Faire une recherche dans le site

Joindre un domaine Active Directory 2008 avec Likewise

mars 15th, 2010 Posté dans Administration | 1 Commentaire »

Au cours de mon activité, j’ai eu besoin d’intégrer une machine Linux dans un domaine Active Directory pour pouvoir utiliser les compte de l’annuaire Active Directory (AD) depuis une machine Linux. Les intérêts sont multiples :

  • Se connecter sur le Linux avec des comptes distants
  • Pouvoir monter des partages distants hébergés sur un serveur de Microsoft
  • Proposer des répertoires Apache protégés par un mot de passe issu de l’AD
  • Utiliser une authentification AD pour un serveur proxy de type squid

N’écoutant que mon courage, je commence, comme à mon habitude, par mettre en place le lien avec Winbind… Il se trouve que la distribution cible est une CentOS qui propose un assistant qui semble prometteur (dans le menu : Système / Administration / Authentification). Pour ne rien gâcher, je trouve sans trop de problèmes une kyrielle de HOWTO pour parvenir à mes fins.

Après avoir en lutté en vain quelques minutes et constatant mon cuisant échec, je commence à descendre dans les entrailles du système. Je m’attaque donc à la configuration de Kerberos et paramètre Windbind en mode ads (active directory) comme je l’aurai fait pour la mise en place d’un serveur membre du domaine. Mais là aussi, manquant de temps, je ne parviens pas à trouver la faille.

En dernier recours, je tente une recherche dans un moteur de recherche bien connu et tombe sur un outil surprenant à licence double (opensource et propriétaire)  : il s’agit de Linkwise. Ce composant logiciel, d’après son éditeur permettrait :

  • de joindre à un domaine AD un Linux, un Mac ou n’importe quel Unix (avec même un assistant en mode graphique pour les plus paresseux)
  • d’utiliser l’authentification AD sur Linux
  • de proposer une console pour faire le mappage UID/GID linux et ID Microsoft (payant)
  • de propager les mêmes droits entre Windows et Linux (payant)
  • compatible SSH
  • un journal d’évènements et une console complète pour le suivi (payant)

En fait, la couche logicielle côté Linux est totalement gratuite et semble complète. Vous tous les détails ici. Les outils payants ajoutant une interface côté AD. Les promesses sont là, quel résultat en pratique…

Likewise le site

Installation

On télécharge l’outil après avoir renseigné ce que l’on veut (sauf le mail) dans le formulaire proposé

Inscription sur Likewise

ou, on utilise ce lien qui pointe directement sur les logiciels à installer.

Vous pourrez alors choisir les paquetages pour votre distribution. Je vous conseille pour une utilisation encore plus facile, le téléchargement de l’interface graphique : Domain Join GUI également Open Source.

Distributions proposées par Likewise

Le moins que l’on puisse dire, c’est que le choix de toutes les plateforme est large !

Configuration

Au préalable, il est indispensable de préparer le poste linux à devenir un membre du domaine.

Il est indispensable de veiller à ce que le poste linux soit parfaitement à la même heure que le serveur Active Directory (avec 5 minutes grand maximum de tolérance). Le plus simple reste d’installer un paquetage de gestion de l’heure de type ntp et de le configurer correctement. Toutes les distributions en proposent.

Il est également indispensable que le poste linux utiliser l’Active Directory comme DNS avec le bon suffixe DNS. Voici un extrait du fichier de résolution de nom : /etc/resolv.conf

# Adresse IP du serveur AD
nameserver 10.0.0.1
# Suffixe DNS : nom du domaine AD
domain local.lan

De plus, n’oubliez pas de donner un nom à votre poste. Dans notre cas, nous allons l’appeler : srv.local.lan. Voici un extrait du fichier : /etc/hosts

127.0.0.1 localhost localhost.localdomain
10.1.0.1  srv srv.local.lan

Ensuite on procède à l’installation des logiciels proprement dits. Dans le cas d’une CentOS, les fichiers récupérés sont des exécutables qu’il suffit de lancer

