Accès session avec identifiant AD

  • Bonjour
    Je n'arrive pas à ouvrir une session AD alors que le compte AD est importé dans Gofast
    0_1549882122508_2360b599-98ee-41c5-bde0-84118fb38b0b-image.png
    0_1549882162141_bc0f1d62-c3a6-4798-84d5-20451d548507-image.png
    0_1549882497094_47839fbe-4034-46f0-8134-168a04a8c52c-image.png
    Est qu'il faut modifier IPTABLES
    Merci

  • Bonjour,

    Pour que le LDAP interne puisse faire de la délégation côté serveur il y a une configuration à faire sur le serveur, cette procédure n'est effectivement pas encore documenté de notre côté, la voici en attendant :

    Marche à suivre pour mettre en place la délégation d'authentification vers Active Directory. L'idée est d'interroger OpenLDAP avec le protocole SASL, le daemon saslauthd procède alors à l'authentification sur Active Directory avec le protocole LDAP.

    Installation du daemon saslauthd et de son plugin ldap :

     # yum install cyrus-sasl cyrus-sasl-ldap
    

    Vérifier que saslauthd est correctement installé et supporte le mechanisme LDAP :

     # saslauthd -v
    

    Activer le mechanisme LDAP et ajouter le flag -O aux options de démarrage du demon :

    # vi /etc/sysconfig/saslauthd
    SOCKETDIR=/var/run/saslauthd
    MECH=ldap
    FLAGS="-O /etc/saslauthd.conf"
    

    Configuration de l'accès LDAP (les valeurs en italique sont à modifier en fonction de la conf du serveur AD) :

    # vi /etc/saslauthd.conf
    ldap_servers: ldap://xxx.xxx.xxx.xxx
    ldap_search_base: DC=exemple,DC=com
    ldap_timeout: 10
    ldap_filter: (sAMAccountName=%u)
    ldap_bind_dn: CN=exemple,OU=exemple,DC=exemple,DC=com (ou alternativement nomuser@exemple.com pour AD)
    ldap_bind_pw: password
    ldap_password: password
    ldap_deref: never
    ldap_restart: yes
    ldap_scope: sub
    ldap_use_sasl: no
    ldap_start_tls: no
    ldap_version: 3
    ldap_auth_method: bind
    

    Communication entre OpenLDAP et saslauthd :

      # vi /usr/lib/sasl2/slapd.conf (ou # vi /usr/lib64/sasl2/slapd.conf )
      pwcheck_method: saslauthd
      saslauthd_path: /var/run/saslauthd/mux
    

    Démarrer saslauthd et redémarrer openLDAP :

     # chkconfig saslauthd on
     # service saslauthd start
     # service slapd restart
    

    Test d'authentification SASL (nécessite les chaînes de connexions d'un user AD, l'option -u correspond au sAMAccountName). Exemple sur preprod avec monuser :

     [root@gofast-test ~]# testsaslauthd -u monuser -p realPassword
     0: OK "Success."
     [root@gofast-test ~]# testsaslauthd -u monuser -p wrongPassword
     0: NO "authentication failed"
     [root@gofast-test ~]#
  • Bonjour Jérôme
    J'ai bien respecté et je me suis documenté sur sasl
    Rien à faire, ça ne fonctionne pas. Du coup j'ai changé
    ldap_bind_dn: CN=exemple,OU=exemple,DC=exemple,DC=com
    par
    ldap_bind_dn: nomuser@exemple.com
    Et là ça fonctionnne: 0: OK "Success."
    J'ai passé beaucoup de temp et ça vous fera gagner aussi

  • Bonjour,

    Très heureux de savoir que vous avez pu configurer cette délégation. De mémoire, Active Directory accepte les deux syntaxes (mais à vérifier en fonction des WServer et des configurations).

    En tout cas je rajoute cette partie dans mon post, merci pour le partage de connaissance !

    Bonne soirée !

    Cordialement,