Bonjour.
Donc voila mon soucis:
Je n'arrive pas à intégrer mon SME dans un AD sous un serveur 2003, c'est le serveur 2003 qui est controleur de domaine. Je cherche juste à integrer SME dans le domaine, sans succes.... Si quelqu'un peut m'aider ou me donner un tuto qui fonctionne.. Pour vérifier toutes les configs de smb.conf, krb5 etc..
Merci.
Intégrer SME7.4 dans un AD sous 2003
Modérateur: modos Ixus
18 messages
• Page 1 sur 2 • 1, 2
Intégrer SME7.4 dans un AD sous 2003
par JouL29 » 17 Déc 2008 10:46
- JouL29
- Quartier Maître
- Messages: 19
- Inscrit le: 17 Déc 2008 10:41
par sibsib » 17 Déc 2008 22:26
Hello,
En fait, SME n'est pas conçue pour être ajoutée dans un domaine.
Les concepteurs de SME ont prévu soit le mode Workgroup, soit le mode contrôleur de domaine (dans le sens PDC)
Si tu souhaites simplement que ton SMe puisse atteindre des ressources de ton domaine, le plus simple est de le mettre en mode workgroup, avec comme nom de workgroup le nom de ton domaine. Après, il faudra t"arranger pour avoir des comptes identiques sur le domaine 2003 et sur SME (y compris au niveau des passwords).
Si tu souhaites vraiment intégrer ton SME dans un domaine, de manière à profiter au niveau des postes clients d'une authentification unique... ben je pense que SME n'est pas faite pour toi. Tu arriveras bien plus facilement à tes fins avec une distro Linux standard - bien que à ma connaissance, il te faudra tout de même créer tous les comptes de ton domaine sur ton Linux, mais au moins pas de problèmes au niveau des mots de passe.
En effet, tout sur SME est basé sur le panneau de config, et les droits sont gérés par rapports aux comptes créés dans ce panneau. Et je ne connais pas de contrib qui change ce mode de fonctionnement (mais je ne connais de loin pas tout !)
A+,
Pascal
En fait, SME n'est pas conçue pour être ajoutée dans un domaine.
Les concepteurs de SME ont prévu soit le mode Workgroup, soit le mode contrôleur de domaine (dans le sens PDC)
Si tu souhaites simplement que ton SMe puisse atteindre des ressources de ton domaine, le plus simple est de le mettre en mode workgroup, avec comme nom de workgroup le nom de ton domaine. Après, il faudra t"arranger pour avoir des comptes identiques sur le domaine 2003 et sur SME (y compris au niveau des passwords).
Si tu souhaites vraiment intégrer ton SME dans un domaine, de manière à profiter au niveau des postes clients d'une authentification unique... ben je pense que SME n'est pas faite pour toi. Tu arriveras bien plus facilement à tes fins avec une distro Linux standard - bien que à ma connaissance, il te faudra tout de même créer tous les comptes de ton domaine sur ton Linux, mais au moins pas de problèmes au niveau des mots de passe.
En effet, tout sur SME est basé sur le panneau de config, et les droits sont gérés par rapports aux comptes créés dans ce panneau. Et je ne connais pas de contrib qui change ce mode de fonctionnement (mais je ne connais de loin pas tout !)
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par Franky05 » 17 Déc 2008 23:25
Bonjour,
Comme te l'as dit sibsib tu ne pourras joindre la sme au domaine comme tu l'aurais fait avec un poste client lambda. J'ai visiblement la même architecture que toi à savoir un 2003 en PDC et ma sme en serveur/passerelle.
Par contre les commandes net use sont très bien reconnues et du coup tu peux monter un lecteur réseau qui pointe sur les homes de la sme des users de ton réseau lorsqu'ils ouvrent une session windows. J'ai fait un petit script intégré dans l'AD du 2003 et ça fonctionne nikel. Bien entendu les login et MDP des users sont identiques sur la SME et sur le 2003. Je ne sais pas si ça peut te servir et si ça répond à tes attentes...
Voilà, @++
Comme te l'as dit sibsib tu ne pourras joindre la sme au domaine comme tu l'aurais fait avec un poste client lambda. J'ai visiblement la même architecture que toi à savoir un 2003 en PDC et ma sme en serveur/passerelle.