[root@srv Desktop]# ./LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer
----------------------------------------------------------------------------
Welcome to the Likewise Identity Service [Open] Setup Wizard.
----------------------------------------------------------------------------
Please read the following License Agreement. You must accept the terms of this
agreement before continuing with the installation.
Press [Enter] to continue : [Enter]
Likewise Open is provided under the terms of the GNU General
Public License (GPL version 2) and the GNU Library General
Public License (LGPL version 2.1). The additional components
listed below are covered under separate license agreements:
Samba 3.0 Client libraries and tools - GPLv2
MIT Kerberos - MIT Kerberos 5 and other licenses
OpenLDAP - OpenLDAP Public License
Novell DCE-RPC - BSD
LibXML2 - BSD
libuuid from e2fsprogs - BSD
libiconv - LGPLv2
OpenSSL - BSD
For more details and for the full text for each of these
licenses, read the LICENSES and COPYING files included with
this software.
Press [Enter] to continue :[Enter]
Do you accept this license? [y/n]: y
----------------------------------------------------------------------------
Setup is now ready to begin installing Likewise Identity Service [Open] on your computer.
Do you want to continue? [Y/n]: y
----------------------------------------------------------------------------
Please wait while Setup installs Likewise Identity Service [Open] on your computer.
Installing
0% ______________ 50% ______________ 100%
######################################
To join an Active Directory domain using a command-line interface, run:
/opt/likewise/bin/domainjoin-cli
Press [Enter] to continue :[Enter]
----------------------------------------------------------------------------
Setup has finished installing Likewise Identity Service [Open] on your computer.

On lance ensuite de la même manière l’installation du deuxième paquetage : LikewiseDomainJoinGui. Une fois l’installation achevée, les logiciels iront se positionner proprement dans le répertoire : /opt/likewise

Mise en oeuvre

On ne peut rêver plus simple. L’outil graphique est tout simple. Un simple clic depuis l’icône sur le bureau ou on le lance avec la commande :

/opt/likewise/bin/domainjoin-gui

Pour ceux qui préfère l’outil en ligne de commande l’inscription se réalise depuis la commande :

/opt/likewise/bin/domainjoin-cli join local.lan Administrateur

Une fois l’inscription réalisée, il vous suffit de redémarrer la machine pour que tout soit pris en compte. En cas d’erreur essayez de revérifier votre configuration (DNS) et votre heure !

Conclusion

Pour la petite histoire, je vous laisse quelques remarques :

  • J’ai appris plus tard que le serveur AD visé était un Windows Server 2008 (Voilà peut-être l’origine de mon problème). En principe, sachez que les dernières versions de Samba sont compatibles (voici un exemple ici)
  • La version payante qui ajoute le mappage UID/GID est intéressante sur le papier. Dans la pratique, même en réinscrivant plusieurs fois ma machine à l’AD, les UID/GID utilisés par Linux sont toujours restés les mêmes.
  • La suite de logiciel Opensource propose bien d’autres possibilités que la simple inscription au domaine. Ainsi, en farfouillant, on trouve un module d’authentification Apache s’appuyant sur AD. (que je n’ai pas essayé)
  • Pour la connexion SSH, utilisez dans la connexion deux anti-slash pour pouvoir vous connectez dans problèmes

ssh local.lan\\administrateur@linux

Partager cet article :
  • Print
  • Twitter
  • Facebook
  • del.icio.us
  • Netvibes
  • Digg
  • viadeo FR
  • Google Bookmarks
  • Add to favorites

Premiers tests de linux KVM sous Lucid Lynx

mars 9th, 2010 Posté dans Administration, Virtualisation | 4 Commentaires »

Introduction

Comme vous le savez peut-être, la prochaine version d’Ubuntu estampillée 10.04 LTS alias Lucid Lynx est annoncée pour le 29 Avril 2010. (Vous trouverez d’ailleurs plus de détail sur le site d’Ubuntu ici.) Cette version dite LTS (Long Term Support) est traditionnellement une déclinaison « stable » à utiliser pour les serveurs ou du poste de travail à longue durée de vie. Il sort une version LTS tous les deux ans environ et ces distributions spécifiques d’Ubuntu sont maintenues 5 ans au lieu des 18 mois habituels. Vous comprenez bien que réinstaller ses serveurs tous les 18 mois n’est pas toujours possible…
Pour cette nouvelle déclinaison, mise à part les sempiternelles promesses d’accélération du démarrage (pour un serveur la lenteur du démarrage est plus liée au démarrage des cartes RAID ou des cartes réseau que l’OS lui-même) et un nouveau thème (que je trouve pas du tout pratique, mais c’est mon avis et sur un thème de surcroit non terminé à l’heure où j’écris), bref, la vraie promesse c’est le Cloud Computing et surtout son indispensable corollaire : la virtualisation. Pour avoir testé et utilisé l’hyperviseur Xen, je me suis attelé au test de KVM, LE système de virtualisation du noyau linux. Après avoir recherché et trouvé assez facilement des tutoriaux de mise en route pour les versions antérieures de Ubuntu (Vous trouverez un exemple ici pour la Ubuntu 9.10) je le suis risqué à tenter l’expérience sur la future plateforme Lucid Lynx LTS en 64 bits et là, surprise, c’est tout bonnement sensationnel !

