Discussion :

[arnaudperfect]

Bonjour,

Actuellement des serveurs UNIX utilisent le Network Internet Service (NIS anciennement Yellow Pages) en tant qu’annuaire. Le NIS permettait d’avoir un annuaire centralisé des comptes, mots de passe et groupes afin d’éviter à créer les créer localement sur chaque serveur.
Toutefois le NIS tend à être remplacé par des annuaires plus modernes et sécurisés tels que OpenLDAP ou Active Directory.

L’Active Directory étant en place chez mon client, l’objectif du projet est de remplacé le NIS par ce dernier.

L'Active Directory est basé sur Windows 2003 Standard.

Auparavant, il était possible d'utilisé SFU pour unifier les authentifications Linux sur un AD.

Dorénavant, je sais que Windows Server 2003 R2 contient la plupart des composants SFU. Mais pour cela, il me semble qu'il faut mettre à jours le schéma de AD en 2003 R2 ou 2008.

Pourriez vous me confirmer cela ?

De plus, une fois le schéma mise à jour, que faut il faire en plus ?

Merci d'avance

[Michaël]

Bonjour,
Il faut installer sfu sur 2003(r2) (composant à télécharger). Sur 2008(r2), il s'agit d'un service de rôle qu'il faut activer dans le rôle active directory.

Ensuite, il faut ajouter dans chaque compte utilisateur les attributs sfu (faisable par script). Sur le client linux, il faut configurer nsswitch/pam : il y a pas mal de doc là-dessus sur le net. Sinon il y a un outil gratuit sous linux qui permet de faire la config rapidement mais je me souviens plus du nom, faudrait que je le retrouve Il existe aussi des outils payants mais on sait pourquoi on paye (centrify)

Voilà

[arnaudperfect]

ok merci pour ta réponse .

Quelques questions cependant :

Quand tu dis :

Il faut installer sfu sur 2003(r2) (composant à télécharger). Sur 2008(r2), il s'agit d'un service de rôle qu'il faut activer dans le rôle active directory.

Nous sommes avec des contrôleurs de domaines en Windows 2003 standard. Pour installer SFU sur 2003(r2), il faut avoir tous nos contrôleurs de domaine en Windows 2003(R2) ou juste une mise à jours du schéma AD en 2003(R2) suffis ?
Même question pour 2008(R2).

Merci encore pour tes réponses.

[Michaël]

Tu peux installer sfu 3.5 sur un domaine 2003 Lorsque tu l'installes, il va automatiquement modifier le schéma de l'ad

Pour 2008(r2), t'as juste à activer le service de rôle et ça se fait tout seul

L'installation de sfu est vraiment très simple. Sa configuration est un peu bizarre au début (quand on commence avec sfu quoi) mais après ça va

[arnaudperfect]

ok, donc si je comprend bien, avec un AD en 2003 standard sur des contrôleurs de domaine en Windows 2003 standard, la bonne démarche est d'installer SFU 3.5, celui-ci fera le nécessaire pour la mise à jour du schéma AD.

Mais alors, je ne comprend pas pourquoi on me demande de mettre à jour le schéma AD 2003 standard vers AD 2008 R2 (sans migré l'OS des contrôleurs de domaine) en pensant pouvoir authentifier le monde linux sur l'AD (qui lui reste en 2003 standard) ,

soit le mec y connait rien, soit c'est moi qui ne comprend rien !

A ton avis ?

[Michaël]

Le mec qui t'as dit ça a mal été informé
On ne met pas à jour un schéma d'AD vers une version plus récente pour le fun : on migre le serveur vers 2008(r2) ou on ne fait rien.
Oui le schéma d'un AD 2008r2 comporte déjà les attributs qui vont bien mais il va manquer toute la gestion AD derrière (c'est pour ça qu'on active le service de rôle sous 2008). Juste mettre à jour le schéma, c'est perdre tout l'avantage d'AD (centralisation, etc) puisque sans installer sfu, il n'y aura aucune corrélation faite entre l'AD et le monde unix/linux : autant rester sous nis !
2003 n'a pas les attributs qui vont bien donc on installe sfu : ça modifie le schéma (qui reste en 2003) et ajoute la gestion AD.

Bref, si t'es sous 2003, installes juste sfu. Si t'es sous 2008, active le service de rôle. Il n'y a absolument pas besoin de mettre à jour le schéma de 2003 vers 2008 et de toute façon, ça ne servirait à rien puisque sans les binaires sfu, aucune correspondance entre AD et linux (sinon manuelle !!)

[arnaudperfect]

ok, merci de ta réponse, on est bien d'accord

Ca me rassure, je ne suis pas si débile que ca ! Il me semblait bien que mettre à jour le schéma sans avoir les applicatifs derrières ne servait pas à grand chose !

