Conversation
precedente ou
suivante
Authentification AD2003 aveec kerberos/samba/winbind
Envoyé par:
R3dLiGhT
Bonjour,
Je cherche à authentifier une ubuntu avec squid sur un AD 2003 via kerberos/samba/winbind:
En gros winbind semble se connecté en tappant :
net ads join -U admin@domain.local
Using short domain name -- DOMAIN
Joined 'PROXYTEST' to realm 'DOMAIN.LOCAL'
ensuite wbinfo -u et là c'est le drame :
Error looking up domain users
En regardant du coté active directory j'ai un problème d'echec de pré-authentification code 0x14 (génial;o)
Voilà mon smb.conf :
[global]
workgroup = DOMAIN
netbios name = proxytest
realm = DOMAIN.LOCAL
security = ADS
encrypt passwords = no
password server = leServerQuiVaBien.domain.local #(l'ip est dans le fichier host)
dns proxy = no
#ldap ssl = no
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
preferred master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
Le fichier krb5.conf :
[logging]
default = FILE:/var/log/krb5libs.log #(tiens c'est etrange aucun .log n'est créé dans /var/log/!!)
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/ksadmind.log
[libdefaults]
default_realm = DOMAIN.LOCAL
#clock_skew = 300
ticket_lifetime = 24000
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
forwardable = yes
[realms]
TESTDOMAINE.LOCAL = {
kdc = ip du server ad (genre 192.168.1.23 sur le meme subnet que moi en fait)
admin_server = ip du server ad
default_domain = domain.local.
}
[domain_realm]
.domain = DOMAIN.LOCAL.
domain = DOMAIN.LOCAL.
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug =false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Le serveur ntp se trouve sur une tierce machine sur laquelle le serveur AD et ma machine se synchronise aussi...
Concernant les packages :
samba 3.0.24
krb5-config 1.12
krb5-user 1.4.4-5ubuntu3.3
libkrb53 1.4.4-5ubuntu3.3
libpam-krb5 2.6-1
Voilà je ne parle même pas encore du squid ... vu que pour l'instant ca marche pas ...
Toute idée est la bienvenue ;o)
Merci bcp pour votre aide
Poste le Friday 21 September 2007 16:55:05
Re: Authentification AD2003 aveec kerberos/samba/winbind
Envoyé par:
samuinteresse
salut,
Est-ce que ton ticket kerberos est bien créé? (klist)
Si oui vérifie que tu sais bien résoudre ton ad, il faut qu'il soit dans /etc/hosts et un nslookup doit savoir résoudre également.
Bon courage
Sam
Est-ce que ton ticket kerberos est bien créé? (klist)
Si oui vérifie que tu sais bien résoudre ton ad, il faut qu'il soit dans /etc/hosts et un nslookup doit savoir résoudre également.
Bon courage
Sam
Poste le Monday 24 September 2007 11:25:25
Re: Authentification AD2003 aveec kerberos/samba/winbind
Envoyé par:
R3dLiGhT
Salut,
Merci pour ta réponse ...
Donc je résouds bien mon ad nslookup+/etc/hosts sont ok. Cela dit tu sembles avoir raison concernant les tickets ... lorsque je fais un :
klist admin
Il me demande mon password et derrière il ne me donne aucune info sur un quelconque ticket ... je vérifie :
root@proxytest+~# klist -c 14:17
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.LOCAL
Valid starting Expires Service principal
09/25/07 11:02:33 09/25/07 17:42:33 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Tu vois d'ou ca pourrait venir ?
Merci bcp
Merci pour ta réponse ...
Donc je résouds bien mon ad nslookup+/etc/hosts sont ok. Cela dit tu sembles avoir raison concernant les tickets ... lorsque je fais un :
klist admin
Il me demande mon password et derrière il ne me donne aucune info sur un quelconque ticket ... je vérifie :
root@proxytest+~# klist -c 14:17
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.LOCAL
Valid starting Expires Service principal
09/25/07 11:02:33 09/25/07 17:42:33 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Tu vois d'ou ca pourrait venir ?
Merci bcp
Poste le Tuesday 25 September 2007 14:20:59
Re: Authentification AD2003 aveec kerberos/samba/winbind
Envoyé par:
R3dLiGhT
Oups autant pour moi ... j'ai bien un ticket pour admin mais pas pour kerberos 4 ...c'est bien ca hein?
Le ticket actuel est bien présent :
Valid starting Expires Service principal
09/25/07 11:02:33 09/25/07 17:42:33 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Celà dit ... lorsque je teste avec un :
klist admin
Pour le user admin en particulier il me répond:
klist: No credentials cache found (ticket cache FILE:admin.temp)
En fait j'y vois plus trop clair là ...
Le ticket actuel est bien présent :
Valid starting Expires Service principal
09/25/07 11:02:33 09/25/07 17:42:33 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Celà dit ... lorsque je teste avec un :
klist admin
Pour le user admin en particulier il me répond:
klist: No credentials cache found (ticket cache FILE:admin.temp)
En fait j'y vois plus trop clair là ...
Poste le Tuesday 25 September 2007 14:33:28
Re: Authentification AD2003 aveec kerberos/samba/winbind
Envoyé par:
R3dLiGhT
Hello,
Bon bah en fait ca marche ... mais le seul problème est que je ne peux m'authentifier apparement que sur un domaine et donc je ne peux pas "browser la forêt" complète ...aie
En ce qui concerne le ldap, j'y ai bien pensé mais le login/password sur ad ne sont pas rfc ... aie again
Bref la soluce retenu sera : installation d'un IAS crosoft et authentification squid/radius ...
Poste le Tuesday 2 October 2007 15:29:08
Ce forum !
Authentification AD2003 aveec kerberos/samba/winbind
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons