Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2017 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [migration win2k => samba + ldap + krb]

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[migration win2k => samba + ldap + krb]

n°529955
k666
dites non à petitmou
Posté le 29-07-2004 à 10:57:06  profilanswer
 

salut
on va migrer notre systeme win2k server (ad + exchange) vers du libre donc linux + samba + openldap + krb5 ... je voudrais savoir si quelqu'un a fait ça avant, ou si kelkun aurait un bon  howto
merci

mood
Publicité
Posté le 29-07-2004 à 10:57:06  profilanswer
 

n°530504
cyberben
Posté le 29-07-2004 à 23:33:29  profilanswer
 

dès qu'il s'ait de linux, le meilleur compagnon est www.google.fr :) (tu pourras trouver quelques tutos intéressants sur www.lea-linux.org)
 
bye ;)

n°530778
k666
dites non à petitmou
Posté le 30-07-2004 à 12:08:30  profilanswer
 

hum ça m'étonnerait de trouver ça dans lea linux étant donné que c vraiment pas évident et que c assez nouveau tout ça :/

n°530806
Dark_Schne​ider
Close the World, Open the Net
Posté le 30-07-2004 à 12:28:26  profilanswer
 

pour la partie samba + ldap, tu trouveras des docs là -> http://linsec.ca/bin/view/Main/WebHome
 
par contre pour la partie kerberos ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°530807
Dark_Schne​ider
Close the World, Open the Net
Posté le 30-07-2004 à 12:29:11  profilanswer
 

et c'est plutôt http://www.google.fr/linux qu'il faut utiliser


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°530920
k666
dites non à petitmou
Posté le 30-07-2004 à 14:29:58  profilanswer
 

bin en fait avant de me lancer dans le paramétrage et la galère j'aimerais aussi avoir les avis de gens qui l'ont fait et qui pourraient me dire ce qui est risqué, ce qui fonctionne, ce qui ne fonctionne pas, ce qu'on gagne et ce qu'on perd au passage ! car il faudra que j'argumente aussi un peu :)

n°530922
Dark_Schne​ider
Close the World, Open the Net
Posté le 30-07-2004 à 14:33:52  profilanswer
 

je ne suis pas sûr concernant le fait que cela marche ... sans problème.
 
tu defrais plutôt demander l'expertise d'une SSL spécialisée.
 
Autant la partie Samba + LDAP passe, autant la partie kerberos ...
 
de plus par koi remplace tu Exchange ? as tu un logiciel avec une aussi grande intégration avec AD ?
 
il faut que ton logiciel utilise la base LDAp et que le schéma utilisé dans ta base LDAP soit compatible pour l'auth et ton logiciel de mail.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°530925
k666
dites non à petitmou
Posté le 30-07-2004 à 14:41:15  profilanswer
 

bin en fait on n'utilise que très peu de fonctionnalités exchange. mon but serait de faire des boites mails en imap, puis de basculer tout l'info sur les contacts vers une forme exploitable au niveau LDAP, puis après, je pourrais utiliser soit des webapps qui se connectent à du ldap soit n'importe quel autre logiciel .
je ne comprends pas bien en fait surtout le role de kerberos dans tout ca... j'imagine que c pour des droits d'exécution de certaines applications réseau  du style ODBC et autres ? je vois pas trop la !


Message édité par k666 le 30-07-2004 à 14:41:51
n°530934
Dark_Schne​ider
Close the World, Open the Net
Posté le 30-07-2004 à 14:58:04  profilanswer
 

Kerberos est utilisé pour l'authentification par Active Directory. Avec les tickets kerberos, AD peut certifier l'origine et l'identité du client qui demande l'accès à une ressource.
 
si tu vires kerberos, tes clients doivent alors utiliser NTLM qui était le protocol utilisé par NT4 et normalement celui qu'implémente Samba.
 
Ce pendant NTLM est moins sûr que Kerberos.
 
Et il se peut que les dernières versions d'Exchange requiers Kerberos too


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°530940
k666
dites non à petitmou
Posté le 30-07-2004 à 15:04:54  profilanswer
 

oki merci pour ces précisions:jap:
j'ai réussi à faire monter un domaine basique dans le mini réseaud e chez moi, et les pc s'authetifient sur mon serveur samba controlleur de domaine... très très basique mais j'ai le droit de balourder des scripts d'ouverture de session et autres choses de ce style.
par contre ici au boulot on a une gestion un peu plus fine des droits d'utilisation du domaine, par exemple, limiter les droits d'installation de logiciels par utilisateur/machine .... ce genre de choses se gèrent à quel nvieau ? au niveau des scripts de démarrage ? au niveau de kerberos ?

