Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

integre fedora dans un domaine win2003 (AD)

wapette21

bonjour, j'aimerai savoir comme fait ton pour integre un pc sous fedora dans un domaine Active Directory win2003, si quelqu'un a de la doc je suis preneur merci a vous tous
😉

celmir

je pense à samba en mode ADS ...
documentation à profusion sur le net.

[supprimé]

je comprend pas tu peut developer un peu merci

wapette21

j'aimerais savoir comment mettre en place le client samba pour l'authentification sur un domaine Active §Directory de win 2003 merci a tous
🙂

celmir

ok
samba permet de faire la lien entre le monde UNIX/LINUX et WINDOWS via le protocole SMB ...

samba fonctionne selon différent mode , depuis la version 3 on peut utiliser le mode Active Directory Server qui permet d'intégrer une machine dans un AD.

Jamais utilisé ...

🙂

si tu débutes voci un site sur samba
http://www.gcolpart.com/howto/samba.php4

wapette21

merci pour tes post mais c pas ce que je veux j'ai reusit a integre ma machine sous fedora dans mon domaine windows 2003 AD mais je n'arrive pas a avoir une fenetre d'authentification sur le domaine style celle de windows ou on choisie entre local ou domaine
pour info la commande pour integrer un fedora est:
net rpc menbre -U administrateur
il demande le MDP admin et ces fini
bien sur il faut config le smb.conf
merci pour vos reponse

celmir

je comprends pas ce que tu veux ...

tu veux une authentification ldap ou tu l'as déjà ?

lance la commande setup sous root, gérer authentification tu auras différentes possibilités qui peuvent être étudiées

wapette21

jue veux utiliser l'authentification de mon serveur windows 2003 avec AD lors de l'ouverture de session windows on a une fenetre qui nous permet de choisir entre authentifier sur le domaine ou en local moi je veux m'authentifier sur le domaine avec les droits lie au compte du domaine.
ces l'utilisation simple d'un reseau d'entreprise
mais sous fedora je sait pas faire
merci pour vos reponse

SetH

Je sais que dans mon domaine LDAP, le système fait la distinction entre les profils déclarés localement et ceux du domaine. En fait, mon poste est configuré pour d'abord aller chercher dans le /etc/passwd (profils locaux) et après il va consulter l'annuaire LDAP distant ...
Essaye peut-être en utilisant dans la fenêtre d'authentification de ta Fedora un [profil]@[nom-domaine]...
Bon courage 😉

wapette21

non toujours pas il doit bien il y avoir un moyen
enfin je sait plus .... HELP ME PLEASE 🙁

remi

Il y a 2 problèmes différents.

1/ l'identification, c'est à dire où sont stockés les informations sur les comptes.

Il est possible d'utiliser la consultation, via ldap de l'annuaire active directory, à condition d'étendre le schéma pour intégrer les informations spécifiques au monde Unix (uid, gid, shell, home...)

Ceci est possible en installant SFU (Server For unix).

De toute manière cela sera cumulatif avec le fichier local /etc/passwd, c'est à dire que le système consultera les 2 sources d'informations (enfin c'est préférable en cas de panne réseau pour pouvroir utiliser le compte root).

Pour utiliser cela, j'ai modifié les fichiers
- /etc/ldap.conf (config de l'accès à l'annuaire)
- /etc/nsswitch.conf, extrait :

passwd:     files ldap
shadow:     files ldap
group:      files ldap

2/ l'authentification, c'est à dire le controle de la validité du mot de passe.

Il y a plusieurs solutions consistant à configurer les modules pam, au choix :
- authentification ldap, simple mais pas sécurisé car le mot de passe circule en clair.
- authentification kerberos, c'est le plus sécurisé, mais cela oblige a créer un compte pour chaque machine dans le domaine et je trouve cela un peu délicat (en particulier, cela interdit de "cloner" les machines)
- authentification ntlm, c'est l'utilisation du mode venant de NT4, toujours disponible si le domaine Active Directory fonctionne en mode mixte (avec un PDC emulator).

Ici encore il est possible de cumuler avec le fichier /etc/passwd (si le mot de passe est validé par /etc/passwd la connexion est autorisé, sinon il est proposé au DC du domaine).

Pour utiliser cela, j'ai modifié les fichiers
- /etc/pam_smb.conf (nom du domaine et des DC)
- /etc/pam.d/system-auth, extrait :

auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_smb_auth.so use_first_pass nolocal
auth        required      /lib/security/$ISA/pam_deny.so

L'authenfication SMB peut être utilisée sans consulter l'annuaire LDAP à condition que chaque utilisateur dispose d'un compte local (définit dans /etc/passwd).

Dans les 2 cas la configuration peut se faire avec system-config-authentication.

Il n'y aura jamais le choix 'local' ou 'domaine' sur la grille de connexion, mais les 2 authenfications fonctionneront correctement.

J'espère avoir été aussi clair que possible...
A+