J'ai voulu mettre en place une authentification transparente via AD pour un partage samba :
Serveur 2003 => PDC AD
FC3 => Intranet + partage de répertoire grace a samba (rép = www)
je voulais donc que seul les utilisateurs membre du groupe "Internet" dans active directory ont accés au répertoire que j'ai partager sur samba et tou cela grace a une authentification transparente, c'est a dire qu'un utilisateur (ex: squid) qui apartient au groupe Internet lorsqu'il ce logue sur sa session qu'il n'est pa a retaper son login et pass en accédant au dossier partager ( \intranet\www )
Donc mon probléme est le suivant : quand l'utilisateur ce connecte sur sa session sur le domaine le popup d'auth apparait et lorsque je retape le login et pass de l'utilisateur , il ne le prend pa en compte et le popup revient.
J'ai tester en décommentant les ligne commenté dans le smb.conf ci dessous et la sa marche mais le probléme c'est que sa le fait systematiquement pour tout utilisateur qui ce logue sur le domaine. Or moi je ne veut pa gérer 2 base d'utilisateur , je veux qu'il prenne en compte directement les utilisateur d'active directory et face une authentification transparente si l'utilisateur est bien autoriser a accéder a ce partage biensur.
A savoir que j'ai réaliser les même config sur un autre serveur ( une RHEL3) qui me sert de serveur proxy squid et la l'authentification transparente via la base d'utilisateur active directory fonctionne correctement.
Les 2 tuto que j'ai suivi
Tuto 1
Tuto 2
[---]
SMB.CONF
[c]# Global parameters
[global]
#sa marche avec ces ligne mais le fait systematiquement poour tout utilisateur qui ce logue sur le domaine
#add user script = useradd %u -g Internet
#delete user script = userdel %u
workgroup = GRPE
realm = GROUPE.INTRA
server string = Serveur Intranet
security = ADS
auth methods = winbind
password server = 192.168.1.13
username map = /etc/samba/smbuser
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = No
wins server = 192.168.1.13
wins support = Yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind trusted domains only = Yes
invalid users = root
create mask = 0770
directory mask = 0770
case sensitive = no
oplocks = No
[www]
path = /var/www/html
valid users = @Internet ((tester aussi avec @GRPE\Internet, @GRPE+Internet et @GRPE.Internet et ne fonctionne pas))
create mask = 0775[/c]
NSSWITCH.CONF
[c]#
# /etc/nsswitch.conf
#
passwd: files winbind
shadow: files
group: files winbind
hosts: files dns
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
netgroup: files
publickey: nisplus
automount: files
aliases: files nisplus[/c]
KRB5.CONF
[c][logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = GROUPE.INTRA
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
GROUPE.INTRA = {
kdc = zeus.GROUPE.INTRA:88
admin_server = zeus.GROUPE.INTRA:749
default_domain = GROUPE.INTRA
}
[domain_realm]
.example.com = EXAMPLE.COM
GROUPE.INTRA = GROUPE.INTRA
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[/c]
[---]
[root@intranet ~]# /etc/rc.d/init.d/winbind restart
Fermeture des services Winbind : [ OK ]
Dmarrage des services Winbind : [ OK ]
[root@intranet ~]# /etc/rc.d/init.d/smb restart
Fermeture des services SMB : [ OK ]
Fermeture des services NMB : [ OK ]
Dmarrage des services SMB : [ OK ]
Dmarrage des services NMB : [ OK ]
[root@intranet ~]# kinit
Administrateur@GROUPE.INTRA
Password for
Administrateur@GROUPE.INTRA:
[root@intranet ~]# net ads join -U Administrateur
Administrateur's password:
[2007/03/28 10:01:00, 0]
Using short domain name -- GRPE
Joined 'INTRANET' to realm 'GROUPE.INTRA'
[root@intranet ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal:
Administrateur@GROUPE.INTRA
Valid starting Expires Service principal
03/28/07 10:00:08 03/28/07 20:00:14 krbtgt/
GROUPE.INTRA@GROUPE.INTRA
renew until 03/29/07 10:00:08
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
[root@intranet ~]# wbinfo -t
checking the trust secret via RPC calls succeeded
[root@intranet ~]# wbinfo -u
Admin
compta01
squid
[....]
[root@intranet ~]# wbinfo -g
Internet
Archive
NoNeT
[....]
[root@intranet ~]# getent group
[root@intranet ~]# getent passwd
mon groupe Internet d'active directory et les utilisateur il ne les récupere pas