Onglet Winbind

Le service Winbind permet l’interaction avec un annuaire Samba (mode AD ou NT) pour la validation des identifiants notamment. Il est mutualisé pour la mise en place de différents services comme le proxy ou FreeRADIUS.

Son activation est automatique et liée à la configuration des services l'utilisant. Lorsqu'il est activé, un nouvel onglet Winbind est affiché pour permettre sa configuration en mode Kerberos ou SMB.

Authentification KERBEROS

Il s'agit d'une authentification transparente pour les postes utilisateurs Windows intégrés dans un domaine Active Directory[1].

Cette configuration est à choisir si vous disposez d'un serveur Scribe ou Horus en mode AD ou d'un serveur Microsoft AD.

Si l'authentification KERBEROS est la méthode choisie pour Winbind, le Nom de machine, qui se paramètre dans l'onglet Général, ne peut être supérieur à 15 caractères.

En effet un nom de machine supérieur à 15 caractères rend impossible l'intégration du module au domaine AD.

Truc & astuce

À partir d'EOLE 2.8.1,

  • il n'est plus obligatoire de fournir explicitement l'Adresse IP du contrôleur de domaine KERBEROS ;
  • il est possible de désactiver la limitation de l'authentification au DC renseigné dans Nom du contrôleur de domaine KERBEROS.

Cette méthode d'authentification nécessite l'intégration du serveur au royaume Kerberos.

L'intégration peut être réalisée lors de l'instanciation du module en répondant oui à la question suivante :

Voulez-vous (ré)intégrer le serveur au domaine maintenant ?

Truc & astuce

Si la configuration de l'authentification est réalisée après l'instanciation, il est possible de relancer l'intégration du serveur à tout moment à l'aide du script enregistrement_domaine.sh.

Authentification NTLM/SMB

Il s'agit d'une authentification transparente pour les postes utilisateurs Windows intégrés dans un domaine Samba[2] NT.

Cette configuration est à choisir si vous disposez d'une version ancienne du serveur pédagogique Scribe ou du serveur administratif Horus.

Cette méthode d'authentification nécessite l'intégration du serveur au domaine Samba.

L'intégration peut être réalisée lors de l'instanciation du module en répondant oui à la question suivante :

Voulez-vous (ré)intégrer le serveur au domaine maintenant ?

Truc & astuce

Si la configuration de l'authentification est réalisée après l'instanciation, il est possible de relancer l'intégration du serveur à tout moment à l'aide du script enregistrement_domaine.sh.

Remarque

L'enregistrement au domaine étant proposé lors de l'instanciation du module, de ce fait l'authentification NTLM/SMB n'est plus proposée pour une deuxième authentification.

Remarque

La syntaxe pour utiliser le proxy authentifié avec une machine hors domaine est domaine\login mais elle ne fonctionne pas avec toutes les versions de navigateurs.

Attention

L'authentification NTLM/SMB nécessite l'application de la clé de registre suivante sur les clients Windows Vista et Windows Seven :

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"LMCompatibilityLevel"=dword:00000001

Pour plus d'informations, consulter : http://technet.microsoft.com/en-us/library/cc960646