Proxy SQUID avec authentification AD sous Ubuntu

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Proxy SQUID avec authentification AD sous Ubuntu

sennin31

Bonjour à tous.

Avant toute chose, sachez que j'ai entièrement parcouru le thread suivant :

http://forum.hardware.fr/hfr/OSAlt [...] 1066_1.htm

où la personne avait exactement le même problème que moi (au début en tout cas), mais même en utilisant les mêmes solutions, rien n'a changé de mon côté.

Je suis en train de suivre le tuto suivant :

http://doc.ubuntu-fr.org/tutoriel/ [...] _directory

pour réaliser une authentification AD via mon proxy squid (que je n'ai pas encore installé/configuré).

Je suis bloqué à l'étape où je dois demander un ticket avec la commande kinit, qui me retourne ceci :

Citation :

sudo kinit Administrateur
kinit: Realm not local to KDC while getting initial credentials

Voici mon fichier krb5.conf :

Citation :

[libdefaults]
default_realm = DOMAIN-NAME.LOCAL
clock_skew = 300
ticket_lifetime = 24000
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
DOMAIN-NAME.LOCAL = {
kdc = dc-name
admin_server = dc-name
default_domain = DOMAIN-NAME.LOCAL
}
[domain_realm]
.domain-name = DOMAIN-NAME
domain-name = DOMAIN-NAME

Je pense que le problème pourrait venir d'une conf DNS, non?

Des idées?

EDIT : j'ai un peu avancé, maintenant mon krb5.com est comme ça :

Citation :

[libdefaults]
default_realm = DOMAIN-NAME
clock_skew = 300
ticket_lifetime = 24000
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN-NAME = {
kdc = DC-NAME
admin_server = DC-NAME
default_domain = DOMAIN-NAME
}
[domain_realm]
.domain-name = DOMAIN-NAME
domain-name = DOMAIN-NAME

Kerberos me demande maintenant le mot de passe Administrateur lorsque j'essaie de créer un ticket, mais il plante toujours :

Citation :

kinit Administrator@DOMAIN-NAME
Password for Administrator@DOMAIN-NAME:
kinit: KDC reply did not match expectations while getting initial credentials

EDIT 2 et solution :

Il suffit de demander le ticket comme ça :

Citation :

kinit Administrator@DC-NAME

Message édité par sennin31 le 11-04-2012 à 16:52:49

Publicité

sennin31

Bon en fait un autre problème s'est posé plus loin :

voilà ce que j'ai maintenant :

Citation :

kinit Administrator@DC-NAME
Password for Administrator@DC-NAME:
bgimet@ubuntu:~$ sudo net ads join -U Administrateur
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: This operation is only allowed for the PDC of the domain.

J'ai pas compris là, et quand je fais un sudo klist, il me dit ça :

Citation :

klist: No credentials cache found (ticket cache FILEtmp/krb5cc_0)

Cela veut il dire que mon klist n'a pas marché? Pourtant je n'ai plus de message d'erreur...

EDIT :

Bon en fait il fallait lancer la demande de ticket en sudo pour qu'il fonctionne...

Par contre toujours le même message d'erreur quand j'essaie de joindre le domaine...

Edit 2 : petit à petit, l'oiseau fait son nid

J'ai réussi à passer cette étape, le problème venait du fait qu'il manquait la ligne

Citation :

security = ADS

dans mon fichier smb.conf.

Maintenant j'en suis là :

Citation :

bgimet@ubuntu:~$ sudo net ads join -U Administrateur
Enter Administrateur's password:
Failed to join domain: failed to lookup DC info for domain 'DC-NAME' over rpc: Logon failure

Effectivement quand je fais un nslookup de DC-NAME, pas d'informations sur le DC..mais je sais pas pourquoi....

Message édité par sennin31 le 11-04-2012 à 17:52:14

sennin31

Problème résolu en modifiant le fichier de conf de samba.

Aujourd'hui j'en suis là :

Citation :

bgimet@ubuntu:~$ sudo net join -U Administrator -S DOMAIN-NAME
Enter Administrator's password:
[2012/04/12 11:50:38.972691, 0] libads/sasl.c:821(ads_sasl_spnego_bind)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect to AD: Invalid credentials
ADS join did not work, falling back to RPC...
Enter Administrator's password:
[2012/04/12 11:50:48.196182, 0] utils/net_rpc_join.c:406(net_rpc_join_newstyle)
Error in domain join verification (credential setup failed): NT_STATUS_INVALID_COMPUTER_NAME

Unable to join domain DIMAIN-NAME.

Je pense que le problème vient du fichier de conf samba qui a cette tête pour le moment :

Citation :

[global]
workgroup = DOMAIN-NAME
realm = FDQN
password server = fdqn
security = ads

Si quelqu'un passe par là et a une idée pour m'aider je suis preneur!

sennin31

En bidouillant un peu j'ai l'impression d'avoir avancé, mais j'ai cette erreur :

Citation :

sudo net ads join -U Administrator%MOTDEPASSE -W DOMAIN-NAME -S DOMAIN-NAME
[2012/04/12 14:44:53.133784, 0] libads/sasl.c:821(ads_sasl_spnego_bind)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect to AD: Invalid credentials

Help!

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

Proxy SQUID avec authentification AD sous Ubuntu

Sujets relatifs
Ubuntu : Verouillage clavier et souris	(RESOLU) Fork d'ubuntu, grub et MBR de seven : galères en vue ?
petit probleme connexion borne d'acces wifi libre d'acces sous ubuntu	Je n'arrive à installé de programmes sous ubuntu
SQUID transparent redirection https	[résolu] Problème d'installation Linux : Suse (kernel freeze)
seven & ubuntu	Accès internet sur Ubuntu via VMware
Installer Ubuntu dans Hp Compaq NC6000 ?	Proxy SQUID avec authentification AD sous Ubuntu 9.10
Plus de sujets relatifs à : Proxy SQUID avec authentification AD sous Ubuntu

Page générée en 0.046 secondes