Samba et active directory

Le
TOUZEAU Pierre SGAR14
This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

_=_NextPart_001_01C657E6.2AB23BFA
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

[newbie ON]
Dans un environnement Microsoft ActiveDirectory, je cherche =
installer un
serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.
C'est une machine serveur en RAID5 (hardware) avec gestion des quotas, =
j'ai
recompil le noyau (en 2.6.8) pour ce faire.
L'exprience acquise avec une mandrake en mode "security=SHARE" ne =
me sert
pas, car il m'est demand d'utiliser cette fois, les identifiants =
"Windows"
pour s'authentifier sur les partages.
En clair, nous allons crer les utilisateurs sous UNIX (pour avoir un
rpertoire avec des droits la "UNIX") mais l'accs sera =
control par des
partages ($home) accessible via une authentification SAMBA <-->active
Directory.

Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui =
serait le
mieux, voir "ADS".
En fouillant le WEB je suis tomb sur une doc GENTOO qui prcise =
qu'il faut
installer installer les ACL du FileSystem qui va bien, LDAP, KERBEROS,
WINDBIND, recompiler SAMBAet configurer le tout
malheureusement, je ne sais pas ce qui convient pour Samba3 sur une =
Debian.
Tout ne colle pas
pfftttt ;-))

Quelqu'un saurait, dans un 1er temps, m'indiquer :
- les grandes tapes pour y parvenir
- comment rcuperer les sources de samba pour recopiler avec LDAP
(apt-search, apt-get ne me donne que des binaires)

J'ai essay diffrentes manips comme rcuprer et installer =
krb5-clients
puis tenter de joindre le domaine
ERREUR :

Binding to domain with command /usr/bin/net join -U adminSgar -S
calvados.pref.mi ..
adminSgar's password:
[2006/04/04 14:17:00, 0] utils/net_ads.c:ads_startup(191)
ads_connect: No such file or directory
[2006/04/04 14:17:00, 0] =
rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)
cli_nt_setup_creds: request challenge failed
[2006/04/04 14:17:01, 0] =
rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)
cli_nt_setup_creds: request challenge failed
[2006/04/04 14:17:01, 0] =
utils/net_rpc_join.c:net_rpc_join_newstyle(319)
Error domain join verification (reused connection):
NT_STATUS_NOT_SUPPORTED

Dans SWAT/STATUS le daemon Windbd refuse de se lancer
La je sche, j'ai l'impression d'une confi incomplte

Y a t'il qq FAQ ou HowTo bien construit sur le sujet ?
[newbie OFF]

Merci
Pierre Touzeau

Pierre Touzeau - Charg de mission TIC - SGAR
Prfecture de region Basse-Normandie - rue Daniel HUET
14038 CAEN CEDEX - Tel: 0231306306 - Fax: 0231306564
courriel : pierre.touzeau@basse-normandie.pref.gouv.fr






_=_NextPart_001_01C657E6.2AB23BFA
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; =
charset=iso-8859-1">


<META content="MSHTML 6.00.2800.1528" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=580083409-04042006><FONT face=Arial =
size=2>[newbie
ON]</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>Dans =
un
environnement Microsoft ActiveDirectory, je cherche installer un =
serveur de
fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>C'est =
une machine
serveur en RAID5 (hardware) avec gestion des quotas, j'ai recompil =
le noyau (en
2.6.8) pour ce faire.</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial =
size=2>L'exprience acquise
avec une mandrake en mode "security=SHARE" ne me sert pas, car il =
m'est demand
d'utiliser cette fois, les identifiants "Windows" pour s'authentifier =
sur les
partages.</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>En =
clair, nous
allons crer les utilisateurs sous UNIX (pour avoir un rpertoire =
avec des
droits la "UNIX") mais l'accs sera control par des partages =
($home)
accessible via une authentification SAMBA &lt;--&gt;active
Directory.</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>Si =
j'ai bien
compris&nbsp;la documentation, c'est "security=DOMAIN" qui serait le =
mieux, voir
"ADS".</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>En =
fouillant le WEB
je suis tomb sur une doc GENTOO qui prcise qu'il faut =
installer&nbsp;
installer les ACL du FileSystem qui va bien, LDAP, KERBEROS, WINDBIND,
recompiler SAMBAet configurer le tout</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006></SPAN><SPAN =
class=580083409-04042006><FONT
face=Arial size=2>malheureusement, je ne sais pas ce qui convient =
pour Samba3
sur une Debian. Tout ne colle pas</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial =
size=2>pfftttt&nbsp;
;-))</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial =
size=2>Quelqu'un saurait,
dans un 1er temps, m'indiquer&nbsp; :</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>- les =
grandes tapes
pour y parvenir</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>- =
comment rcuperer
les sources de samba pour recopiler avec LDAP (apt-search, apt-get ne =
me donne
que des binaires)</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>J'ai =
essay
diffrentes manips comme rcuprer et installer krb5-clients puis =
tenter de
joindre le domaine </FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial =
size=2>ERREUR
:&nbsp;</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
<DIV><SPAN class=580083409-04042006></SPAN><SPAN
class=580083409-04042006>&nbsp;Binding to domain with command =
<TT>/usr/bin/net
join -U adminSgar -S calvados.pref.mi</TT> .. <BR>adminSgar's =
password:
<BR>[2006/04/04 14:17:00, 0] =
utils/net_ads.c:ads_startup(191)<BR>&nbsp;
ads_connect: No such file or directory<BR>[2006/04/04 14:17:00, 0]
rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)<BR>&nbsp;
cli_nt_setup_creds: request challenge failed<BR>[2006/04/04 14:17:01, =
0]
rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)<BR>&nbsp;
cli_nt_setup_creds: request challenge failed<BR>[2006/04/04 14:17:01, =
0]
utils/net_rpc_join.c:net_rpc_join_newstyle(319)<BR>&nbsp; Error =
domain join
verification (reused connection):
NT_STATUS_NOT_SUPPORTED</SPAN></DIV></BLOCKQUOTE>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2><SPAN =