mood
Publicité
Posté le 30-07-2004 à 15:04:54  profilanswer
 

n°531031
Dark_Schne​ider
Close the World, Open the Net
Posté le 30-07-2004 à 17:12:32  profilanswer
 

au niveau d'active directory plutôt avec les group policy.
 
tu vas être obligé de venir à la méthode NT4 avec poledit & cie


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°531314
fioul666
Posté le 31-07-2004 à 11:12:19  profilanswer
 

k666 a écrit :

salut
on va migrer notre systeme win2k server (ad + exchange) vers du libre donc linux + samba + openldap + krb5 ... je voudrais savoir si quelqu'un a fait ça avant, ou si kelkun aurait un bon  howto
merci


eh bien bon courage mon ami, vraiment bon courage ...
 
tu va passer d'une archi faite pour, à un assemblage de briques pas prevues pour , enfin chacun sons caca : c un conseil.
 
Si tu maitrises Kerberos, l'archi AD, n°usn, les timestamp, bref les mecanismes AD de 2000 tu te douterais que c quasi imposible d'arriver aux memex resultats sous linux avec ldap samba et ... un postfix ..  
 
c toi qui vois


Message édité par fioul666 le 31-07-2004 à 11:16:15
n°531319
fioul666
Posté le 31-07-2004 à 11:18:00  profilanswer
 

Dark_Schneider a écrit :

Kerberos est utilisé pour l'authentification par Active Directory. Avec les tickets kerberos, AD peut certifier l'origine et l'identité du client qui demande l'accès à une ressource.
 
si tu vires kerberos, tes clients doivent alors utiliser NTLM qui était le protocol utilisé par NT4 et normalement celui qu'implémente Samba.
 
Ce pendant NTLM est moins sûr que Kerberos.
 
Et il se peut que les dernières versions d'Exchange requiers Kerberos too


 
tout a fait , je ne te parles meme pas de la gestion des USN entre serveurs .... les replications ... l'authentification en 3 points ... les acl .. bref en passant sous linux tu perdras bcp de confort : c une evidence
 
enfin bref ca sent le sapin.

n°531320
fioul666
Posté le 31-07-2004 à 11:18:43  profilanswer
 

Dark_Schneider a écrit :

au niveau d'active directory plutôt avec les group policy.
 
tu vas être obligé de venir à la méthode NT4 avec poledit & cie


 
super !!!
 
quand on migre en gal c pour mettre une archi apportant plus  ..mais bon

n°531325
fioul666
Posté le 31-07-2004 à 11:43:33  profilanswer
 

k666 a écrit :

oki merci pour ces précisions:jap:
j'ai réussi à faire monter un domaine basique dans le mini réseaud e chez moi, et les pc s'authetifient sur mon serveur samba controlleur de domaine... très très basique mais j'ai le droit de balourder des scripts d'ouverture de session et autres choses de ce style.
par contre ici au boulot on a une gestion un peu plus fine des droits d'utilisation du domaine, par exemple, limiter les droits d'installation de logiciels par utilisateur/machine .... ce genre de choses se gèrent à quel nvieau ? au niveau des scripts de démarrage ? au niveau de kerberos ?


 
ahahah, mon pauvre, que de galere en vue ...
le samba que je connais simule les fonctionnalité de NT4 ... on est a 2003 now (ca reste de l'AD 2000 dessous , mais qd meme !!)
 
Pour le prix je comprends
Pour la philosophie : 100% d'accord (:d)
Pour ta place .... -300% d'accord : tu cours a la cata.

n°531352
k666
dites non à petitmou
Posté le 31-07-2004 à 12:43:45  profilanswer
 

bof on n'utilise presque pas les fonctionnalités AD ... je pense que c jouable pour l'authentification etc..., pour le partage de fichiers/imprimantes etc... apres fo voir pour les VPN et pour la réintégration de données exchange dans un groupware basé web ... ya uniquement des trucs que je sais pas si ça va passer: les sources ODBC qui nécessitent authentification je pense que la ça se base sur kerberos :/
enfin voila c une ptite boite avec tout qui pour l'instant repose sur du freebsd / win2k server et qu'on veut passer vers du linux

n°531360
fioul666
Posté le 31-07-2004 à 13:02:49  profilanswer
 

k666 a écrit :

bof on n'utilise presque pas les fonctionnalités AD ... je pense que c jouable pour l'authentification etc..., pour le partage de fichiers/imprimantes etc... apres fo voir pour les VPN et pour la réintégration de données exchange dans un groupware basé web ... ya uniquement des trucs que je sais pas si ça va passer: les sources ODBC qui nécessitent authentification je pense que la ça se base sur kerberos :/
enfin voila c une ptite boite avec tout qui pour l'instant repose sur du freebsd / win2k server et qu'on veut passer vers du linux


 
ds ce cas , ok : si Ad est tres peu utilisé , car sous 2K c l'epine dorsale de l'archi .... d'ou ma grosse inquietude qd a ton projet !!
 