Par contre les commandes net use sont très bien reconnues et du coup tu peux monter un lecteur réseau qui pointe sur les homes de la sme des users de ton réseau lorsqu'ils ouvrent une session windows. J'ai fait un petit script intégré dans l'AD du 2003 et ça fonctionne nikel. Bien entendu les login et MDP des users sont identiques sur la SME et sur le 2003. Je ne sais pas si ça peut te servir et si ça répond à tes attentes...
Voilà, @++
- Franky05
- Aspirant
- Messages: 117
- Inscrit le: 25 Mars 2008 08:13
par JouL29 » 18 Déc 2008 10:40
Ca peut me servir pcq je crois que j 'ai pas le choix de me rabattre sur cette solution 
Mais a vrai dire je suis en stage et mon projet est d'intégrer une SME dans un domaine/AD 2003.
Depuis hier dans mon voisinage réseau ma SME est intégré dans le domaine pourtant quand je tape les commandes pour l'intégrer j'ai que des messages d'erreurs. Donc je me pose la question, est ce qu'elle est bien dans le domaine ? Pcq dès que j'allume ma SME elle apparait directement dans mon AD et dans le domaine.
Par contre impossible d'effectuer les commandes wbinfo -u qui devrait me ramené tous les users de l'AD donc je galère maintenant ...
Mais a vrai dire je suis en stage et mon projet est d'intégrer une SME dans un domaine/AD 2003.
Depuis hier dans mon voisinage réseau ma SME est intégré dans le domaine pourtant quand je tape les commandes pour l'intégrer j'ai que des messages d'erreurs. Donc je me pose la question, est ce qu'elle est bien dans le domaine ? Pcq dès que j'allume ma SME elle apparait directement dans mon AD et dans le domaine.
Par contre impossible d'effectuer les commandes wbinfo -u qui devrait me ramené tous les users de l'AD donc je galère maintenant ...
- JouL29
- Quartier Maître
- Messages: 19
- Inscrit le: 17 Déc 2008 10:41
par jdh » 18 Déc 2008 11:19
Je fais une remarque générale car je ne connais pas bien SME.
Dans la config Samba d'un serveur linux, on a un paramètre
WORKGROUP = xxxxx
Si ce xxxxx est le nom de domaine, le serveur apparaitra dans la liste de "Favoris réseaux > Tout le réseau > Réseau Microsoft Windows > xxxxx" MAIS cela ne garantie pas que l'on pourra y accéder !
En effet, il y a une différence entre l'apparition en tant que serveur (Netbios) d'un workgroup/domaine et qu'on puisse s'y identifier (avec utilisateur/mdp).
D'ailleurs, si vous utiliser un pc perso avec XP home qui est (forcément) dans un workgroup de même nom que le domaine de votre entreprise, si vous définissez sur le pc perso un utilisateur qui existe dans le domaine et avec le même mot de passe, vous accéderez à tous les serveurs du domaine très facilement.
Le point clé est donc de paramétrer Samba pour que les utilisateurs authentifiés sur le samba soient ceux du domaine. D'où WindBind et les outils wbxxxx ainsi que kerberos (nécessaire pour ActiveDir >2000).
Dans la config Samba d'un serveur linux, on a un paramètre
WORKGROUP = xxxxx
Si ce xxxxx est le nom de domaine, le serveur apparaitra dans la liste de "Favoris réseaux > Tout le réseau > Réseau Microsoft Windows > xxxxx" MAIS cela ne garantie pas que l'on pourra y accéder !
En effet, il y a une différence entre l'apparition en tant que serveur (Netbios) d'un workgroup/domaine et qu'on puisse s'y identifier (avec utilisateur/mdp).
D'ailleurs, si vous utiliser un pc perso avec XP home qui est (forcément) dans un workgroup de même nom que le domaine de votre entreprise, si vous définissez sur le pc perso un utilisateur qui existe dans le domaine et avec le même mot de passe, vous accéderez à tous les serveurs du domaine très facilement.
