette commande soit suffisante côté
kerberos, elle ne doit pas créer le principal pour le service sur le
serveur ni ramener la keytab.
C'est juste mais le kerberos est très bien réglé par le plugin du
Directory Services, tout est généré automatiquement et ça fonctionne
bien. C'est en rpc que j'ai des problèmes...
Merci Laurent :)
De plus, je n'ai pas le souvenir que cette commande soit suffisante côté
kerberos, elle ne doit pas créer le principal pour le service sur le
serveur ni ramener la keytab.
C'est juste mais le kerberos est très bien réglé par le plugin du
Directory Services, tout est généré automatiquement et ça fonctionne
bien. C'est en rpc que j'ai des problèmes...
Merci Laurent :)
De plus, je n'ai pas le souvenir que cette commande soit suffisante côté
kerberos, elle ne doit pas créer le principal pour le service sur le
serveur ni ramener la keytab.
C'est juste mais le kerberos est très bien réglé par le plugin du
Directory Services, tout est généré automatiquement et ça fonctionne
bien. C'est en rpc que j'ai des problèmes...
Merci Laurent :)
Mmm, le plugin configure le fichier permettant de s'intégrer dans le
royaume Kerberos, mais il n'intègre aucuns services kerbérisés dans le
royaume.
Mmm, le plugin configure le fichier permettant de s'intégrer dans le
royaume Kerberos, mais il n'intègre aucuns services kerbérisés dans le
royaume.
Mmm, le plugin configure le fichier permettant de s'intégrer dans le
royaume Kerberos, mais il n'intègre aucuns services kerbérisés dans le
royaume.
Laurent Pertois wrote:Mmm, le plugin configure le fichier permettant de s'intégrer dans le
royaume Kerberos, mais il n'intègre aucuns services kerbérisés dans le
royaume.
Oui, c'est aussi ce que je pensais.
Pourtant ça marche :)
Laurent Pertois <laurent.pertois@alussinan.org> wrote:
Mmm, le plugin configure le fichier permettant de s'intégrer dans le
royaume Kerberos, mais il n'intègre aucuns services kerbérisés dans le
royaume.
Oui, c'est aussi ce que je pensais.
Pourtant ça marche :)
Laurent Pertois wrote:Mmm, le plugin configure le fichier permettant de s'intégrer dans le
royaume Kerberos, mais il n'intègre aucuns services kerbérisés dans le
royaume.
Oui, c'est aussi ce que je pensais.
Pourtant ça marche :)
Cela dit, si je me souviens bien, également, la commande net join est
optionnelle, le plugin AD de Directory Services doit déjà ajouter la
machine dans l' AD...
Cela dit, si je me souviens bien, également, la commande net join est
optionnelle, le plugin AD de Directory Services doit déjà ajouter la
machine dans l' AD...
Cela dit, si je me souviens bien, également, la commande net join est
optionnelle, le plugin AD de Directory Services doit déjà ajouter la
machine dans l' AD...
Ce qu'il y a sur OSX client c'est que si tu actives bêtement le partage
smb, même en ayant fait le bind sur l'AD avec le plugin, samba ne peux
authentifier que les utilisateurs locaux ayant un passwd dans la base
locale.
Donc à moins de répliquer tous les utilisateurs en local, pas moyen de
faire un petit serveur samba.
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Faut dire que samba est un système paralèle, avec son dc, son winbind
sous linux, bref ils ont refait plein de chose à leur sauce.
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ce qu'il y a sur OSX client c'est que si tu actives bêtement le partage
smb, même en ayant fait le bind sur l'AD avec le plugin, samba ne peux
authentifier que les utilisateurs locaux ayant un passwd dans la base
locale.
Donc à moins de répliquer tous les utilisateurs en local, pas moyen de
faire un petit serveur samba.
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Faut dire que samba est un système paralèle, avec son dc, son winbind
sous linux, bref ils ont refait plein de chose à leur sauce.
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ce qu'il y a sur OSX client c'est que si tu actives bêtement le partage
smb, même en ayant fait le bind sur l'AD avec le plugin, samba ne peux
authentifier que les utilisateurs locaux ayant un passwd dans la base
locale.
Donc à moins de répliquer tous les utilisateurs en local, pas moyen de
faire un petit serveur samba.
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Faut dire que samba est un système paralèle, avec son dc, son winbind
sous linux, bref ils ont refait plein de chose à leur sauce.
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Par contre, ça ne doit pas faire du kerberos si tu ne
transfères pas les keytabs créées sur l'AD. Ca doit plutôt utiliser le
classique login/password.
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ok :)
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Par contre, ça ne doit pas faire du kerberos si tu ne
transfères pas les keytabs créées sur l'AD. Ca doit plutôt utiliser le
classique login/password.
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ok :)
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Par contre, ça ne doit pas faire du kerberos si tu ne
transfères pas les keytabs créées sur l'AD. Ca doit plutôt utiliser le
classique login/password.
