7560Fermer7562
redangelLe 12/07/2019 à 19:18
flanker (./7558):
au fait, Heimdal ou MIT ? Je ne sais pas si les deux sont compatibles AD.
Bien que j'ai vu mention de ces 2 "technos" (??) sur les divers liens visités, tu me parles quand même chinois grin Je ne sais pas, moi, je chercher juste à m'authentifier à partir d'un AD 2012. Tout est possible.
Lionel Debroux (./7559):
FreeIPA, qui tire plein de dépendances dont SSSD, pour monter une CA et l'auth Kerberos + LDAP
Je peux peut-être fouiller du côté de FreeIPA alors. J'utilisais beaucoup RH/CentOS dans mon boulot d'avant, je peux à peu près transposer certaines connaissances sur Ubuntu Server.
flanker (./7560):
accessoirement, que veux-tu faire exactement ?
- que l'utilisateur s'authentifie en AD mode Kerberos pour sa session Gnome/KDE ? si oui, en mdp ou en PKCS11 ?
Merci pour ta question smile Pas de session GUI, c'est un Ubuntu Server sans autre chose que du CLI.
flanker (./7560):
- que l'utilisateur ouvre un partage réseau Samba kerberisé ?
Nope.
flanker (./7560):
- que l'utilisateur récupère ses infos depuis l'AD mode LDAP ?
Non plus (enfin sauf si c'est nécessaire à l'authentification et oui, ça l'est pour définir quel groupe AD a droit d'être sudoer, mais ça c'est bon je sais où c'est (==visudo)).
Je ne cherche qu'une chose: ne pas utiliser ni root ni le compte générique (qu'on a appelé admxxx), mais bien des comptes authentifiés pour SSH. Je suppose que je pourrais configurer ldap sur l'ad (je sais que ça marche), mais je pensais qu'utiliser des paquets qui connaissent nativement ActiveDirectory (et donc Kerberos, je dis pas de bêtise?) était une meilleure idée. Surtout que normalement, c'est "simple" à configurer ! (Là où pour ldap, il faut ne serait-ce qu'un utilisateur qui sait browser l'ad, et donc un mdp).
flanker (./7560):
Sinon, question bête et méchante : les machines sont-elles à l'heure ? Si tu n'as pas de ntp sur le réseau, oublie Kerberos ^^
Oui je me suis assuré que nos AD sont synchros avec un NTP (que j'ai installé moi-même), et la machine Ubuntu server en question est bien synchro avec le DC primaire de l'ad.
flanker (./7560):
lancer strace pour voir les soucis.
J'ai fait 2 ou 3 fois (vu sur certains articles de troubleshoot), c'est... verbeux grin J'ai pu voir une fois mention d'un fichier utile, sinon c'est que du fichier temporaire (ai-je l'impression).

(Merci à vous).