Re: Samba et active directory

To: debian-user-french@lists.debian.org
Subject: Re: Samba et active directory
From: Raphaël RIGNIER <raphael@rignier.com>
Date: Wed, 05 Apr 2006 08:50:04 +0200
Message-id: <[🔎] 20060405085004.l0mj479xc0gg480g@webmail.rignier.com>
In-reply-to: <[🔎] 4432B049.4040707@habitat-humanisme.org>
References: <[🔎] 035E8AC08693D411BF6400508BA24DF90443A558@msgpref14.calvados.pref.mi> <[🔎] 4432B049.4040707@habitat-humanisme.org>


Le mar, 04 avr 2006, Pierre-Matthieu Alamy
<pm.alamy@habitat-humanisme.org> a gentiment écrit:

TOUZEAU Pierre SGAR14 a écrit :

Bonjour !

[...]



Effectivement, Kerberos est de mise concernant l'intégration de
samba dans un environnement AD. AD repose sur ce protocole
d'authentification reseau. Winbind devra également être présent
pour résoudre les noms d'utilisateurs et les groupes émanant de
votre structure AD. Pour ce qui est de l'utilisation de LDAP, je ne
vois pas vraiment dans quel cadre vous souhaitez l'utilisez.
En effet, le trio samba-kerberos-winbind est à même de vous
permettre la mise en place d'un serveur de fichier pour environnement
microso~
Nul besoin de compiler quoi que ce soit.

 Quelqu'un saurait, dans un 1er temps, m'indiquer  :

[...]


 * disposer d'un systeme de fichier permettant l'utilisation des ACLs
pour la/les partition/s qui vont servir les fichiers à partager.
 * installer et configurer kerberos avec les realms de votre AD.
Attention toute fois aux problemes de synchronisation de temps entre
les serveurs.
 * installer et configurer samba et winbind.
 * c'est facile à dire :)

-----


Oui, je crois que tout est dit en effet :-)
Sache qu'il existe aussi une autre solution qui consiste à intégrer
directement les UID/GID Unix dans Active Directory à l'aide de
Microsoft SFU 3.5, puis remplacer winbindd par libnss-ldap.

Avantage :
- pas de problème de synchronisation si tu as plusieurs serveurs Samba
- tout est centralisé dans l'AD.
- Utiliser un système moins dépendant de Samba mais beaucoup plus de l'AD.

Inconvénient :
- complexe à mettre en oeuvre, car il faut prévoir un ticket kerberos
valide permanent entre les serveurs AD et samba (on peut
éventuellement s'en passer via une authentification LDAP en clair à
chaque requête ...)
- la structure de l'AD est irrémédiablement modifiée
- sans en être vraiment sûr, moins performant que WINBIND car
génère plus de trafic LDAP. Ce problème peut être en partie réglé
par nscd.

J'utilise cette solution sur établissement scolaire de plus de 100
postes et 1000 comptes élèves et profs par serveur Samba, avec
profils errants, sans trop de problèmes. Sauf qaund les utilisateurs
ont la mauvaise idée d'installer google Earth qui explose leurs profils.

Le réseau n'est jamais vraiment utilisé à 100%, c'est peut être ce
qui nous sauve :-). Je n'ai pas mis non plus les ACL en place. Les
droits UNIX sont suffisants dans la plupart cas. D'autres partages
spécifiques subsistent en NTFS :-(.

--
Envoyé avec IMP 4

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

Reply to:

References:
- Samba et active directory
  - From: TOUZEAU Pierre SGAR14 <pierre.touzeau@basse-normandie.pref.gouv.fr>
- Re: Samba et active directory
  - From: Pierre-Matthieu Alamy <pm.alamy@habitat-humanisme.org>

Prev by Date: Re: ubuntu :: sources.list
Next by Date: Re: script de redémarrage de apache
Previous by thread: Re: Samba et active directory
Next by thread: Ghost
Index(es):
- Date
- Thread