Re: Authentification mixte Linux/AD

To: "debian-user-french@lists.debian.org" <debian-user-french@lists.debian.org>
Subject: Re: Authentification mixte Linux/AD
From: Pierre Malard <plm@teledetection.fr>
Date: Sat, 25 Apr 2020 09:51:09 +0200
Message-id: <[🔎] D0B05E9E-81A5-4519-BDD6-F2A1745257D1@teledetection.fr>
In-reply-to: <[🔎] VI1PR0501MB2256B87E031BFCFFE668107FFAD00@VI1PR0501MB2256.eurprd05.prod.outlook.com>
References: <[🔎] VI1PR0501MB2256B87E031BFCFFE668107FFAD00@VI1PR0501MB2256.eurprd05.prod.outlook.com>

Bonjour,

Est-ce que cela ne viendrait pas de la configuration de nss ?
Et/ou la configuration de pam.d ?
Voir votre fichier /etc/nsswitch.conf et ce qui a été modifié
(ou pas) dans /etc/pam.d/ comme « common-* » .

Attention tout cela est à manier avec précaution car vous pouvez
arriver à … votre situation. ;-)
Au point où vous en êtes… une bonne lecture des « man » avec une
recherche documentaire pourrait être utile. Lisez la page
https://wiki.debian.org/LDAP/Kerberos elle aborde justement la
configuration de PAM, NSS, …
Idem avec https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory,
voir les paragraphes « Setup Authentification », « PAM » et …

Cordialement


> Le 24 avr. 2020 à 22:45, Jean-Luc Chandezon <jlch@lan-explore.fr> a écrit :
> 
> 
> Bonjour,
> 
> J’ai paramétré l’authentification Active Directory va Kerberos en suivant le documentation https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory, et ça fonctionne bien.
> J’ai bien ajouté un groupe AD dans sudoers, sans problème. Le suffixe par défaut est @mydomain.ad. Les utilisateurs n’ont donc pas besoin de le saisir.
> 
> Le problème est que, même localement, je ne peux plus ouvrir de session avec root, ou avec un utilisateur local. Est-ce que cela est possible ? J’ai testé root@localhost par exemple, sans succès.
> Voici ci-dessous le paramétrage de krb5.conf.
> 
> Merci
> 
> -----------------------------------------------------------
> logging]
> Default = FILE:/var/log/krb5.log
> 
> [libdefaults]
> ticket_lifetime = 24000
> click-skew = 300
> default_realm = MYDOMAIN.AD
> 
> # The following krb5.conf variables are only for MIT Kerberos.
> kdc_timesync = 1
> ccache_type = 4
> forwardable = true
> proxiable = true
> [realms]
> MYDOMAIN.AD = {
> kdc = mydomain.ad:88
> admin_server = mydomain.ad:464
> default_domain = mydomain.ad
> }
> 
> Jean-Luc

--
Pierre Malard

   « Si, comme le disait le général de Gaulle, la France n'avait pas été la
   France... on peut logiquement penser que tous les français auraient été
   des étrangers » ;-)
                                                                               Pierre Dac
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

Attachment: signature.asc
Description: Message signed with OpenPGP

Reply to:

References:
- Authentification mixte Linux/AD
  - From: Jean-Luc Chandezon <jlch@lan-explore.fr>

Prev by Date: Re: problème de connexion avec Wicd
Next by Date: [bug] Netinstall i386
Previous by thread: Authentification mixte Linux/AD
Next by thread: [bug] Netinstall i386
Index(es):
- Date
- Thread