Prerequis :
Server win2k ou win2k3 en controlleur de domaine, disposé d'un compte administrateur du domaine.
Un serveur Debian.
Les etapes:
Installation des packages de base :
#aptitude install krb5-user libpam-krb5 winbind samba ntpdate
De là 1er chose à faire : synchronisation de l'heure avec le serveur Windows 2000/2003 Server
J'ai eu, personnellement, le fuseau horaire qui n'etait pas pris en compte donc decalage heure -2 d'ou soucis dans les logs...
Commencons
Paramétrage de krb.conf
#vi /etc/krb5.conf
[libdefaults]
default_realm = MACKOW.ORG
clock_skew = 300
ticket_lifetime = 24000
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
MACKOW.ORG = {
kdc = Srv2003
admin_server = srv2033
default_domain = MACKOW.ORG
}
[domain_realm]
.mackow = MACKOW
mackow = MACKOW
Verification Dns et hostname
vi :etc/resolv.conf
search mackow.org
nameserver 192.168.0.1
nameserver 192.168.0.2
Votre hostname est important, il doit contenir le FQDN de votre machine pour que le compte puisse etre enregistrer sur le serveur 2003
Vi /etc/hosts
127.0.0.1 localhost.localdomain localhost localhost
192.168.0.5 proxy.mackow.orgl proxy proxy
Test de connection au serveur Active Directory
kinit lf_alma
Password for lf_alma@MACKOW.ORG:
puis
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: lf_alma@MACKOW.ORG
Valid starting Expires Service principal
09/04/07 10:49:31 09/04/07 20:49:31 krbtgt/MACKOW.ORG@MACKOW.ORG
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Nous sommes donc ok dans ce cas, ne pas s'attacher au message d'erreur des 2 dernières lignes.
SaMBa?
Arreter Samba et Winbind
/etc/init.d/winbind stop
/etc/init.d/samba stop
Puis renommer le /etc/samba/smb.conf en /etc/samba/smb.conf.old
Recreer un /etc/samba/smb.conf
[global]
workgroup = mackow
realm = MACKOW.ORG
security = ads
encrypt passwords = yes
password server = srv2003.mackow.org
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
Redemarrer ensuite les services:
# /etc/init.d/samba start
# /etc/init.d/winbind start
Rejoindre le domaine AD
net join -U administrateur
Admin's password:
Using short domain name -- MACKOW
Joined 'proxy' to realm 'MACKOW.ORG'
Logiquement tout devrait etre ok, sinon verifier smb.conf et krb5.conf au niveau de vos paramètres FQDN, et nom cours de domaine.
Verification
Tester l'interrogation des groupes et utilisateurs
#webinfo -g
#webinfo -u
Squid
installer squid via
#aptitude install squid
Voici mon squid.conf ou du moins ce que j'y ai ajouté:
#**Paramètre ntlm d'authentification de connection**
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param basic children 5
auth_param basic realm proxy.mackow.org
auth_param basic credentialsttl 2 hours
#**Groupe de l'AD autorisé à se connecter à Internet**
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MACKOW.ORG\\users_internet
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MACKOW.ORG\\users_internet
#**ACL d'autorisation de connection
acl ntlm proxy_auth REQUIRED
http_access allow ntlm
#**Reconnaissance nom Netbios
append_domain .mackow.org
#Obligation de passage par le proxy
always_direct deny all
never_direct allow all
Resolution des soucis
Si avec tout ca, vous etes confronté à quelques soucis, il faut s'assurer que le repertoire /var/run/samba/winbind_privileged appartient bien a l'utilisateur Proxy ou squid (selon les distributions).
chmod -R 750 /var/run/samba/winbind_privileged
chown -R proxy /var/run/samba/winbind_privileged
chgrp -R proxy /var/run/samba/winbind_privileged
Analyser bien les logs mais ca tourne sans soucis.
Reste a mettre les users autorisés dans le groupe AD adequat...
Je reste à l'ecoute si soucis.