Bonjour.

J?expérimente, dans le cadre de mon entreprise, un maquettage de poste bureautique sous Linux. Nous disposons d?un annuaire Active directory avec de multiples DC.

J?ai utilisé Sadms pour configurer un poste linux sous Fedora Core 3. Il est très bien documenté et très utile vu le nombre de paramètres à configurer.
http://sadms.sourceforge.net/fr/index.html

L?authentification utilise Kerberos et permet de se connecter à sa machine Linux avec un compte de l?active directory.

Je rencontre 2 problèmes :

1/ Je me connecte sur l?ordinateur avec un compte local sous Gnome. Je pars dans « Poste de travail » puis «Réseau » (Nautilus). La liste des serveurs s?affiche
correctement. Lorsque je clique sur un serveur, la liste des ressources s?affiche correctement. Lorsque je clique sur une ressource, mon compte, mon mot de passe mon domaine me sont réclamés. Si la saisie est correcte, j?accède aux ressources.

Par contre, si je me connecte avec un compte du domaine sous Gnome. Je pars dans « Poste de travail » puis « Réseau ». La liste des serveurs s?affiche correctement. Lorsque je clique sur un serveur, je récupère le message d?erreur « Impossible d?afficher le contenu de ce dossier, vous n?avez pas les permissions nécessaires?. ». Bien sur mon compte du domaine a les permissions nécessaires sur ce serveur, c?est d?ailleurs avec ce même compte que je
renseigne la fenêtre de saisie dans le cas précédent.
Quelqu?un aurait-il une piste ?

2/ Sous Kde, cela se passe mieux. Je me connecte à la machine Linux avec un compte de l?Active Directory. Avec Konqueror et l?url « smb:/ » je peux browser jusqu?aux ressource du serveur mais là je dois m?identifier pour chaque ressource sur chaque serveur. Si je veux accéder à une ressource sur un serveur et deux autres sur un deuxième serveur, il me faudra fournir 4 fois mon mot de passe en comptant l?ouverture de session.
Windows XP fabrique un jeton à l?ouverture de session qu?il utilise pour toutes les connexions réseau de l?utilisateur.
J?ai cherché sur le Net et crois comprendre que Linux mape le SID de Windows avec des UID et GUID de Linux surtout pour gérer les permissions sur différents serveurs Samba.
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/groupmapping.html
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html
On a donc après validation dans l?active directory un utilisateur local, sans équivalent d?un jeton, qui doit à nouveau s?identifier à chaque accès à des ressources Windows et Samba. J?espérais que l?authentification en Kerberos fabriquerait ce jeton. En fait à l?analyseur réseau, on observe que les requêtes AS sont faites par le compte de la machine dans l?active directory pas par le compte de l?utilisateur dans l?active directory. En l?état, cela est très pénalisant pour l?utilisateur.

Quelqu?un pourrait-il m?éclairer sur le sujet ou me donner une autre piste pour aboutir à une seule authentification pour tous les accès à des serveurs?

Merci.
Cordialement.
Patrick.
13 jours plus tard
Je vois que peux de personnes tentent de faire ces manipulations, je me trouve un peu dans le meme cas, je désire me connecter à un réseau en me servant d'active directory, j'aurai aimer savoir lequel de LAAD ou SADMS est le mieux pour faire cette manipulation.

Merci
Yann
J'utilise un configuration un peu dfférente mais peut-être un peu plus simple.

J'ai installé "Service for Unix 3.5" (produit Microsoft gratuit) sur le domaine afin de disposer de l'extension de schéma AD. On dispose alors d'un onglet "Unix" sur la fiche utilisateur permettant d'entrer les données propore à Linux (home, shell, uid, gid...)

Les stations Fedora utilise LDAP pour consulter l'AD (nsswitch). Le fichier password local est donc vide (sauf root)

Par contre j'ai conservé l'authentification NTLM (je suis en mode mixte sous Windows 2000) qui me semble plus simple.

En effet si tu veux utiliser Kerberos tu seras obligé de créer un compte pour chaque station dans le domaine, ce qui interdit le clonage de machine.

Je n'utilise pas de logiciels supplémentaires côté Linux.

Par contre pour les comptes utilisateurs, j'utilise un serveur sous Unix avec "samba" pour les postes Windows et donc le montage (côté linux) est réalisé par NFS.

A+