[MontelLUG] Join di macchina linux su AD

Samuele samuele.zanin a tiscali.it
Dom 26 Feb 2012 21:31:44 CET


On 26/02/2012 19:31, Ivan Dalla Zuanna wrote:
> Strano che non hai combinato con i forum di Endian, io mi ci sono
> trovato bene.
> Comunque, ecco come si configura:
> Prima di tutto ti conviene creare dei gruppi in Active Directory ai
> quali assegnare gli utenti per gestire le policy del filtro. Consiglio
> mio definisci tutto in AD prima di unire al dominio il firewall.

Ok

> Fatto questo vai nella sezione PROXY ->  AUTENTICAZIONE scegli "Windows
> Active Directory (NTLM)" come metodo di autenticazione.
> Poi il "realm di autenticazione" e' il nome di dominio completo (non
> netbios) quindi nel tuo caso "cliente.local".Il "Nome di dominio del
> server AD" e' sempre "cliente.local", come hostname del server PDC nel
> tuo caso devi mettere "server01" e poi metti l'indirizzo ip di quel
> server in "Indirizzo IP del server PDC".

Fatto esattamente così.

> Se hai anche un secondo domain
> controller metti i dati relativi a quella macchina nella sezione BDC.

Al momento non c'è, anche se è da un po' che metto la pulce 
nell'orecchio che sarebbe necessario averlo.

> Salvi tutto e NON fare ora l'AD join.
> Una volta salvate le impostazioni Vai in PROXY ->  AD JOIN, metti nome
> utente e pwd di un utente amministratore e a questo punto fai l'AD join.

Fatto, dice:
Failed to join domain: failed to find DC for domain CLIENTE.LOCAL
Stando al messaggio sembrerebbe un problema di dns...
Ho provato a fare ping e nslookup tutti con esito positivo.


> E' corretto che l'ora del Controller di dominio e del Firewallo devono
> essere uguali, questo per via di come funziona AD con gli access token.

Ok

> Non serve a niente che imposti come dns del firewall l'ip del domain
> controller. Non serve neppure il proxy dns. E' importante che verifichi
> che il Domain controller abbia il DNS installato,

C'è

> che dentro il DNS ci
> sia la zona di Active Directory.

C'è

> Altra cosa importante il Domain
> controller deve usare se stesso

Nelle proprietà della scheda di rete c'è il bel 127.0.0.1, quindi ok.

> ed eventualmente gli altri domain
> controller come DNS, lo stesso vale per i client uniti al dominio.

Ci sono.

> Eventualmente se vuoi fare le cose per bene nel server e nei client,
> nelle impostazioni avanzate del TCP-IP alla scheda DNS metti
> "cliente.local" come suffisso dns.

Su alcune macchine che non risolvevano i nomi è stato necessario farlo.
Su altre no. Boh.

> A questo punto puoi creare le policy di accesso. Vai in Proxy ->  Policy
> di accesso. Vedrai per esempio che come tipo di destinazione puoi
> aggiungere una lista di domini, puoi scegliere tipo autenticazione
> basata su gruppo, e vedrai che la console ti mostrera' i gruppi di AD.
> Oppure per utente e ti verranno mostrati gli utenti AD.
> Nota bene, dalle prove che ho fatto io, non funziona se imposti il proxy
> trasparente, quindi la configurazione dei browser la devi gestire da
> policy di AD, ma ci perdi 5 minuti.
>
> Ciao!
>
>
> Il 26/02/12 12:06, Samuele ha scritto:
>
>> Tempo fa, avevo postato qui relativamente all'integrazione di un
>> firewall endian con Active Directory per l'autenticazione degli utenti
>> su squid.
>>
>> Fatte le prove in ufficio coun un win2k3 installato ex novo ha
>> funzionato tutto.
>> Dove devo metterlo in pratica effettivamente ho problemi a fare il
>> join del firewall su AD.
>>
>> Premetto che non ho mai fatto interagire prima d'ora samba con AD,
>> quindi sull'argomento sono abbastanza niubbo.
>> Tentando di debuggare il problema, ho scoperto che il comando
>> incriminato che l'interfaccia web del firewall lancia è:
>>
>> net ads join -Uadministrator -s /etc/samba/winbind.conf
>>
>> ottenendo come risultato:
>> Failed to join domain: failed to find DC for domain<nome_dominio>.
>>
>> Sul firewall ho attivato l'autenticazione NTLM con Active Directory
>> (non quella ldap).
>>
>> Ora, seguendo le indicazioni ho che:
>> - ora del firewall e del DC sono allineate (al max qualche secondo di
>> differenza);
>> - i dns del firewall sono impostati all'ip del DC;
>> - impostato su proxy/dns che il dominio CLIENTE.LOCAL viene risolto
>> dall'ip del DC;
>> - il dominio è cliente.local, il DC è server01.cliente.local.
>>
>> Facendo un ipconfig /all sul DC risulta che:
>> Dominio è CLIENTE.LOCAL
>> Nome dell'host SERVER01
>>
>> Sui parametri del firewall, ho letto che il nome del DC deve essere
>> scritto esattamente come indicato dall'ipconfig (stesse
>> maiuscole/minuscole), e senza il suffisso del dominio. Così ho fatto.
>> Come realm ho provato sia a scrivere CLIENTE.LOCAL che CLIENTE, in
>> maiuscolo e minuscolo, senza risultato.
>>
>> Dalla console del firewall, facendo un ping a SERVER01, ottengo reply
>> da: SERVER01.CLIENTE
>> Non mette il suffisso .LOCAL
>>
>> Ora, io non so come sia stata installata questa macchina, se sia per
>> caso un upgrade da un vecchio NT4, quindi con qualche differenza su
>> come deve essere impostato il nome del dominio.
>>
>> Ho fatto diverse altre prove seguendo suggerimenti vari su forum senza
>> approdare a nulla.
>> Non riesco a capire da che parte andare a sbattere la testa. Ci sono
>> comandi che mi possono aiutare per isolare il problema?
>> Come faccio a capire se il dominio è CLIENTE.LOCAL, o CLIENTE? E' case
>> sensitive? Quando attacco i pc win, è sempre andato con cliente.local.
>>
>> Qualsiasi indicazione d'aiuto è ben accetta.
>>
>> Samuele
>>
>>
>>
>>
>> _______________________________________________
>> montellug mailing list
>> montellug a montellug.it
>> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it
>
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it


-- 
Vedo la luce in fondo al tunnel. E' il treno che mi sta venendo addosso.
(anonimo)
Ma mi prendesse veramente in pieno una buona volta.
(Samuele)






More information about the montellug mailing list