Configuration avec le serveur Active Directory local (ScribeAD)
La valeur Adresse IP publique Active Directory à saisir est une adresse IP disponible sur le réseau, elle permet d'exposer le service Active Directory.
Truc & astuce
Mise en œuvre du service DNS
Le choix du composant à utiliser s'effectue à l'aide de la variable : Utiliser le service DNS interne de Samba.
À partir d'EOLE 2.10.0, Bind9 est utilisé par défaut (choix non).
Il est possible de forcer l'utilisation du composant interne de Samba en passant la variable à oui.
La commande reconfigure permet de passer d'un composant à l'autre de façon transparente.
Le comportement des deux services est similaire. L’utilisation de Bind9 ne change pas la manière d’ajouter les machines à la base de données DNS de Samba qui en garde la gestion. Bind9 interroge cette base via un greffon.
L’utilisation de Bind9 est privilégiée car elle offre plus de fonctionnalités comme, par exemple, la répartition de charge entre plusieurs contrôleurs de domaine, le transfert de zone et la mise en cache des résolutions DNS.
Attention
Dans une infrastructure mettant en œuvre plusieurs contrôleurs de domaine et la synchronisation des données de l’AD, il est impératif de mettre en œuvre le même type de service DNS pour tous les contrôleurs de domaine.
Dans le cas contraire, la réplication avec la commande samba-tool drs provoquera une erreur.
Mode multi-établissement
Si le mode multi-établissement est activé dans l'onglet Samba, il est possible de définir le nom de l'unité organisationnelle[4] Active Directory dans laquelle sont stockés les comptes de chacun des établissements ajoutés.
Exemple
Cette OU sera située sous celle de l'établissement qui se trouve elle-même sous la racine de l'annuaire AD :
OU=Utilisateurs,OU=0000001E,DC=domscribe,DC=ac-test,DC=fr
Route du conteneur ADDC
La route par défaut du conteneur ADDC est la route par défaut définie dans la configuration de l'interface de configuration du module.
Cela signifie que lorsqu'un service dans le conteneur ADDC cherche à accéder à des ressources en dehors du réseau local, le flux passe directement par la carte additionnelle du conteneur ADDC. L'adresse IP source sera donc celle du conteneur. Cela peut poser problème sur certains systèmes de virtualisation au moment de l'installation du serveur.
Dans ce cas, il est possible de changer la route par défaut en passant la variable : ad_local_default_bridge_via_internal_ip à oui
Le flux passera alors par le réseau interne du Scribe. L'adresse IP source sera donc l'IP de Scribe.
Écran
- 1
Variable :
ad_local_default_bridge_via_internal_ipConfigurer la passerelle par défaut du conteneur addc via son ip interne.
AttentionAttention
Si vous accédez aux services inclus dans le conteneur sur un réseau différent du réseau local (par exemple si le Scribe est dans une DMZ), cela peu également poser des problèmes.
Délégation d'authentification SASL
À partir, d'EOLE 2.8, la délégation d'authentification SASL[5] permet à l'annuaire Active Directory de devenir la référence pour les mots de passe.
Cela permet d'utiliser la séquence ctrl-alt-suppr sans désynchronisation des mots de passe et la restauration de la fonctionnalité : changement de mot de passe à la première connexion.
L'authentification auprès de l'annuaire OpenLDAP reste fonctionnelle grâce à l'utilisation du service d'authentification SASL : saslauthd.
Cette fonctionnalité est toutefois débrayable en passant la variable Utiliser la délégation d'authentification SASL de l'onglet expert Openldap à non.
Dans ce cas, on retrouve le fonctionnement de la version 2.7.2.
Exemple
Le contenu de l'attribut OpenLDAP userPassword sera différent selon que la délégation d'authentification SASL est activée ou non.
Suite à un changement du mot de passe de l'utilisateur admin, la commande suivante produira un résultat différent :
ldapsearch -x -D cn=reader,o=gouv,c=fr -w `cat /root/.reader` uid=admin userpassword | grep userPassword | cut -d ' ' -f2 | base64 -d
- avec SASL : {SASL}admin@domaine
- sans SASL : {SSHA}Z/4M/bbHNf20bvlUr+Nsvf0Gad6/XsvS