Mais bon la ca passe


Message édité par fioul666 le 31-07-2004 à 13:03:02
n°536985
k666
dites non à petitmou
Posté le 10-08-2004 à 11:27:27  profilanswer
 

bon bah j'ai un peu avancé sur le sujet (peu hein :p)
j'ai lu pas mal de docs; à priori ça devrait le faire;
il faut juste que j'arrive à avoir un schéma (somme de schémas en fait) qui soit compatible avec celui de active directory, donc notamment contenant inetOrgPerson et autres (comme samba?) ... après sous windows il ya des outils pour dumper les données sous format ldif, notamment ldifde qui crache toute la structure de l'annuaire... il ya aussi des outils pour dumper les bàl exchange sous format PST et il existe une lib unix (libpst) qui reconvertit les pst sous format maildir ou autres. reste à savoir comment récupérer toutes les infos sur les contacts et autres se trouvant encore dans exchange/ad ... si vous avez une idée ce serait cool, je suppose qu'il faudra taper un ldifde sur un noeud particulier ... enfin voila...
sinon j'ai utilisé comme groupware webbased "more groupware" qui a l'avantage d'avoir une interface très simple à prendre en main, d'avoir un webmail IDENTIQUE à outlook, avec agenda partagé etc... maintenant reste à savoir si j'arrive à le faire joindre l'annuaire ldap et qu'il utilise l'authentification globale ldap comme ça les données pourront être protégées... voila en gros je continue d'avancer, et ce serait cool si y'en a qui ont des avis (même si je sais que microsoft = mesquinnité pour le partage de savoir, ya qu'à chercher un bon forum de support windows ;) ;) ;) )
 
enfin help un peu qd meme :p


Message édité par k666 le 10-08-2004 à 11:29:19
n°564342
jason_x
Posté le 30-09-2004 à 23:05:24  profilanswer
 

bonjours a tous je voudrais savoir si quelqu'un c'est comment faire pour migrer toute la base AD (schema, mot de passe,ect..) vers openldap merci.

n°564612
Dark_Schne​ider
Close the World, Open the Net
Posté le 01-10-2004 à 15:09:36  profilanswer
 

http://us1.samba.org/samba/docs/ma [...] ads-member
 
je pense qu'il faut lui faire devenir membre du domain AD avant. ensuite quand il est synchronisé, tu dois pouvoir le transformer en PDC et désactiver les controleurs de domaines 2k


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°566432
jason_x
Posté le 05-10-2004 à 07:20:33  profilanswer
 

est ce que samba peut remplacer AD et devenir un annuaire (et quid de ldap)??

n°566436
GUG
Posté le 05-10-2004 à 08:17:45  profilanswer
 

fioul : tg, je bosse la dedans et je dit que ca se fait ...  par contre on perd les gpo  
 
Postfix, samba, squid peuvent se connecter à un annuaire ldap ... avec une interface d'administration du ldap (je bosse sur ce genre de projet) ca se fait ...
 
maintenant, c'est sur, ce n'est pas trivial ....

n°566658
Dark_Schne​ider
Close the World, Open the Net
Posté le 05-10-2004 à 14:37:43  profilanswer
 

On dira que linux cela donne plutôt : NT4 + LDAP
 
fonctionnalités d'un NT4 avec une base LDAP. On peut répliquer les bases LDAP et faire certains services s'auth sur l'annuaire LDAP.
 
C'est à mis chemin entre NT4 et AD ( 2k/2k3 )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°566676
k666
dites non à petitmou
Posté le 05-10-2004 à 15:02:12  profilanswer
 

GUG > par les gpo tu veux dire la sécurité et les droits d'utilisation un peu plus fins, du style droit d'installation sur workstation, modif de base de registre etc.... ?

n°566681
Dark_Schne​ider
Close the World, Open the Net
Posté le 05-10-2004 à 15:07:04  profilanswer
 

non, les Group Policies.
 
