Iaorana à tou(te)s,

je cherche à intégrer une station montée avec Etch dessus dans un domaine Active Directory.

J’ai lu moults dossiers et posts dessus mais je n’y arrive pas.

Il semble pourtant que ce ne soit pas difficile sur le papier.

J’ai bien samba, j’ai bien kerberos et j’ai bien heimdal.

Dans mon smb.conf, j’ai bien mis :

workgroup = DOMAIN
realm = DOMAIN.COM
security = ADS

Je pêche sur la config de mon /etc/krb5.conf car lorsque je lance la commande kinit, rien ne se passe jusqu’à ce que je presse CTRL+C.

Où merdois-je ?

probablement dans la conf de kerberos…
je peux pas te repondre tout de suite mais ce soir je te donne un coup de main car je l’ai deja fait plusieurs et ca c’etait tres bien passe.

vu le nombre de demande, tu devrais écrire une faq

Je m’y collerai en tout cas sitot réussi.

oups desole, j’ai pas eu le temps hier…

bon, une chose mega importante pour la conf de kerberos est de specifier le domaine windows completement et en majuscules en plus du nom du serveur.

exemple : MONSERVEUR.DOMAINE.COM

et tant que kerberos n’est pas OK, ca sert a rien d’aller plus loin.
et il faut que les horloges soient synchronisees. plus de 5 min de decalage empechent l’auth (ou seulement 2 min ??)

je crois que j’ai toujours suivi cette doc : http://www.ccs.neu.edu/home/battista/docum…bind/index.html
elle s’applique a Sarge mais avec Etch, ca devrait passer.
Par conte je rajoute ceci dans la conf de samba :

winbind separator = +

Sinon, les users dont les logins contiennent des espaces posent problemes.

Comment saurai-je que kerberos est ok ?
Avec le kinit ?
Quel est le temps moyen d’obtention des tickets ?

ouais avec kinit, tu dois pouvoir obtenir un ticket admin sans probleme
l’obtention est quasi instantanee…

ok, après moult tests et complications (car le LAN n’est pas connecté au net), voici un petit récapitulatif.

J’ai utilisé la version DVD qui fit sauter la limitation des packages.

Par conséquent, je possédais les packages kerberos, heimdal, samba et tout le toutim.
Je n’ai pas poussé l’investigation jusqu’à la selection fine des paquets réellement nécessaires.

L’intégration s’est correctement déroulé en suivant vos conseils,

• en modifiant le fichier /etc/hosts (j’ajoute le nom et l’IP du PDC),
• en calant l’heure du PC linux sensiblement à l’heure du PDC,
• en modifiant /etc/krb5.conf :
  ajout de

[libdefaults]
default_realm = DOMAINE.COM
[realms]
DOMAINE.COM = { kdc = PDC_name
admin_server = PDC_name }

• en modifiant /etc/samba/smb.conf :
  ajout de

realm = DOMAINE.COM
security = ads
encrypt passwords = yes

• en lançant

kinit administrator@DOMAINE.COM && klist

• suivi de

net ads join -S PDC_name.domaine.com -U administrator%password

Et, effectivement, c’est quasiment immédiat.

Je remarque, comme d’hab, que sous linux, c’est assez efficace et rapide, ce sont les préparatifs et la compréhension qui prennent le plus de temps.

Merci bcp pour vos participations.

nana.

---

Pour les suivants, voici (hormis ce forum et ce post plus précisément) mes sources récoltées sur la Toile :

linuxfr.org…
web.mit.edu…
linuxfr.org…
www.redhat.com…
ftp.traduc.org…
www.linuxpourlesnuls.org…
valleeromain.free.fr…
informations-et-technologies.2037.org…
www.presence-pc.com…
www.oreilly.com…
lea-linux.org…
us5.samba.org…
redg.blogdns.org…
linuxfr.org…
www.ccs.neu.edu…

theoriquement, tu n’as besoin que de samba, winbind et kerberos5 (ainsi que des dependances)

ton AD doit disposer d’un serveur dns. Si tu fais pointer la resolution des noms de ta machine linux sur ce serveur alors tu ne devrais pas avoir besoin de modifier le fichier hosts

L’ideal est de faire pointer le client ntp de ta machine linux sur le pdc.
Ou alors de vous referer au meme serveur ntp.
Le decalage ne doit pas etre superieur a 5 min (ca se configure cote pdc avec un gpo je crois)

et encore, cette manip est relativement bien documentee… y’a des trucs bien plus chelous

Est-ce qu’au final, je peux me connecter sur la station linux avec n’importe quel nom d’utilisateur du domaine ?

ouais si t’as installe et configure winbind

hé hé je savais que j’aurai toujours besoin de paquets supplémentaires.

ok, merci, je regarde du coté de winbind…