class=580083409-04042006><FONT face=Arial size=2>Dans SWAT/STATUS =
le daemon
Windbd&nbsp;refuse de se lancer</FONT></SPAN></FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>La je =
sche, j'ai
l'impression d'une confi incomplte</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2>Y a =
t'il qq FAQ ou
HowTo bien construit sur le sujet ?</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial size=2><SPAN =

class=580083409-04042006><FONT face=Arial size=2>[newbie
OFF]</FONT></SPAN></FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial
size=2>Merci</FONT></SPAN></DIV>
<DIV><SPAN class=580083409-04042006><FONT face=Arial =
size=2>Pierre
Touzeau</FONT></SPAN></DIV><FONT style="FONT-FAMILY: =
monospace"><SMALL></SMALL>
<P><FONT =
size=2><BR>Pierr=
e
Touzeau &nbsp; &nbsp;- &nbsp;Charg de mission TIC &nbsp;&nbsp; =
-&nbsp;
&nbsp;SGAR<BR>Prfecture de region Basse-Normandie - rue Daniel =
HUET<BR>14038
CAEN CEDEX &nbsp;- &nbsp;Tel: 0231306306 - Fax: 0231306564<BR>courriel =
:
pierre.touzeau@basse-normandie.pref.gouv.fr<BR>-=
--<BR><BR></FONT></P></FONT>
<DIV>&nbsp;</DIV></BODY></HTML>

_=_NextPart_001_01C657E6.2AB23BFA--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre-Matthieu Alamy
Le #9006991
TOUZEAU Pierre SGAR14 a écrit :

Bonjour !

[newbie ON]
Dans un environnement Microsoft ActiveDirectory, je cherche à installer
un serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.
C'est une machine serveur en RAID5 (hardware) avec gestion des quotas,
j'ai recompilé le noyau (en 2.6.8) pour ce faire.
L'expérience acquise avec une mandrake en mode "security=SHARE" ne me
sert pas, car il m'est demandé d'utiliser cette fois, les identifiants
"Windows" pour s'authentifier sur les partages.
En clair, nous allons créer les utilisateurs sous UNIX (pour avoir un
répertoire avec des droits à la "UNIX") mais l'accès sera controlé par
des partages ($home) accessible via une authentification SAMBA
<-->active Directory.



Si le samba doit servir de serveur de fichier, ADS sera votre choix.


Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui
serait le mieux, voir "ADS".
En fouillant le WEB je suis tombé sur une doc GENTOO qui précise qu'il
faut installer installer les ACL du FileSystem qui va bien, LDAP,
KERBEROS, WINDBIND, recompiler SAMBA...et configurer le tout...
malheureusement, je ne sais pas ce qui convient pour Samba3 sur une
Debian. Tout ne colle pas...
pfftttt... ;-))




Effectivement, Kerberos est de mise concernant l'intégration de samba
dans un environnement AD. AD repose sur ce protocole d'authentification
reseau. Winbind devra également être présent pour résoudre les noms
d'utilisateurs et les groupes émanant de votre structure AD. Pour ce qui
est de l'utilisation de LDAP, je ne vois pas vraiment dans quel cadre
vous souhaitez l'utilisez.
En effet, le trio samba-kerberos-winbind est à même de vous permettre la
mise en place d'un serveur de fichier pour environnement microso~
Nul besoin de compiler quoi que ce soit.



