Squid et active directory

[Samano]

Bonjour j'essaie actuellement d'intégrer mon serveur proxy sous squid a mon controleur de domaine active directory. ( je travaille sur Ubuntu 7.10 )
La commande kinit marche bien je crois par contre "net join -U adm" me renvoie l'erreur ci dessous apres m'avoir fait rentrer le mot de passe adm.

Failed to join domain: Operations error
ADS join domain not work, falling back to RPC...
Unable to find a suitable server
Unable to find a suitable server

Voila les config de mes fichiers :

krb5.conf

Code: Tout sélectionner

[libdefaults]
default_realm = XXXXX.NET
clock_skew = 300
ticket_lifetime = 24000
default_txt_enctypes = des3-hmac-sha des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true

[realms]
XXXXX.NET = {
kdc = XX.XX.XX.XX (IP)
admin_server = XX.XX.XX.XX (IP)
defaut_domain = xxxxx.net
}

[domain_realm]
.domainead = XXXXX.NET
domainead = XXXXX.NET

smb.conf

Code: Tout sélectionner

[global]
workgroup = xxxxx.net
realm = XXXXX.NET
security = ads
encrypt passwords = yes

password server = xx.xx.xx.xx (IP)

idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes

Faut il faire quelque chose de spécial sur la machine active directory ?

En passant j'ai pas bien saisie le role de kerberos quelqu'un pourait m'expliquer svp ?

[arapaho]

Pour kerberos, une simple recherche sur le net (ce protocole existant depuis une semi-éternité):
http://www.isi.edu/~brian/security/kerberos.html et http://www.xml-dev.com/blog/index.php?a ... opic&id=21

[Samano]

Petit up s'il vous plait

[arapaho]

Est-ce que tu réalises ton kinit avec un compte du groupe admins du domaines ?

Est-ce que tu réalises ton net ADS join avec un compte du groupe admins du domaines ?

[Samano]

kinit et net join sont tout 2 réalisé avec le compte adm qui est administrateur du domain.

[arapaho]

Existe-t-il une restriction particulière concernant l'ajout de comptes machines au domaine ?

[Samano]

Non je ne crois pas ...
Le serveur devrai s'ajouter tout seul au domaine ou je doit le faire via mon controleur de domaine ?

Sinon d'après toi la config de mes fichier est bonne ? Parsque la je tourne en rond depuis un bon bout de temps =S

[Samano]

Up svp

[arapaho]

Postulat de base:
- Les commandes sont réalisées en tant que root.
- Le compte 'blah@REALM.LAN' est un compte Active Directory faisant partie du groupe "admins du domaine".
- "REALM.LAN" étant le royaume kerberos de l'Active Directory, en considérant que 'realm.lan' est le domaine DNS de l'Active Directory, 'REALM.LAN' est le royaume kerberos et 'REALM' est le domaine netbios à joindre.
(A modifier en fonction des véritables informations de ton infra.)

D'abord, modifie dans krb5.conf:
dans la déclaration de ton royaume
- ne pas mettre les ips, juste le fqdn du contrôleur AD aussi bien pour le kdc que pour l'admin_server
- ne pas mettre la directive default_domain
Dans la section [domainrealm], enlève les informations concernant ton realm. Elle n'ont pas besoin d'y figurer pour simplifier la configuration.

Et ensuite, pourrais-tu poster les informations suivantes stp:

kinit blah@REALM.LAN -> donner les informations retournées s'il y en a
klist -> donner les informations retournées s'il y en a

net ads joins -U blah -> donner les informations retournées s'il y en a

[Samano]

Bon j'ai modifier ma configuration tel que tu l'avais indiqué donc

- kinit adm@REALM.LAN

Me demande le password que je saisie ( aucune erreur donc n'affiche rien )


- klist

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: adm@XXXXXX.NET

Valid strating_______Expires___________Service principal
02/18/08 09:29:52__02/18/08 16:09:52__krbtgt/XXXXXX.NET@XXXXXX.NET

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

- net ads join -U adm

Me demande le password que je saisie

Using short domain name -- YYYY
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'NOMPROXY' in realm 'XXXXXX.NET'
Failed to join domain: Type or value exists

[arapaho]

Ok. J'avais pas vu la typo dans ta configuration Samba.
Donc je pars du principe que tu as su faire la distinction entre nom de domaine DNS et nom de domaine Netbios lors de la création de l'Active Directory.

Ta conf Samba indique un workgroup XXXX.net et un royaume kerberos XXXX.net. Passe le workgroup en simplement XXXX, donc simplement sans le suffixe .net. et rejoue la procédure.

[Samano]

A la base j'avais ce message:

The workgroup in /etc/samba/smb.conf does not match the short
domain name obtained from the server.
Using the name [YYYY] from the server.
You should set 'workgroup = YYYY" in /etc/samba/smb.conf.

J'ai donc modifié un poil la config samba, après mon premier test le workgroup était XXXXXX.NET
et il m'a conseillé d'utiliser YYYY ( voir erreur ci dessus ) donc je l'ai modifié et j'ai a présent le message du post précédent.

Using short domain name -- YYYY
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'NOMPROXY' in realm 'XXXXXX.NET'
Failed to join domain: Type or value exists

Pour la structure de l'AD j'avoue que je ne sais pas trop vu que je suis juste stagiaire et que j'ai donc un accés assez limité a L'AD.

Actuellement mon smb.conf est comme ceci.

Code: Tout sélectionner

[global]
workgroup = YYYY
realm = XXXXX.NET
security = ADS
encrypt passwords = yes

password server = FQDN

idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes

[arapaho]

Quel est le contenu de /etc/resolv.conf ?
Que donne les commandes

Code: Tout sélectionner

hostname
hostname -f

[Samano]

resolv.conf

Code: Tout sélectionner

domain xxxxxx.net
nameserver xx.xx.xx.xx (IP Controleur domaine)

hostname

proxy-squid (le nom de ma machine)

hostname -f

hostname: Unknown host

[arapaho]

dans resolv.conf, rajouter search xxxxx.net

Ensuite, ton serveur est mal configuré pour ce qui est de son nom fqdn.
A corriger, et tout rentrera probablement dans l'ordre.