[TUTORIAL] tuto pour l'authentification de postes ubuntu

[christianc]

Bonjour
Comme je l'avais précisé dans un précédent post, voici un tuto pour l'authentification des postes clients ubuntu dans le domaine de la SME.
Cette configuration fonctionne bien avec Ubuntu 8.04.2
J'ai des soucis avec la 9.04, mais j'avais essayé avec une RC. Je n'ai pas refait d'essais depuis sa sortie définitive. Je n'ai pas essayé la 8.10.
Il sera bien évidemment à compléter, car toutes les fonctionnalités ne sont peut être pas présentes, mais c'est un début.
Mes deux tutos de référence sont les suivants :
http://wiki.contribs.org/Mepis sur le site de contribs
et http://doc.ubuntu-fr.org/tutoriel/comment_integrer_machine_ubuntu_domaine_nt_samba doc ubuntu.
J'ai mixé les deux pour aboutir à un résultat satisfaisant.

1- installation des paquets

Code: Tout sélectionner

sudo apt-get install winbind libpam-mount smbfs

2- modification du fichier nsswitch

Code: Tout sélectionner

gksudo gedit /etc/nsswitch.conf

sous la forme suivante :

Code: Tout sélectionner

passwd:        compat winbind
group:         compat winbind
shadow:        compat

hosts:         files mdns4_minimal [NOTFOUND=return] dns mdns4 wins
networks:      files

protocols:     db files
services:      db files
ethers:        db files
rpc:           db files

netgroup:      nis


3- modification du fichier samba

Code: Tout sélectionner

gksudo gedit /etc/samba/smb.conf

On doit retrouver les éléments suivants :

Code: Tout sélectionner

workgroup = 'domaine de la sme'  #
security = domain                     
wins server : 192.168.1.1               # Normalement adresse IP de la SME
winbind uid = 10000-20000
winbind gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%U
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind separator = /
winbind use default domain = yes
acl compatibility = winnt


4- enregistrement des clients ubuntu sur la SME
Il faut se logger en root sur la SME taper ceci

Code: Tout sélectionner

signal-event machine-account-create poste1$
smbpasswd -a -m poste1$


poste1 est le nom de mon client ubuntu. Ne pas oublier le $, après le nom du client

5- intégration du poste client dans le domaine SME

Code: Tout sélectionner

sudo net rpc join -S IP_de_la SME -U admin

Si tout se passe bien, on doit avoir le message suivant :

Code: Tout sélectionner

Joined domain DOMAIN_SME

Code: Tout sélectionner

sudo /etc/init.d/winbind restart

6- paramétrage pour le montage automatique des ibays ou/et des dossiers utilisateurs

Code: Tout sélectionner

gksudo gedit /etc/security/pam_mount.conf.xml

et ajout vers la ligne 270 des éléments suivants :
Pour le montage des ibays

Code: Tout sélectionner

<volume fstype="cifs" server="IP_de_la SME" path="ibays1" mountpoint="/media/ibays1/" user="*" options="rw,auto,iocharset=utf8" />


Pour le montage des dossiers utilisateurs

Code: Tout sélectionner

<volume fstype="cifs" server="IP_de_la SME" path="%(USER)" mountpoint="/media/%(USER)/" user="*" options="rw,auto,iocharset=utf8" />


7- configuration de pam
J'ai suivi cette partie, car sans cela je n'arrivais pas à entrer dans une session, même si l'ensemble des utilisateurs étaient identifiés. Peut être que l'on peut améliorer !!

Code: Tout sélectionner

sudo cp /etc/pam.d/gdm /etc/pam.d/gdm.bak

Code: Tout sélectionner

gksudo gedit /etc/pam.d/gdm

On colle les éléments suivants :

Code: Tout sélectionner

auth      required       pam_mount.so
auth      sufficient     pam_winbind.so use_first_pass
auth      required       pam_unix.so use_first_pass

account   sufficient     pam_winbind.so
account   sufficient     pam_unix.so

password  required       pam_unix.so nullok obscure min=4 max=8 md5

session   required       pam_unix.so
session   optional       pam_mkhomedir.so
session   optional       pam_mount.so


Normalement tout fonctionne

8- démontage des disques à la sortie de session
Pour être sur qu'il n'y ait pas de souci lorsqu'on déconnecte un utilisateur, j'ai mis en place un démontage automatique des disques à la sortie de session

Code: Tout sélectionner

gksudo gedit /etc/gdm/PostSession/Default

dans le fichier j'inscris

Code: Tout sélectionner

umount -a

Mes manques :
Profil itinérant
Pourvoir utiliser les noms d'utilisateurs de la SME en mode déconnecter. Pour un portable par exemple. Cela permet de mettre des fichiers sur le bureau et d'y accéder en mode déconnecter. Je suppose que ce doit être possible, mais je n'ai encore travaillé la question.