Quelqu'un saurait, dans un 1er temps, m'indiquer :
- les grandes étapes pour y parvenir
- comment récuperer les sources de samba pour recopiler avec LDAP
(apt-search, apt-get ne me donne que des binaires)




* disposer d'un systeme de fichier permettant l'utilisation des ACLs
pour la/les partition/s qui vont servir les fichiers à partager.
* installer et configurer kerberos avec les realms de votre AD.
Attention toute fois aux problemes de synchronisation de temps entre les
serveurs.
* installer et configurer samba et winbind.
* c'est facile à dire :)

-----
La configuration des realm kerberos se fait dans le fichier /etc/krb5.conf
Le realm par défaut des kerberos d'un structure Active Directory porte
le même nom que le nom de domaine DNS [j'espère pour vous que vous
n'avez pas une structure à nom de domaine unique où domaine DNS ==
domaine Netbios]
Pour ce fichier de conf, vous devriez commencer par indiquer un realm
par défaut dans la section [libdefaults]:
default_realm = DOMAINE.TLD

Ensuite vous devriez déclarer votre realm dans la section [realms]:
DOMAINE.TLD = {
kdc = un_serveur_win.domaine.tld
kdc = un_autre_serveur_win.domaine.tld
admin_server = maitre_foret.domaine.tld
}
Dans cette section, vous devriez déclarer tous vos serveurs kerberos
windows avec l'entrée kdc et un 'admin_server' qui se trouve être le
maître de forêt de la structure AD si vous n'avez pas demandé à ce qu'un
autre serveur assume ce rôle.

Les problèmes de synchronisation de temps entre les serveurs peuvent
facilement être évités grâce à ntpdate en pointant vers un de vos
serveurs AD.

------
Pour la configuration de winbind samba, rien de bien diffcile. Tout se
fait dans le fichier de conf de samba.
En fixant le paramêtre security­S, vous devrez également indiquer un
realm à utiliser et un serveur "de mots de passe":

security = ADS
realm = HUMANISME.LAN
password server = bud.humanisme.lan

winbind se configure en lui indiquant un séparateur domaine-type, ainsi
qu'une plage d'identifiants pour les utilisateurs et les groupes:

winbind separator = /
winbind cache time = 60
winbind enum users = yes
winbind enum groups = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
Le séparateur indiqué ci dessus donnera un résultat du type DOMAINE/user
et DOMAINE/group

-----
derniere ligne droite !
Il vous reste à joindre le domaine AD grâce à la commande net ads join,
vérifier que winbind map correctement les utilisateur et les groupes et
finir par faire les correspondances entre les groupes globaux de l'AD et
les groupes Unix grâce à la commande net groupmap.


--
Pierre-Matthieu Alamy
Responsable d'Exploitation Informatique
04.72.27.42.57
Fédération Habitat et Humanisme - Caluire

Tomber en panne sèche a un avantage :
C'est moins lourd a pousser que si le réservoir était plein.
-+- Philippe Geluck, Le chat -+-


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Raphaël RIGNIER
Le #9006681
Le mar, 04 avr 2006, Pierre-Matthieu Alamy

TOUZEAU Pierre SGAR14 a écrit :

Bonjour !



[...]


Effectivement, Kerberos est de mise concernant l'intégration de
samba dans un environnement AD. AD repose sur ce protocole
d'authentification reseau. Winbind devra également être prà ©sent
pour résoudre les noms d'utilisateurs et les groupes émanant de
votre structure AD. Pour ce qui est de l'utilisation de LDAP, je ne
vois pas vraiment dans quel cadre vous souhaitez l'utilisez.
En effet, le trio samba-kerberos-winbind est à même de vous
permettre la mise en place d'un serveur de fichier pour environnement
microso~
Nul besoin de compiler quoi que ce soit.


Quelqu'un saurait, dans un 1er temps, m'indiquer :




[...]


* disposer d'un systeme de fichier permettant l'utilisation des ACLs
pour la/les partition/s qui vont servir les fichiers à partager.
* installer et configurer kerberos avec les realms de votre AD.
Attention toute fois aux problemes de synchronisation de temps entre
les serveurs.
* installer et configurer samba et winbind.
* c'est facile à dire :)

-----



Oui, je crois que tout est dit en effet :-)
Sache qu'il existe aussi une autre solution qui consiste à intégr er
directement les UID/GID Unix dans Active Directory à l'aide de
Microsoft SFU 3.5, puis remplacer winbindd par libnss-ldap.

Avantage :
- pas de problème de synchronisation si tu as plusieurs serveurs Samba
- tout est centralisé dans l'AD.
- Utiliser un système moins dépendant de Samba mais beaucoup plus de l'AD.

Inconvénient :
- complexe à mettre en oeuvre, car il faut prévoir un ticket kerb eros
valide permanent entre les serveurs AD et samba (on peut
éventuellement s'en passer via une authentification LDAP en clair à  
chaque requête ...)
- la structure de l'AD est irrémédiablement modifiée
- sans en être vraiment sûr, moins performant que WINBIND car
génère plus de trafic LDAP. Ce problème peut être en pa rtie réglé
par nscd.

J'utilise cette solution sur établissement scolaire de plus de 100
postes et 1000 comptes élèves et profs par serveur Samba, avec
profils errants, sans trop de problèmes. Sauf qaund les utilisateurs
ont la mauvaise idée d'installer google Earth qui explose leurs profil s.

Le réseau n'est jamais vraiment utilisé à 100%, c'est peut être ce
qui nous sauve :-). Je n'ai pas mis non plus les ACL en place. Les
droits UNIX sont suffisants dans la plupart cas. D'autres partages
spécifiques subsistent en NTFS :-(.

--
Envoyé avec IMP 4

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
Publicité
Poster une réponse
Anonyme