Pré-requis technique

Comme tous les systèmes utilisant la parvirtualisation, il est indispensable d’utiliser une machine disposant d’un processeur du jeu d’instructions processeur spécifique : Intel-VT ou AMD-V. Pour ma part, j’ai utilisé un serveur bi-Intel Xeon E5530 d’intel avec 16 Go de RAM. L’installation sur la machine n’a posé aucun souci (contrôleur RAID SAS 6i/R inclus) sauf un léger bug pour la carte graphique corrigé après le passage des mises à jour .

Pour le partitionnement, il est conseillé d’utiliser des volumes logiques d’un LVM. J’ai donc partitionné le disque en conséquence pour pouvoir créer un ou plusieurs volumes logiques par machine virtuelle :
Configuration Disque Dur
Après l’installation des différents outils j’ai commencé à faire quelques tests mais la ligne commande pour lancer une machine virtuelle se révèle très lourde. Dans un environnement de production, il nous faut un minimum de confort d’autant plus lorsque l’on cherche à diffuser largement cette solution. Lorsque j’avais testé l’hyperviseur Xen, j’avais été amené à utilisé sous SuSE Server l’outil virt-manager de Red Hat. A tout hasard je tente l’installation sous Ubuntu et ô miracle l’outil est bien présent dans la liste des paquetage et dans une version très récente (en date de décembre 2009) qui intègre naturellement la gestion de KVM !

Virt-Manager

Utilisation de virt-manager

Virt-manager se révèle à l’usage véloce et largement abouti pour un travail d’administration quotidien dans de bonnes conditions. Son interface est simple et bien pensée. Elle n’est d’ailleurs pas sa rappeler certaines solutions propriétaires. On pourrait seulement reprocher la relative lenteur de l’interface graphique sous VNC mais l’outil en lui-même n’y est pour rien. Après avoir créé plusieurs machines virtuelles linux (Ubuntu principalement), je me suis risqué à tenter l’installation du côté obscur de la force : les systèmes d’exploitation de Microsoft ! L’assistant très bien fait de création de machine m’a permis très rapidement d’avoir une configuration avec la compatibilité optimale. L’ensemble de la liste des systèmes d’exploitation de Microsoft les plus récents sont tous présents :

Configuration Microsoft

Je suis même parvenu à faire fonctionner un Windows 7 sans accrocs ! Je vous livre ici un exemple de la configuration de virt-manager pour une machine sous Windows 7 Ultimate 64 bits :

Bref, une première impression plutôt très très positive !

Quelques petites remarques

  • Sur le hardware émulé tout d’abord : Je vous le dit tout de suite : nous ne disposons pas de carte graphique accélératrice (!). Mais bon, je ne pense pas que se soit vital pour une exploitation de la virtualisation classique plutôt tournée vers le monde du serveur. Toutefois, on constate rapidement que le hardware émulé par  KVM se cantonne à des cartes assez anciennes : cartes sons, carte réseau ou carte graphique. Il est parfois acrobatique de trouver un pilote sur certains OS un peu trop récents et encore plus difficile en 64 bits ! Au cours de mes tests, mon Windows 7 64 bits restera donc muet !
  • Je trouve la console graphique VNC d’une très grande lenteur. Heureusement tous les OS modernes proposent un bureau à distance nettement plus véloce que ce pauvre VNC !
  • La gestion des ressources est très parcellaire : pas de pool de ressources permettant de protéger les ressources d’une série de machine d’un autre hôte trop boulimique.
  • La gestion des réseau proposée par défaut est un réseau de type NAT ou le bridge (après installation et configuration d’une carte bridgée) Il aurait été souhaitable de disposer d’un switch virtuel pour pouvoir avoir un maximum de souplesse ou pour exploiter des VLANs. En plus, les solutions libres existent déjà.
Conclusion

Avec l’arrivée d’une interface aboutie comme virt-manager et l’implémentation efficace et très légère de la paravirtualisation dans le noyau linux avec  KVM, l’OS au pinguin devient de plus en plus une vraie alternative crédible. Il me resterai à faire encore quelques tests de performances mais avec un Windows 7 x64 Ultimate édition qui démarre en moins de 20 secondes, je ne me suis même pas encore posé la question.

Partager cet article :
  • Print
  • Twitter
  • Facebook
  • del.icio.us
  • Netvibes
  • Digg
  • viadeo FR
  • Google Bookmarks
  • Add to favorites
« Précédent
Suivant »