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ok :)
Laurent Pertois wrote:Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Tu veux dire, par rapport à Open Directory ?
Faudrait voir comment s'y prends Mac OS X serveur pour que samba aille
s'authentifier sur l'AD via le plugin directory access, s'il le fait.
En tout cas sur Mac OS X client, de base ça ne passe pas et c'est
dommage. J'en vien même à regretter pam et winbind, pour dire :)
Par contre, ça ne doit pas faire du kerberos si tu ne
transfères pas les keytabs créées sur l'AD. Ca doit plutôt utiliser le
classique login/password.
Bon, ça tourne. Voici la procédure :
1) faire le bind sur l'AD avec le plugin Directory Services.
2) modifier smb.conf comme suit (je ne liste que les modifs):
[global]
; auth methods = guest opendirectory
; passdb backend = opendirectorysam guest
security = ADS
realm = MON.DOMAINE.COM
password server = 192.42.198.12
server string = le-hostname
; client ntlmv2 auth = no
client ntlmv2 auth = yes
client plaintext auth = no
netbios name = le-hostname
preferred master = No
local master = No
domain master = No
wins server = 192.42.198.12
A noter que le "password server" ne marche pas très très bien.
On pourrait théoriquement lui en spécifier plusieurs séparés par une
virgule, et finir par * pour qu'il aille aussi partout où il peut.
Mais ensuite il est tout perdu le pauvre.
A noter encore que le netbios name ne peut pas, sauf erreur, être le
même que le nom mis dans le plugin du Directory Srevices, sinon ça entre
en conflict.
3) se loguer en tant qu'utilisateur de l'AD pour avoir un ticket
kerberos puis faire le bind de samba comme suit :
net join -U administrator -S 192.42.198.12
On peut ensuite contrôler le bind avec des commandes tel que :
net rpc testjoin
net ads testjoin
net -U administrator -S 192.42.198.12 rpc user
net -U administrator -S 192.42.198.12 ads user
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ok :)
Bon, ça tourne à présent.
Finalement le problème était je crois qu'il vaut mieux spécifier le
password server = IP et de mettre "-S 192.42.198.12" dans les commandes
sinon "net" part aux fraises.
Merci Laurent :)
Laurent Pertois <laurent.pertois@alussinan.org> wrote:
Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Tu veux dire, par rapport à Open Directory ?
Faudrait voir comment s'y prends Mac OS X serveur pour que samba aille
s'authentifier sur l'AD via le plugin directory access, s'il le fait.
En tout cas sur Mac OS X client, de base ça ne passe pas et c'est
dommage. J'en vien même à regretter pam et winbind, pour dire :)
Par contre, ça ne doit pas faire du kerberos si tu ne
transfères pas les keytabs créées sur l'AD. Ca doit plutôt utiliser le
classique login/password.
Bon, ça tourne. Voici la procédure :
1) faire le bind sur l'AD avec le plugin Directory Services.
2) modifier smb.conf comme suit (je ne liste que les modifs):
[global]
; auth methods = guest opendirectory
; passdb backend = opendirectorysam guest
security = ADS
realm = MON.DOMAINE.COM
password server = 192.42.198.12
server string = le-hostname
; client ntlmv2 auth = no
client ntlmv2 auth = yes
client plaintext auth = no
netbios name = le-hostname
preferred master = No
local master = No
domain master = No
wins server = 192.42.198.12
A noter que le "password server" ne marche pas très très bien.
On pourrait théoriquement lui en spécifier plusieurs séparés par une
virgule, et finir par * pour qu'il aille aussi partout où il peut.
Mais ensuite il est tout perdu le pauvre.
A noter encore que le netbios name ne peut pas, sauf erreur, être le
même que le nom mis dans le plugin du Directory Srevices, sinon ça entre
en conflict.
3) se loguer en tant qu'utilisateur de l'AD pour avoir un ticket
kerberos puis faire le bind de samba comme suit :
net join -U administrator -S 192.42.198.12
On peut ensuite contrôler le bind avec des commandes tel que :
net rpc testjoin
net ads testjoin
net -U administrator -S 192.42.198.12 rpc user
net -U administrator -S 192.42.198.12 ads user
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ok :)
Bon, ça tourne à présent.
Finalement le problème était je crois qu'il vaut mieux spécifier le
password server = IP et de mettre "-S 192.42.198.12" dans les commandes
sinon "net" part aux fraises.
Merci Laurent :)
Laurent Pertois wrote:Par contre, avec security = ads il délègue la sécurité à l'AD, tout
comme devrait le faire opendirectory.
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Tu veux dire, par rapport à Open Directory ?
Faudrait voir comment s'y prends Mac OS X serveur pour que samba aille
s'authentifier sur l'AD via le plugin directory access, s'il le fait.
En tout cas sur Mac OS X client, de base ça ne passe pas et c'est
dommage. J'en vien même à regretter pam et winbind, pour dire :)
Par contre, ça ne doit pas faire du kerberos si tu ne
transfères pas les keytabs créées sur l'AD. Ca doit plutôt utiliser le
classique login/password.