Le point clé est donc de paramétrer Samba pour que les utilisateurs authentifiés sur le samba soient ceux du domaine. D'où WindBind et les outils wbxxxx ainsi que kerberos (nécessaire pour ActiveDir >2000).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par JouL29 » 18 Déc 2008 11:37
Mais le fait de la voir dans favoris réseau , ca veut tout de mm dire que la SME est intégrée dans ce domaine ? Bien qu'elle n'est pas accessible pour le moment..
Concernant winbind , si j'effectue wbinfo -g , j'obtient comme réponse; Builtin#Administrateur et Builtin#Users ...
Concernant kerberos, j'ai configuré le fichier avec les différents tuto que j'ai trouvé mais quand je tape kinit, ca me dit que la commande n'existe pas :S
Si quelqu'un peut m'aider
Concernant winbind , si j'effectue wbinfo -g , j'obtient comme réponse; Builtin#Administrateur et Builtin#Users ...
Concernant kerberos, j'ai configuré le fichier avec les différents tuto que j'ai trouvé mais quand je tape kinit, ca me dit que la commande n'existe pas :S
Si quelqu'un peut m'aider
- JouL29
- Quartier Maître
- Messages: 19
- Inscrit le: 17 Déc 2008 10:41
par ccnet » 18 Déc 2008 12:14
Mais le fait de la voir dans favoris réseau , ca veut tout de mm dire que la SME est intégrée dans ce domaine ? Bien qu'elle n'est pas accessible pour le moment..
Si mes souvenirs sont bons dans un workgroup l'authentification repose sur une base de comptes locale (située sur la machine où se trouve la ressource partagée) alors que dans un domaine la base de comptes est centralisée et unique pour l'ensemble des machines du domaine. On voit bien par là que la seule présence dans les favoris ou le voisinage réseau ne suffit à dire que la machine appartient au domaine.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par JouL29 » 18 Déc 2008 17:40
J'ai finalement réussi, mon serveur SME est vu comme un ordinateur lambda dans l'active directory et il intègre bien le domaine
merci a ceux qui ont répondu !
merci a ceux qui ont répondu !
Dernière édition par JouL29 le 09 Jan 2009 12:35, édité 1 fois au total.
- JouL29
- Quartier Maître
- Messages: 19
- Inscrit le: 17 Déc 2008 10:41
par JouL29 » 19 Déc 2008 16:44
Au préalable il faut évidemment s’assurer que la SME et le serveur 2003 soient dans le même réseau et peuvent se joindre. (Un ping entre les 2 ne fait pas de mal)
Voici les noms utilisés dans mon exemple :
- nom du domaine court : ghostland
- nom du domaine long : ghostland.local
- nom du contrôleur de domaine : Olympus
- nom de la machine SME: test2
- nom du compte Admin. : administrateur
Il faut savoir que pour réaliser cette opération, le respect des majuscules et minuscules est important.
Sur la SME7.4, Samba est déjà installé donc il faut simplement modifier ou ajouter des lignes dans la section [global] du /etc/samba/smb.conf :
Winbind permet de récupérer les utilisateurs et les groupes du contrôleur de domaine Windows, pour éviter de gérer plusieurs bases de données d’utilisateurs
Ensuit vous redémarrez :
- samba : /etc/rc.d/init.d/smb restart
- winbind : /etc/rc.d/init.d/winbind restart
A savoir que winbind ne se lance pas au démarrage donc si vous redémarrer votre SME, n’oubliez pas de relancer winbind.
Ensuite il faut configurer le fichier /etc/resolv.conf :
Pour rattacher la machine au domaine Active Directory :
Maintenant la SME est visible dans l’Active directory en tant que ‘computer’ et accessible via le voisinage réseau.