tu peux faire vraiment pas mal de trucs via les GPO concernant la sécurité, les restrictions ( machines, utilisateurs et programmes pour les programmes le supportant, ... )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°566684
GUG
Posté le 05-10-2004 à 15:09:46  profilanswer
 

certe, mais j'ai vu de nombreuses entreprises où la polituqe était de laisser les utilisateurs administrateurs de leur machine ... donc pas d'interet des gpo ...
 
maintenant d'autres entreprises les utilisent énormément ... et c'est dommage que ce ne soit pas implémenté sous samba (je ne critique pas Samba ni rien)

n°566690
Dark_Schne​ider
Close the World, Open the Net
Posté le 05-10-2004 à 15:14:07  profilanswer
 
n°566695
Dark_Schne​ider
Close the World, Open the Net
Posté le 05-10-2004 à 15:20:17  profilanswer
 

GUG> dans le premiers ce sont de mauvais admins !!! si vraiment un logiciel a besoin des droits d'admin alors ce logiciel est mal foutou.
 
cependant si tu mets ces utilisateurs dans une OU, tu peux appliquer des restrictions dessus et ce même si ils sont adminitrateurs. le trucs c'est qu'ils soient Administrateurset pas Administrateurs du domaine.
 
pire ( ou mieux ), l'application qui a besoin des droits admins. tu la monitore avec des outisl spécialisées pour voir ce qu'elle fait.
Si elle a besoin de taper des clés dans la BdR autres que HKEY_CURRENT_USER, alors tu changes les droits/ACL des clés qu'elle utilisent en disant que le groupe auxquel appartient ces utilisateurs ont les droits en écritures.
Même choses si il tapes dans son "program files" au lieu de taper dans  "Documents & settins/utilisateurs/Application data"
 
avec un peu de manip, tu peux faire l'appli marcher sans accorder les droits admins.
 
impossioble d'implemé;enter les GPO sous Samba. trop complexe.
 
il y a une forte interaction avec AD donc ssamba ne pourra le faire que vissé à LDAP sachant que LDAP ne supporte pas tout ce que fais AD.
ensuite il faut pour lancer un utilitaire qui fasse les GPO sachant que ce sont des clés de la BdR. c'est vraiment trop, trop compliqué.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°566697
GUG
Posté le 05-10-2004 à 15:21:45  profilanswer
 

Je suis bien d'accord avec toi :)  
mais par exemple à Degremont la politique de la boite est de laisser tous les utilisateurs administrateurs de leur poste  
(ce qui pose des soucis au support technique mais ca tout le monde s'en fout ...) et j'ai jamais dit que c'etait de bon admins ;)


Message édité par GUG le 05-10-2004 à 15:23:41
n°566699
GUG
Posté le 05-10-2004 à 15:23:01  profilanswer
 

>il y a une forte interaction avec AD donc ssamba ne pourra le faire que vissé à LDAP sachant que LDAP ne supporte pas tout ce que fais AD.
ensuite il faut pour lancer un utilitaire qui fasse les GPO sachant que ce sont des clés de la BdR. c'est vraiment trop, trop compliqué.
 
je disais ca comme ca ;) je ne me suis pas renseigné plus avant ;)
 
est ce qu'avec des scripts passés au loggin on peut arriver à une chose potable dans la restriction des droits and co ?


Message édité par GUG le 05-10-2004 à 15:24:31
n°566716
knives
Posté le 05-10-2004 à 15:52:26  profilanswer
 

La plupart des GPO ne sont rien de plus que des modifs sur la base de registre des stations, ca ce script sans prob oui.
 
Bizarre comme projet, je ne vois vraiment aucun avantage a la manip. Remplacer exchange ok pkoi pas a la limite on peut invoquer le prix des CAL, mais virer AD non c'est ridicule... eventuellement si ct pas deja en place...
Il n'y a pas mieux qu'active directory pour manager un parc de machines windows 2k/xp.
Je soupconne une meconnaissance certaine d'AD pour envisager de le remplacer par autre chose, surtout la partie sur kerberos... a la limite tant mieux, ca veut dire que vous n'avez pas une utilisation avancé d'AD, ca ne vous manquera pas et les fonctionnalitées de base vous suffiront.
Vous vous emmerdez au boulot ou quoi pour sortir un projet pareil? :D

n°566719
k666
dites non à petitmou
Posté le 05-10-2004 à 15:54:56  profilanswer
 

tu peux, je pense via le netlogon + script de démarrage, faire des fichiers .reg qui s'exécuteront et qui empêcheront l'utilisateur de faire des choses particulières, mais c'est un peu de la bidouille quand même ... sinon la solution dont parlait Dark est faisable: créer des groupes locaux, sur chacune des workstation, avec des droits bien prédéfinis .. puis après faire en quelque sorte que l'utilisateur se loguant sur la machine appartienne à ce groupe là; et du coup tu as une sorte de sécurité au niveau utilisateur. mais l'inconvénient, c qu'il faut passer sur chacune des machines, et si modif il y a à faire, il faut aussi tout se retaper !

n°566731
GUG
Posté le 05-10-2004 à 16:24:02  profilanswer
 

Knives : je travaille dans une SSLL (terme à la mode) et on a des samba/ldap pour authentifié des clients windows, donc non je m'emmerde pas ....
 