Bon, ça tourne. Voici la procédure :
1) faire le bind sur l'AD avec le plugin Directory Services.
2) modifier smb.conf comme suit (je ne liste que les modifs):
[global]
; auth methods = guest opendirectory
; passdb backend = opendirectorysam guest
security = ADS
realm = MON.DOMAINE.COM
password server = 192.42.198.12
server string = le-hostname
; client ntlmv2 auth = no
client ntlmv2 auth = yes
client plaintext auth = no
netbios name = le-hostname
preferred master = No
local master = No
domain master = No
wins server = 192.42.198.12
A noter que le "password server" ne marche pas très très bien.
On pourrait théoriquement lui en spécifier plusieurs séparés par une
virgule, et finir par * pour qu'il aille aussi partout où il peut.
Mais ensuite il est tout perdu le pauvre.
A noter encore que le netbios name ne peut pas, sauf erreur, être le
même que le nom mis dans le plugin du Directory Srevices, sinon ça entre
en conflict.
3) se loguer en tant qu'utilisateur de l'AD pour avoir un ticket
kerberos puis faire le bind de samba comme suit :
net join -U administrator -S 192.42.198.12
On peut ensuite contrôler le bind avec des commandes tel que :
net rpc testjoin
net ads testjoin
net -U administrator -S 192.42.198.12 rpc user
net -U administrator -S 192.42.198.12 ads user
Bon, je vais réinstaller ce serveur from scratch, ça finira bien par
aller :)
Ok :)
Bon, ça tourne à présent.
Finalement le problème était je crois qu'il vaut mieux spécifier le
password server = IP et de mettre "-S 192.42.198.12" dans les commandes
sinon "net" part aux fraises.
Merci Laurent :)
Nicolas MICHEL wrote:Laurent Pertois wrote:Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Tu veux dire, par rapport à Open Directory ?
Voui.
A noter que le "password server" ne marche pas très très bien.
On pourrait théoriquement lui en spécifier plusieurs séparés par une
virgule, et finir par * pour qu'il aille aussi partout où il peut.
Mais ensuite il est tout perdu le pauvre.
Mmmmmm, il n'a peut-être pas encore eu le temps de faire le tour de tout
le domaine, ça peut être long.
Et sans l'étape 3, ça donne quoi ? (je n'ai pas d'AD sous la main pour
faire mes tests, désolé).
De nada, mais tu as quand même du faire une double déclaration et je ne
vois pas, dans cette procédure, quand tu importes les keytabs des
services pour l'intégration kerberos. Je pense que tu fais de
l'authentification l/p et pas kerberos depuis tes clients quand ils se
connectent à ton Mac OS X. Vois-tu, après connexion depuis un autre
poste, un ticket Kerberos au nom de cette machine ?
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Laurent Pertois <laurent.pertois@alussinan.org> wrote:
Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Tu veux dire, par rapport à Open Directory ?
Voui.
A noter que le "password server" ne marche pas très très bien.
On pourrait théoriquement lui en spécifier plusieurs séparés par une
virgule, et finir par * pour qu'il aille aussi partout où il peut.
Mais ensuite il est tout perdu le pauvre.
Mmmmmm, il n'a peut-être pas encore eu le temps de faire le tour de tout
le domaine, ça peut être long.
Et sans l'étape 3, ça donne quoi ? (je n'ai pas d'AD sous la main pour
faire mes tests, désolé).
De nada, mais tu as quand même du faire une double déclaration et je ne
vois pas, dans cette procédure, quand tu importes les keytabs des
services pour l'intégration kerberos. Je pense que tu fais de
l'authentification l/p et pas kerberos depuis tes clients quand ils se
connectent à ton Mac OS X. Vois-tu, après connexion depuis un autre
poste, un ticket Kerberos au nom de cette machine ?
Nicolas MICHEL wrote:Laurent Pertois wrote:Yep. Mais je ne suis toujours pas certain que le net join ne fasse pas
double emploi.
Tu veux dire, par rapport à Open Directory ?
Voui.
A noter que le "password server" ne marche pas très très bien.
On pourrait théoriquement lui en spécifier plusieurs séparés par une
virgule, et finir par * pour qu'il aille aussi partout où il peut.
Mais ensuite il est tout perdu le pauvre.
Mmmmmm, il n'a peut-être pas encore eu le temps de faire le tour de tout
le domaine, ça peut être long.
Et sans l'étape 3, ça donne quoi ? (je n'ai pas d'AD sous la main pour
faire mes tests, désolé).
De nada, mais tu as quand même du faire une double déclaration et je ne
vois pas, dans cette procédure, quand tu importes les keytabs des
services pour l'intégration kerberos. Je pense que tu fais de
l'authentification l/p et pas kerberos depuis tes clients quand ils se
connectent à ton Mac OS X. Vois-tu, après connexion depuis un autre
poste, un ticket Kerberos au nom de cette machine ?