J’ai un très gros problème… J’ai réussi à faire installer Ubuntu dans une salle informatique dans une école […].
Il faudrait que, pour que le projet aboutisse, les ordinateurs sous Ubuntu puissent se connecter au serveur Active Directory / LDAP existant qui tourne sur Windows Server. Ainsi les élèves utiliseraient les mêmes identifiants qu’ils utilisent sous windows.
Je ne peux rien modifier/installer sur le serveur.
J’ai fais des recherches sur internet, mais tout ce que je trouve ne correspond pas à ce que je veux faire
Pas de panique… AD est une grosse merde technique qui utilise plein de machins standards modifies par les soins de MS…
MS a quand meme reussi a faire une surcouche enorme a tout ce bazar pour donner l’impression de que c’est simple (avec plein de raccourcis sur la securite, des fonctionnalites des standards exploitees a moitie ou meme carrement des implementations deviantes - Bref, du grand MS quoi)
Apres cette petite intro qui resume bien la situation, il faut maintenant faire marcher Linux la dedans (et c’est la qu’on entre un peu dans le plat de spaghettis bien camoufle).
Le principe en gros est d’utiliser samba, kerberos et winbind pour integrer ton linux dans un reseau AD.
Kerberos est le protocole utilise par AD pour l’authentification (comme dit plus haut, c’est un standard mais il a ete trafique par MS encore une fois… pas grave, on sait le faire marcher en mode MS-gruik)
Samba est une implementation de CIFS (protocole maison a MS pour le partage de fichiers et d’imprimantes - remplacant de NetBIOS)
Winbind est un systeme permettant de mapper des comptes windows en comptes unix.
il faut ensuite faire tourner tout ca en meme temps pour que ta station s’integre bien au sein d’un reseau AD.
ET pour ca, y’a une procedure bete et mechante a suivre : help.ubuntu.com…
Sinon, y’a LikeWise Open www.likewisesoftware.com… qui permet de faciliter tout ca mais j’ai pas essaye et qq commentaires disent que c’est pas super stable.
Apparemment, y’a des gars qui ont fait encore mieux avec libnss, kerberos et pam directement : developer.novell.com…
pas essaye non plus mais ca me parait assez propre.
Au final, si j’etais toi, j’essayerais la methode 3 puis la 1 puis la 2
La methode 1 semble surtout etre importante si tu souhaite integrer ta machine comme “serveur” de fichier au sein d’un reseau AD (ce qui a ete mon cas quand j’ai ete confronte a ce probleme) alors que la methode 3 semble etre plutot faite pour integrer ton linux comme “client” (ce qui correspond plutot a TON probleme)
La 2 semble etre faite aussi pour une integration “client” mais si les problemes de stabilite ne sont pas resolus, ca va pas etre pratique.
Attention : tout ce qui est GPO, partages de services (IPC$, C$, SHARE$, NETLOGON,etc) ne sera pas pris en compte par ton linux.
Edité le 24/09/2008 à 10:28
je suis pas un specialiste ldap mais ca pourrait etre ca plutot :
dc=nbss,dc=nbed,dc=nb,dc=ca
Y’a un outil excellent sous windows qui permet vraiment de parcourir son AD comme un vrai arbre LDAP. Et tu vois les vrais chemins complets ainsi que toutes les proprietes disponibles, c’est “adsiedit.msc” (je te laisse cherche l’installeur sur le site de MS)
C’est indispensable quand on souhaite relier un service non-MS a AD car ce truc est un tel cache misere qu’on ne voit plus rien…
Edité le 25/09/2008 à 17:49
