[MontelLUG] Join di macchina linux su AD

Ivan Dalla Zuanna ivan a x-globe.net
Dom 26 Feb 2012 19:31:40 CET


Strano che non hai combinato con i forum di Endian, io mi ci sono
trovato bene.
Comunque, ecco come si configura:
Prima di tutto ti conviene creare dei gruppi in Active Directory ai
quali assegnare gli utenti per gestire le policy del filtro. Consiglio
mio definisci tutto in AD prima di unire al dominio il firewall.
Fatto questo vai nella sezione PROXY -> AUTENTICAZIONE scegli "Windows
Active Directory (NTLM)" come metodo di autenticazione.
Poi il "realm di autenticazione" e' il nome di dominio completo (non
netbios) quindi nel tuo caso "cliente.local".Il "Nome di dominio del
server AD" e' sempre "cliente.local", come hostname del server PDC nel
tuo caso devi mettere "server01" e poi metti l'indirizzo ip di quel
server in "Indirizzo IP del server PDC". Se hai anche un secondo domain
controller metti i dati relativi a quella macchina nella sezione BDC.
Salvi tutto e NON fare ora l'AD join.
Una volta salvate le impostazioni Vai in PROXY -> AD JOIN, metti nome
utente e pwd di un utente amministratore e a questo punto fai l'AD join.
E' corretto che l'ora del Controller di dominio e del Firewallo devono
essere uguali, questo per via di come funziona AD con gli access token.
Non serve a niente che imposti come dns del firewall l'ip del domain
controller. Non serve neppure il proxy dns. E' importante che verifichi
che il Domain controller abbia il DNS installato, che dentro il DNS ci
sia la zona di Active Directory. Altra cosa importante il Domain
controller deve usare se stesso ed eventualmente gli altri domain
controller come DNS, lo stesso vale per i client uniti al dominio.
Eventualmente se vuoi fare le cose per bene nel server e nei client,
nelle impostazioni avanzate del TCP-IP alla scheda DNS metti
"cliente.local" come suffisso dns.

A questo punto puoi creare le policy di accesso. Vai in Proxy -> Policy
di accesso. Vedrai per esempio che come tipo di destinazione puoi
aggiungere una lista di domini, puoi scegliere tipo autenticazione
basata su gruppo, e vedrai che la console ti mostrera' i gruppi di AD.
Oppure per utente e ti verranno mostrati gli utenti AD.
Nota bene, dalle prove che ho fatto io, non funziona se imposti il proxy
trasparente, quindi la configurazione dei browser la devi gestire da
policy di AD, ma ci perdi 5 minuti.

Ciao!


Il 26/02/12 12:06, Samuele ha scritto:

> Tempo fa, avevo postato qui relativamente all'integrazione di un
> firewall endian con Active Directory per l'autenticazione degli utenti
> su squid.
>
> Fatte le prove in ufficio coun un win2k3 installato ex novo ha
> funzionato tutto.
> Dove devo metterlo in pratica effettivamente ho problemi a fare il
> join del firewall su AD.
>
> Premetto che non ho mai fatto interagire prima d'ora samba con AD,
> quindi sull'argomento sono abbastanza niubbo.
> Tentando di debuggare il problema, ho scoperto che il comando
> incriminato che l'interfaccia web del firewall lancia è:
>
> net ads join -Uadministrator -s /etc/samba/winbind.conf
>
> ottenendo come risultato:
> Failed to join domain: failed to find DC for domain <nome_dominio>.
>
> Sul firewall ho attivato l'autenticazione NTLM con Active Directory
> (non quella ldap).
>
> Ora, seguendo le indicazioni ho che:
> - ora del firewall e del DC sono allineate (al max qualche secondo di
> differenza);
> - i dns del firewall sono impostati all'ip del DC;
> - impostato su proxy/dns che il dominio CLIENTE.LOCAL viene risolto
> dall'ip del DC;
> - il dominio è cliente.local, il DC è server01.cliente.local.
>
> Facendo un ipconfig /all sul DC risulta che:
> Dominio è CLIENTE.LOCAL
> Nome dell'host SERVER01
>
> Sui parametri del firewall, ho letto che il nome del DC deve essere
> scritto esattamente come indicato dall'ipconfig (stesse
> maiuscole/minuscole), e senza il suffisso del dominio. Così ho fatto.
> Come realm ho provato sia a scrivere CLIENTE.LOCAL che CLIENTE, in
> maiuscolo e minuscolo, senza risultato.
>
> Dalla console del firewall, facendo un ping a SERVER01, ottengo reply
> da: SERVER01.CLIENTE
> Non mette il suffisso .LOCAL
>
> Ora, io non so come sia stata installata questa macchina, se sia per
> caso un upgrade da un vecchio NT4, quindi con qualche differenza su
> come deve essere impostato il nome del dominio.
>
> Ho fatto diverse altre prove seguendo suggerimenti vari su forum senza
> approdare a nulla.
> Non riesco a capire da che parte andare a sbattere la testa. Ci sono
> comandi che mi possono aiutare per isolare il problema?
> Come faccio a capire se il dominio è CLIENTE.LOCAL, o CLIENTE? E' case
> sensitive? Quando attacco i pc win, è sempre andato con cliente.local.
>
> Qualsiasi indicazione d'aiuto è ben accetta.
>
> Samuele
>
>
>
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it 





More information about the montellug mailing list