Il faut Modifier /etc/nsswitch.conf pour que winbind fonctionne correctement. Je rappel que winbind permet de “mapper” les utilisateurs d’un domaine pour qu’ils soient accessibles par samba, sans que les utilisateurs Unix existent réellement
Je précise que certaines fois les modifications ne sont pas prises en compte et il faut passer par le servermanager. (Pour ma part pour changer le nom de domaine de la SME)
Voici quelques commandes que l’on peut utiliser après intégration d’un domaine :
- wbinfo –u, liste tous les utilisateurs du domaine (AD)
- wbinfo –g, liste tous les groupes du domaine (AD)
- getent passwd, vérifier que les utilisateurs du domaine sont ajoutés à la liste des utilisateurs du serveur Linux avec les bons uid (ceux qui sont prédéfinis dans winbind idmap uid = 10000-20000)
- getent group la même chose avec les groupes d’utilisateurs (winbind idmap gid = 10000-20000)
Voici les noms utilisés dans mon exemple :
- nom du domaine court : ghostland
- nom du domaine long : ghostland.local
- nom du contrôleur de domaine : Olympus
- nom de la machine SME: test2
- nom du compte Admin. : administrateur
Il faut savoir que pour réaliser cette opération, le respect des majuscules et minuscules est important.
Sur la SME7.4, Samba est déjà installé donc il faut simplement modifier ou ajouter des lignes dans la section [global] du /etc/samba/smb.conf :
- Code: Tout sélectionner
domain master = no
hosts allow = 127.0.0.1 192.168.0.0/255.255.0.
netbios name = test2
security = ads
server string = SME Server
workgroup = ghostland
realm = ghostland.local
###### Config Winbind #######
winbind separator = \
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
Winbind permet de récupérer les utilisateurs et les groupes du contrôleur de domaine Windows, pour éviter de gérer plusieurs bases de données d’utilisateurs
Ensuit vous redémarrez :
- samba : /etc/rc.d/init.d/smb restart
- winbind : /etc/rc.d/init.d/winbind restart
A savoir que winbind ne se lance pas au démarrage donc si vous redémarrer votre SME, n’oubliez pas de relancer winbind.
Ensuite il faut configurer le fichier /etc/resolv.conf :
- Code: Tout sélectionner
domain = ghostland
nameserver = x.x.x.x.x #(ipdu2003)
Pour rattacher la machine au domaine Active Directory :
- Code: Tout sélectionner
Net ads join -U administrateur%password -S x.x.x.x #(ipdu2003)
Joined ‘TEST2 ‘ to realm ‘GHOSTLAND.LOCAL’
Maintenant la SME est visible dans l’Active directory en tant que ‘computer’ et accessible via le voisinage réseau.
Il faut Modifier /etc/nsswitch.conf pour que winbind fonctionne correctement. Je rappel que winbind permet de “mapper” les utilisateurs d’un domaine pour qu’ils soient accessibles par samba, sans que les utilisateurs Unix existent réellement
- Code: Tout sélectionner
passwd: files winbind
group: files winbind
shadow: files winbind
hosts: files dns wins
networks: files dns
protocols: db files
services: db files
ethers: db files
rpc: db files
Je précise que certaines fois les modifications ne sont pas prises en compte et il faut passer par le servermanager. (Pour ma part pour changer le nom de domaine de la SME)
Voici quelques commandes que l’on peut utiliser après intégration d’un domaine :
- wbinfo –u, liste tous les utilisateurs du domaine (AD)
- wbinfo –g, liste tous les groupes du domaine (AD)
- getent passwd, vérifier que les utilisateurs du domaine sont ajoutés à la liste des utilisateurs du serveur Linux avec les bons uid (ceux qui sont prédéfinis dans winbind idmap uid = 10000-20000)
- getent group la même chose avec les groupes d’utilisateurs (winbind idmap gid = 10000-20000)
Dernière édition par JouL29 le 05 Jan 2009 10:58, édité 1 fois au total.
- JouL29
- Quartier Maître
- Messages: 19
- Inscrit le: 17 Déc 2008 10:41
par Muzo » 19 Déc 2008 17:01
Bonjour,
Attention, le fichier smb.conf est "templatisé". DOnc au prochain redémarrage de ta SME, toute ta conf est perdue.
Il faut donc que tu transformes tes modifications en templates.
/Muzo
Attention, le fichier smb.conf est "templatisé". DOnc au prochain redémarrage de ta SME, toute ta conf est perdue.
Il faut donc que tu transformes tes modifications en templates.
/Muzo
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
18 messages
• Page 1 sur 2 • 1, 2
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité