Bonjour.
J?expérimente, dans le cadre de mon entreprise, un maquettage de poste bureautique sous Linux. Nous disposons d?un annuaire Active directory avec de multiples DC.
J?ai utilisé Sadms pour configurer un poste linux sous Fedora Core 3. Il est très bien documenté et très utile vu le nombre de paramètres à configurer.
http://sadms.sourceforge.net/fr/index.html
L?authentification utilise Kerberos et permet de se connecter à sa machine Linux avec un compte de l?active directory.
Je rencontre 2 problèmes :
1/ Je me connecte sur l?ordinateur avec un compte local sous Gnome. Je pars dans « Poste de travail » puis «Réseau » (Nautilus). La liste des serveurs s?affiche
correctement. Lorsque je clique sur un serveur, la liste des ressources s?affiche correctement. Lorsque je clique sur une ressource, mon compte, mon mot de passe mon domaine me sont réclamés. Si la saisie est correcte, j?accède aux ressources.
Par contre, si je me connecte avec un compte du domaine sous Gnome. Je pars dans « Poste de travail » puis « Réseau ». La liste des serveurs s?affiche correctement. Lorsque je clique sur un serveur, je récupère le message d?erreur « Impossible d?afficher le contenu de ce dossier, vous n?avez pas les permissions nécessaires?. ». Bien sur mon compte du domaine a les permissions nécessaires sur ce serveur, c?est d?ailleurs avec ce même compte que je
renseigne la fenêtre de saisie dans le cas précédent.
Quelqu?un aurait-il une piste ?
2/ Sous Kde, cela se passe mieux. Je me connecte à la machine Linux avec un compte de l?Active Directory. Avec Konqueror et l?url « smb:/ » je peux browser jusqu?aux ressource du serveur mais là je dois m?identifier pour chaque ressource sur chaque serveur. Si je veux accéder à une ressource sur un serveur et deux autres sur un deuxième serveur, il me faudra fournir 4 fois mon mot de passe en comptant l?ouverture de session.
Windows XP fabrique un jeton à l?ouverture de session qu?il utilise pour toutes les connexions réseau de l?utilisateur.
J?ai cherché sur le Net et crois comprendre que Linux mape le SID de Windows avec des UID et GUID de Linux surtout pour gérer les permissions sur différents serveurs Samba.
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/groupmapping.html
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html
On a donc après validation dans l?active directory un utilisateur local, sans équivalent d?un jeton, qui doit à nouveau s?identifier à chaque accès à des ressources Windows et Samba. J?espérais que l?authentification en Kerberos fabriquerait ce jeton. En fait à l?analyseur réseau, on observe que les requêtes AS sont faites par le compte de la machine dans l?active directory pas par le compte de l?utilisateur dans l?active directory. En l?état, cela est très pénalisant pour l?utilisateur.
Quelqu?un pourrait-il m?éclairer sur le sujet ou me donner une autre piste pour aboutir à une seule authentification pour tous les accès à des serveurs?
Merci.
Cordialement.
Patrick.