[MontelLUG] Join di macchina linux su AD

[Samuele]

On 26/02/2012 19:31, Ivan Dalla Zuanna wrote:
> Strano che non hai combinato con i forum di Endian, io mi ci sono
> trovato bene.
> Comunque, ecco come si configura:
> Prima di tutto ti conviene creare dei gruppi in Active Directory ai
> quali assegnare gli utenti per gestire le policy del filtro. Consiglio
> mio definisci tutto in AD prima di unire al dominio il firewall.

Ok

> Fatto questo vai nella sezione PROXY ->  AUTENTICAZIONE scegli "Windows
> Active Directory (NTLM)" come metodo di autenticazione.
> Poi il "realm di autenticazione" e' il nome di dominio completo (non
> netbios) quindi nel tuo caso "cliente.local".Il "Nome di dominio del
> server AD" e' sempre "cliente.local", come hostname del server PDC nel
> tuo caso devi mettere "server01" e poi metti l'indirizzo ip di quel
> server in "Indirizzo IP del server PDC".

Fatto esattamente così.

> Se hai anche un secondo domain
> controller metti i dati relativi a quella macchina nella sezione BDC.

Al momento non c'è, anche se è da un po' che metto la pulce 
nell'orecchio che sarebbe necessario averlo.

> Salvi tutto e NON fare ora l'AD join.
> Una volta salvate le impostazioni Vai in PROXY ->  AD JOIN, metti nome
> utente e pwd di un utente amministratore e a questo punto fai l'AD join.

Fatto, dice:
Failed to join domain: failed to find DC for domain CLIENTE.LOCAL
Stando al messaggio sembrerebbe un problema di dns...
Ho provato a fare ping e nslookup tutti con esito positivo.


> E' corretto che l'ora del Controller di dominio e del Firewallo devono
> essere uguali, questo per via di come funziona AD con gli access token.

Ok

> Non serve a niente che imposti come dns del firewall l'ip del domain
> controller. Non serve neppure il proxy dns. E' importante che verifichi
> che il Domain controller abbia il DNS installato,

C'è

> che dentro il DNS ci
> sia la zona di Active Directory.

C'è

> Altra cosa importante il Domain
> controller deve usare se stesso

Nelle proprietà della scheda di rete c'è il bel 127.0.0.1, quindi ok.

> ed eventualmente gli altri domain
> controller come DNS, lo stesso vale per i client uniti al dominio.

Ci sono.

> Eventualmente se vuoi fare le cose per bene nel server e nei client,
> nelle impostazioni avanzate del TCP-IP alla scheda DNS metti
> "cliente.local" come suffisso dns.

Su alcune macchine che non risolvevano i nomi è stato necessario farlo.
Su altre no. Boh.

> A questo punto puoi creare le policy di accesso. Vai in Proxy ->  Policy
> di accesso. Vedrai per esempio che come tipo di destinazione puoi
> aggiungere una lista di domini, puoi scegliere tipo autenticazione
> basata su gruppo, e vedrai che la console ti mostrera' i gruppi di AD.
> Oppure per utente e ti verranno mostrati gli utenti AD.
> Nota bene, dalle prove che ho fatto io, non funziona se imposti il proxy
> trasparente, quindi la configurazione dei browser la devi gestire da
> policy di AD, ma ci perdi 5 minuti.
>
> Ciao!
>
>
> Il 26/02/12 12:06, Samuele ha scritto:
>
>> Tempo fa, avevo postato qui relativamente all'integrazione di un
>> firewall endian con Active Directory per l'autenticazione degli utenti
>> su squid.
>>
>> Fatte le prove in ufficio coun un win2k3 installato ex novo ha
>> funzionato tutto.
>> Dove devo metterlo in pratica effettivamente ho problemi a fare il
>> join del firewall su AD.
>>
>> Premetto che non ho mai fatto interagire prima d'ora samba con AD,
>> quindi sull'argomento sono abbastanza niubbo.
>> Tentando di debuggare il problema, ho scoperto che il comando
>> incriminato che l'interfaccia web del firewall lancia è:
>>
>> net ads join -Uadministrator -s /etc/samba/winbind.conf
>>
>> ottenendo come risultato:
>> Failed to join domain: failed to find DC for domain<nome_dominio>.
>>
>> Sul firewall ho attivato l'autenticazione NTLM con Active Directory
>> (non quella ldap).
>>
>> Ora, seguendo le indicazioni ho che:
>> - ora del firewall e del DC sono allineate (al max qualche secondo di
>> differenza);
>> - i dns del firewall sono impostati all'ip del DC;
>> - impostato su proxy/dns che il dominio CLIENTE.LOCAL viene risolto
>> dall'ip del DC;
>> - il dominio è cliente.local, il DC è server01.cliente.local.
>>
>> Facendo un ipconfig /all sul DC risulta che:
>> Dominio è CLIENTE.LOCAL
>> Nome dell'host SERVER01
>>
>> Sui parametri del firewall, ho letto che il nome del DC deve essere
>> scritto esattamente come indicato dall'ipconfig (stesse
>> maiuscole/minuscole), e senza il suffisso del dominio. Così ho fatto.
>> Come realm ho provato sia a scrivere CLIENTE.LOCAL che CLIENTE, in
>> maiuscolo e minuscolo, senza risultato.
>>
>> Dalla console del firewall, facendo un ping a SERVER01, ottengo reply
>> da: SERVER01.CLIENTE
>> Non mette il suffisso .LOCAL
>>
>> Ora, io non so come sia stata installata questa macchina, se sia per
>> caso un upgrade da un vecchio NT4, quindi con qualche differenza su
>> come deve essere impostato il nome del dominio.
>>
>> Ho fatto diverse altre prove seguendo suggerimenti vari su forum senza
>> approdare a nulla.
>> Non riesco a capire da che parte andare a sbattere la testa. Ci sono
>> comandi che mi possono aiutare per isolare il problema?
>> Come faccio a capire se il dominio è CLIENTE.LOCAL, o CLIENTE? E' case
>> sensitive? Quando attacco i pc win, è sempre andato con cliente.local.
>>
>> Qualsiasi indicazione d'aiuto è ben accetta.
>>
>> Samuele
>>
>>
>>
>>
>> _______________________________________________
>> montellug mailing list
>> montellug a montellug.it
>> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it
>
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it


-- 
Vedo la luce in fondo al tunnel. E' il treno che mi sta venendo addosso.
(anonimo)
Ma mi prendesse veramente in pieno una buona volta.
(Samuele)