Comedu, Serveur Linux de Communication

  [ Accueil ] [ Retour à l'article ]

Faire communiquer Comedu (version Debian Sarge) avec un serveur Windows 2003
http://www.profetice.org/comedu/article.php3?id_article=23

dimanche 26 mars 2006, par Benoît Thébaud

Problématique

Uiliser le serveur Linux Comedu comme outil de filtrage Internet en s’appuyant sur les comptes créés sur un serveur Windows 2003.

Vous trouverez une image Vmware de Comedu déjà paramétrée dans cet article "Image Vmware Comedu dans un reseau géré par un serveur 2000/2003" Dans notre exemple, le serveur Windows 2003 possède les caractéristiques suivantes :

-  Contrôleur de domaine (win2003) : poste1.test.local
-  IP 192.168.1.221
-  Domaine : test.local

Le serveur Linux est nommé lui :
-  sarge-comedu

Logiciels nécessaires

-  installer une debian sarge de base
-  installer les paquetages suivants :

  • pour le serveur web :
    apt-get install apache php4 php4-mysql php4-gd mysql-server mc unzip rdate sudo
  • pour le serveur samba (authentification des utilisateurs par le serveur Windows 2003) : apt-get install winbind samba-common samba smbfs krb5-user libpam-mount ntpdate
  • pour le proxy squid et le suivi des adresses visitées :
    apt-get install squid sarg

Synchronisation des horloges

-  Editer le fichier /etc/resolv.conf et indiquer l’adresse IP du serveur Windows 2003 comme nameserver

-  Éditer le fichier /etc/default/ntpdate et le modifier pour qu’il soit comme suit :


___________________
# servers to check
#NTPSERVERS="pool.ntp.org"
NTPSERVERS="poste1.test.local"
#
# additional options for ntpdate
#NTPOPTIONS="-v"
NTPOPTIONS="-u"

-  synchroniser les horloges :
/etc/init.d/ntpdate restart

Paramétrage du client Kerberos

-  Éditer le fichier /etc/hosts et s’assurer que la ligne suivante est bien présente :


____________________________________________
127.0.0.1 sarge-comedu.test.local localhost.localdomain sarge-comedu
_____________________________________________

-  vérifier que /etc/krb5.conf contient (attention aux majuscules/minuscules à respecter) :


_______________________________
[libdefaults]
default_realm = test.local


[realms]
test.local = {
kdc = poste1
admin_server = poste1
}
_________________________


-  Tester kerberos :

kinit administrateur@TEST.LOCAL

Il ne doit pas y avoir de message d’erreur et il doit reconnaître le mot de passe de l’admin du domaine test.local.

Paramétrage de samba et Winbind

-  Éditer /etc/samba/smb.conf et le modifier pour qu’il soit comme suit :


____________________________
[global]
security = ads
realm = TEST.LOCAL
password server = 192.168.1.221
workgroup = TEST
winbind separator = /
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
winbind use default domain = true
____________________________

-  il faut créer le répertoire /home/TEST :

mkdir /home/TEST

-  Pour l’authentification éditer /etc/nsswitch.conf et modifier les paramètres suivants :


_______________________
passwd: compat winbind
group: compat winbind
shadow: compat
_______________________

-  Démarrer samba et winbind :

/etc/init.d/samba start
/etc/init.d/winbind start

Rejoindre le domaine

-  rejoindre le domaine :
net ads join

-  si tout marche bien on ne doit pas avoir à retaper le mot de passe

-  Pour tester si notre station est bien intégrée exécuter la commande suivante :
wbinfo -u

Tous les utilisateurs du domaine TEST.LOCAL doivent apparaître sur l’écran.

Paramétrer squid

-  tester ntlm_auth :

/usr/bin/ntlm_auth —username=[admnistrateur]

-  changer les permissions de winbind pipe

chown root :proxy /var/run/samba/winbindd_privileged
chmod 750 /var/run/samba/winbindd_privileged

-  Éditer /etc/squid/squid.conf et insérer ces lignes :


auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 15
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours

acl NTLMUsers proxy_auth REQUIRED
http_access allow all NTLMUsers

-  redémarrer squid :
/etc/init.d/squid start

-  Sarg affichera les sites visités à l’adresse suivante :

http://adresse_ip_serveur_comedu/squid-reports/

Conclusion

Ainsi paramétré, le serveur Comedu ne demandera pas de login et mot de passe à l’utilisateur authentifié (utilisant Internet Explorer) sur un poste rentré dans le domaine du serveur Windows 2003. Dans le cas contraire (utilisateur local ou/et Firefox ou autre navigateur alternatif), les login et mot de passe sont demandés.

Fichiers de configuration utilisés dans cet article :

TGZ - 44.4 ko

Quelques commandes utiles :

Source : http://wwww.coagul.org

-  La commande suivante doit donner la liste des utilisateurs du domaine :

wbinfo -u

-  Celle-ci la liste des groupes du domaine :

wbinfo -g

-  Celle-ci permet de vérifier que les utilisateurs du domaine sont ajoutés à la liste des utilisateurs du serveur Linux avec les bons uid :

getent passwd

-  La même chose avec les groupes d’utilisateurs :

getent group

Documents liés

(http://www.profetice.org/comedu/IMG/tgz/squidGuard-1.tgz)
TGZ - 852 octets



[ Accueil ] [ Retour à l'article ] [ Haut ]