[arnaudperfect]

Je viens d'en discuter avec mon client.

On partirait sur la solution d'installer SFU 3.5 sur le domaine en 2003.

Mais j'ai une autre question :

Mon client aimerai migrer son domaine sous 2008 plus tard (dans le cadre d'un autre projet).

Sur notre domaine 2003, si nous installons un DC en 2008 R2 et migrons le schéma en 2008 R2 et mettre à jours le niveau fonctionnelle en 2008 mixe.

On aura donc des Dc en 2003 et 2008 R2

Es ce que l'on pourra bénéficier des fonctionnalités d'authentification UNIX en mode mixe ?
Il me semble qu'en mode mixe certaines fonctions son malgré tout indisponible.

[Michaël]

Tu ne peux pas avoir de niveau fonctionnel 2008 mixte. Ca existait en windows 2000 pour la compatibilité NT4 mais depuis ça n'existe plus. Il suffira d'installer ton nouveau DC en 2008 R2 et de le joindre au domaine en tant que nouveau contrôleur de domaine. Il ne pourra fonctionner qu'en niveau fonctionnel 2003 tant que tu auras un DC en 2003. Une fois que le DC 2003 aura disparu, tu pourras passer en niveau fonctionnel 2008 R2 si tu n'as pas relevé de problèmes de compatibilité dans les services du réseau

[arnaudperfect]

ok, donc j'en déduis que pour ce que mon client veux faire, cela ne sert à rien d'avoir un DC en 2008 vu que le schéma et niveau fonctionnelle resteront en 2003.

[Michaël]

Ca sert à utiliser (partiellement dans certains cas) les technologies de 2008 Ca sert aussi à migrer tout doucement, se faire la main sur la nouvelle version avant de se lancer dans le gros changement

[arnaudperfect]

Ca sert à utiliser (partiellement dans certains cas) les technologies de 2008 Ca sert aussi à migrer tout doucement, se faire la main sur la nouvelle version avant de se lancer dans le gros changement

Oui pour cela j'avais bien compris ;-)

Cependant ma question est si en mettant un contrôleur de domaine en 2008 R2 dans un domaine composé de contrôleur en 2003, si je pourrai utiliser le composant SUA (Subsytem for Unix-based Applications, ex-SFU) ?

[Michaël]

SUA et SFU sont des composants très différents !
SFU gère toute la partie serveur pour que des clients linux puissent venir s'y connecter comme si c'était un serveur linux.
SUA apporte les applications de linux sous windows : ça permet d'administrer windows comme un serveur linux. SUA contient bash, sed, cron, vi, etc

Je n'ai jamais testé mais je pense qu'un SFU sous windows 2003 et 2008 sont compatibles C'est à confirmer avec une petite recherche

[arnaudperfect]

ok pour SUA. Je pensais que s'était le nouveau nom de SFU.

Je vais tester en intégrant un contrôleur de domaine en 2008 R2, voir si SFU est disponible.

Merci pour tes réponses.

[arnaudperfect]

Pour information, la solution de mettre SFU sur Windows 2003 et activé la synchronisation avec NIS est la solution mis en place !

Je viens de me rendre compte en fouillant sur des DCs de mon client. (Il m'en avait pas parlé... )

- Peut on se passer de NIS avec SFU ?

(Aurais-tu de la doc sur ça mise en place ? J'ai fouillé sur le web et rien de concret mise à part la présentation du service.)

[Michaël]

Oui tu peux tout à fait te passer de NIS. Je n'ai pas de doc particulière si ce n'est sur technet

[arnaudperfect]

ok, merci de cette réponse.

J'ai juste encore un peu de mal à comprendre comment fonctionne SFU 3.5.

j'ai vu dans la doc qu'il y avait un module appeler "Server for NIS" c'est quoi exactement ?

encore merci pour tes indications.

[Michaël]

Il me semble que c'est le composant qui permet de faire passer ton contrôleur de domaine pour un serveur NIS auprès des clients linux. Ca permet de faire une reconfiguration des clients linux très rapidement : il n'y a qu'à changer l'adresse du serveur NIS pour mettre celle de l'AD et voilà

[arnaudperfect]

d'accord.

En faite, SFU 3.5 qui est utilisé pour la synchronisation des mots de passe entre l'AD et le NIS.

[arnaudperfect]

Il me semble que c'est le composant qui permet de faire passer ton contrôleur de domaine pour un serveur NIS auprès des clients linux. Ca permet de faire une reconfiguration des clients linux très rapidement : il n'y a qu'à changer l'adresse du serveur NIS pour mettre celle de l'AD et voilà

Et ce système comporte il les même failles de sécurité (voir : http://doc.ubuntu-fr.org/nis#securite) qu'un pure serveur NIS ?