>Je soupconne une meconnaissance certaine d'AD pour envisager de le remplacer par autre chose
Ah bah je suis pas une brute en AD, loin de la ;)
 
k666 : la première solution est envisageable (créer des scripts de loggin) mais la deuxième non.

n°566735
initiators
Posté le 05-10-2004 à 16:27:06  profilanswer
 

Passer sur toutes les machines non. Ajouter des groupes, modifier des droits sur des fichiers et sur le registre ca se fait tres bien a travers le reseau.
 
Mais faut tester toutes les applis et voir les droits qu'il va falloir ajouter aux utilisateurs pour qu'elles marchent.
Le probleme sous Windows c'est que le debut du developement de beaucoup d'applications remonte a l'epoque Win 9x ou il n'y avait pas de droits. La plupart des devs se foutent totalement des droits necessaires a leur applis et font un joli readme qui dit "si t'es admin ca marche".

n°566737
Dark_Schne​ider
Close the World, Open the Net
Posté le 05-10-2004 à 16:32:35  profilanswer
 

k666> poledit. c'est la meileure solution. fais des .pol dans lesquelles les restcitions sont définies par utilisateurs/groupe voire machine. met dans le NETLOGON et cela se fera tout seul.
 
pour faire des .pol il te faudra :
- soit une machine NT4/2000 pour les .pol des clients 2000
- soit une machine 9x pour les .pol des clients 9x
 
le truc c'est de mettre en place le serveur samba avec winbind qui marche. ton client qui sera utilisé pour le .pol est authentifié sur le serveur samba.
Grace à winbind il peut récupérer la liste des utilisateurs/groupes et donc ton poledit pourra fonctionner correctement. Pour un 9x il ne faut pas oublier de lui dire de récupérer la liste des utilisateurs sur le domaine.
Une fois poledit installé ( dispo dans les Reskit ), tu le lance et applique tes restriction. Si il te manque des adm, tu les chopes sur internet ( fais vite car le support NT4 est fini donc ils ne traineront pas longtemps sur le site de MS ).  
Une fois fais, tu sauvegardes le .pol. Il doit avoir un nom précis : ntconfig.pol pour client NT ( NT4/2k/XP ) et config.pol pour client 9x.
tu le place dans le NETLOGON, et le tour est joué.
 
quand ton utilisateur se connecte, Windows cherche un .pol dans NETLOGON, si il existe, il cherche si il y a des restriction pour la machine, puis les groupes et enfin l'utilisateur.
Souvent tu le feras par groupes et pour des cas spécifiques pour des utilisateurs spécifiques, tu feras en plus une restriction utilisateur.
 
plus d'infos :
http://www.linux-france.org/~eprigent/
http://samba.2037.org/documentation.php


Message édité par Dark_Schneider le 06-10-2004 à 11:55:50

---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°566744
knives
Posté le 05-10-2004 à 16:38:04  profilanswer
 

GUG a écrit :

Knives : je travaille dans une SSLL (terme à la mode) et on a des samba/ldap pour authentifié des clients windows, donc non je m'emmerde pas ....

Ah mais j'avais bien compris et je n'en doute pas une seconde, je m'adressais a k666 en fait ;)  

n°567029
Kikoune
(¯`·._) Gentoo (¯`·._)
Posté le 05-10-2004 à 23:05:11  profilanswer
 

flag :)
 
le sujet m'interesse
 
interessant le coup de poledit !

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [migration win2k => samba + ldap + krb]

 

Sujets relatifs
[MDK10][Win] Sambaproblème avec samba (résolu)
Samba, rien ne fonctionne :/Un pc linux qui fait firewall, routeur, samba, cups, apache + mysql
Accès à distance à un serveur de fichiers Samba[Samba]Partage de dossier : NT_STATUS_BAD_NETWORK_NAME
serveur WINS / Sambanetbios name et workgroup samba
Connexion sans mot de passe via login AD ou SAMBA2 serveurs samba "wins"
Plus de sujets relatifs à : [migration win2k => samba + ldap + krb]


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR