Test d’authentification Kerberos
Juste un petit test de plus pour être sûr que l’authentification Kerberos fonctionne.
-Entrez la commande suivante et le mot de passe du compte administrator devrait être demandé :
kinit administrator
-Devrait alors afficher :
Password for administrator@INFOTRUCS.LAN:
-Entrez alors votre mot de passe (P@ssword01) puis s’affichera quelque chose dans le genre :
Warning: Your password will expire in 41 days on lun. 06 mai 2019 23:41:54 CEST
–>L’authentification fonctionne.
On va maintenant passer sur notre client Windows 10 afin de configurer son réseau, le serveur de temps, installer les outils RSAT et l’intégrer au domaine. Ce sera donc un poste qui permettra l’administration du serveur avec des outils graphiques.
->Page suivante !
Merci pour cette documentation !
Merci à toi !
Salut!
qq trucs, pourquoi modifie-tu le krb5.conf généré par samba?
la team samba recommande ne ne rien ajouter 🙂
tu y met des paramètres inutiles, par exemple kdc_timesync = 1 et ccache_type = 4, c’est déjà les valeurs par défaut.
de plus c’est des paramètres valables uniquement pour un kerberos MIT, alors qu’un peu plus bas tu a fcc-mit-ticketflags, un paramètre qui lui n’est valable que pour un kerberos HEIMDAL.
coté windows 10, inutile de régler le serveur de temps (sauf si poste vraiment pas a l’heure), lors de la jonction au domaine windows se cale automatiquement sur le serveur AD/SAMBA pour se mettre a l’heure.
a-tu vérifié si tes clients se mettent bien a l’heure après jonction au domaine? car le serveur de temps que tu rentre avant la jonction doit être remplacé automatiquement lors de la jonction, mais par défaut windows utilise NT5DS, or ton ntp.conf n’est pas configuré pour utiliser NT5DS (il manque l’option ntpsigndsocket et mssntp)
et dernier truc, tu ajoute une zone dns inverse, mais elle ne sera pas remplie par tes clients windows si tu ne met pas « allow dns updates = nonsecure » dans le smb.conf.
sinon bon tuto 🙂
Honnetement je ne sais plus vraiment pourquoi ceci ou cela lol ça fait un moment que j’ai potassé le sujet. Je garde ton commentaire sous le coude tu as l’air bien calé sur le sujet et le jour où j’aurais besoin de me repencher sur la question il me servira. A tout hasard est-ce que je peux te contacter par mail un de ces 4 ? Si c’est la bonne adresse que je vois ici ?
oui pas de soucis, le mail est le bon 🙂
« calé sur le sujet » je sais pas, mais comme j’ai du ré-installer un samba AD sur une debian 10 dernièrement mes souvenirs sont frais!
Ça marche alors merci à bientôt peut-être !