Je pense que cela est totalement améliorable, mais il donne une première base pour le mettre en place.

[Franck78]

voila le genre d'initiative positive qui fait cruellement défaut sur Ixus en ce moment. C'est bien.

[Gaston]

Bonjour,
beau travail , MAIS, ATTENTION, tu modifies beaucoup de fichiers de conf et ce type de fichier est en général templatisé sur un SME.
Il est donc nécessaire de faire les modifs au niveau des templates (ou des valeurs de la db) et non directement dans le fichier de conf final
J'ai pas trop l'énergie pour investiguer plus loin, mon message n'a qu'un but informatif

G.

[christianc]

Bonjour Gaston

J'ai du mal présenter les choses, car je ne modifie rien sur la SME, en dehors du fait de déclarer les postes ubuntu. Toutes les autres commandes sont réalisées sur mes stations clientes. Peut être faudra t-il que je le précise

En tout cas merci pour vos retours

Christian

[stephdl]

chapeau bas, bravo à toi.....etant sous linux, je travaille avec des workgroups et non des domaines...
du coup je test cela des que j'ai 5 minutes.

@franck78 : je reconnais que ce forum s'enterre, ce qui me fait un peu peur pour l'avenir de la SME en tant que distribution.
à mon humble niveau, j'en fais la promotion et l'installation (4 à mon actif), mais je ne sais comment prendre le taureau par les cornes..., à part regarder vieillir cette distrib qui est du tonnerre.

[goliath940]

Idem

Je suis a 36 Distribs installée chez mes clients. et des que j'ai un petit soucis, j'ai du mal a avoir des réponse. ou sont les admins de cette distrib,

Merci de votre aide.

[pympc]

Bonjour et bravo pour ce tuto..

Juste un question bête. Dans mon fichier smb.conf, il y a des lignes avec le symbole # et d'autre avec le symbole ; au début des lignes à modifier (par exemple

# Some defaults for winbind (make sure you're not using the ranges
# for something else.)
; idmap uid = 10000-20000
; idmap gid = 10000-20000
; template shell = /bin/bash

ou

# "security = user" is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/ServerType.html
# in the samba-doc package for details.
# security = user

Faut-il enlever les ; et le # pour que ce soit conforme à la copie du tuto ?

Merci de la réponse car je bloque à ce niveau ayant peur de tout casser

[christianc]

Bonsoir

Premier principe : tu fais une sauvegarde de ton fichier smb.conf

Ensuite tu peux enlever les ; pour mettre en place les différents éléments de la configuration. Le tout étant d'avoir l'intégralité des éléments proposés dans le tuto.

Christian

[pympc]

Merci christianc

Ca pour la sauvegarde, ayant eu plusieurs déboires, je sais qu'il faut le faire et tu fais bien de le redire....

En fait, si je comprends bien les ; et # permettent de faire abstraction de toute commande inscrite sur la ligne concernée.

merci encore

[Gaston]

Bosnoir,

J'ai du mal présenter les choses, car je ne modifie rien sur la SME, en dehors du fait de déclarer les postes ubuntu. Toutes les autres commandes sont réalisées sur mes stations clientes. Peut être faudra t-il que je le précise

si tu y ajoutes une lecture trop rapide avec beaucoup de fatigue c'est le signal-event qui m'avait alerté, mais effectivement, maintenant que j'ai pris le temps de relire la proc en ne me considérant pas que comme serveur

Désolé pour la remarque inutile
G.

[axeh]

Bonjour,

j'ai suivi la procédure pour intégrer un ubuntu à ma sme
Lorsque je veux intégrer le poste client dans le domaine SME

sudo net rpc join -S 192.168.1.1 -U admin

J'ai le message suivant cannot join as standalone machine

[christianc]

Bonjour

La seule question que je te poserai à priori, c'est de savoir si tu as bien réalisé l'étape n°4, cad l'intégration de ta station dans la sme?
autre élément éventuel, est ce que ta sme est bien défini pour être PDC. Cad dans groupe de travail choisir Controleur de domaine windows.

Voilà les pistes que je vois aujourd'hui avec les éléments fournis

Cordialement
Christian

PS pour Gaston : pas de problème la lecture trop rapide cela arrive !!!!

[axeh]

Merci pour l'info,
je vais essayer à nouveau mais ç'est beaucoup plus simple avec un win xp (on crée un user dans l'interface web de la sme , on integre le pc dans le domaine sme et ça roule)

A mon avis j'ai oublié de mettre à un endroit sur mon ubuntu le nom de domaine de ma sme ...

[axeh]

dans le fichier smb.conf à workgroup = 'domaine de la sme' #


doit-on remplacer domaine de la sme par le nom de notre domaine ?

merci

[christianc]

Oui, c'est là qu'il faut indiquer le nom de domaine de la sme

Christian