Partenaires

CNRS

Rechercher

Sur ce site

Sur le Web du CNRS


Accueil du site > Expériences > CREMI

CREMI

Pour comprendre les articles qui suivent, voici un petit rappel du cadre de fonctionnement du CREMI.

- Compositions des salles de TP :

  • Linux Ubuntu/ Natty-Narwhal 64 bits
  • Windows 7 entreprise 64bits
  • MacOS 10.6 Snow-Leopard
  • Accès WiFi Eduroam

- Serveurs applications / calculs accessibles aux usagers :

  • Linux Ubuntu/ Natty-Narwhal 64 bits
  • Windows 2003-R2 64bits en Terminal Server
  • Solaris 10

- Les services :

  • Accès NFS / CIFS compte usager : baie netapp (DataOnTap 7.3.6)
  • Annuaire AD Active Directory : 3 x Windows 2008-R2 : CREMI.EMI.U-BORDEAUX1.FR
  • http et https: Apache
  • kdc central de Bordeaux1 : BX1

Les Principes

- Les identités des personnes habilités à utiliser les ressources CREMI sont récupérer depuis l’annuaire central de bordeaux1 (un OpenLDAP).
- L’annuaire local est alimenté par des scripts (quelques réécriture d’attributs)
- L’authentification se fait sur le royaume BX1 et les autorisation se font sur critère d’annuaire local.
- L’annuaire d’identification et le KDC principal sont gérés pas la DI : Direction Informatique de l’Université Bordeaux1.
- En local, un usager connecté sur un poste de travail utilise ses tickets kerberos pour accéder aux services : ssh, https, cifs, (bientôt nfs)

Postes de travails : LINUX

Toujours la même idée qui est d’utiliser les outils les plus standards, éviter les solutions un peu exotiques. De ce fait, les utilisateurs sont authentifiés/Identifiés via des mécaniques standardisées autrement dit : Kerberos/LDAP. L’autre idée est d’essayer en premier le royaume BX1 puis le royaume local CREMI.EMI.U-BORDEAUX1.FR. Ubuntu Les paquets : libpam-krb5 krb5-user libpam-ldap krb5-user les fichiers de configurations : /etc/krb5.conf /etc/ldap.conf (...)

Lire la suite

Configuration annuaire local : AD Windows 2008-R2

Windows 2008-R2 Prologue : Avant d’arrivé à un service local d’annuaire entièrement windows 2008-R2, il y a eu deux étapes intermédiaires : AD : Windows 2003 + OpenLDAP AD Unique : Avec un 2003-R2 : En effet les attributs « Posix-Account » sont disponibles et éditables en standard. Tout fonctionnait avec les clients linux, Windows XP et les I-Mac Snow-Leopard. Limitation au cryptage rc4 AD 2008-R2 : Lorsque nous avant fait évolués nos clients en Windows 7 64bis, le (...)

Lire la suite

Les clients web : browsers

Kerberos et les navigateurs Web Pour l’instant il n’y a que konqueror, firefox et IE qui fonctionne. Pour konqueror : rien a faire Pour Firefox : pour transmettre l’authentification Kerberos de Firefox à mod_auth_kerb : entrer about:config dans la barre de navigation entrer nego dans le filtre positionner les variables network.negociate-auth.delegation-uris et network.negociate-auth.trusted-uris à https:// Client Linux Les préférences de Firefox sont situées (...)

Lire la suite

Services kerbérisé : https et Apache

Apache Ubuntu Utiliser l’authenfication krb5 fournis par BX1, mais gérer les autorisations avec l’annuaire local. L’idée de base et d’utiliser au mieux les modules par défauts. Ubuntu : les paquets aptitude install libapache2-mod-auth-sys-group \ libpam-krb5 libapache2-mod-auth-kerb krb5-user libpam-ldap \ samba-common Kerberos : Configuration Linux Fichier : /etc/krb5.conf [libdefaults] default_realm = BX1 dns_lookup_realm = true dns_lookup_kdc = true (...)

Lire la suite

DNS et les attributs de services

Pour une meilleure compatibilité, entre autre de netapp, il est préférable d’avoir un DNS qui renseigne les services LDAP et Kerberos. Du coup nous avons aussi ajouté les particulatités AD. Le script qui génère les services : #Pour les Trois AD # Les nom codés sont récupéré directement depuis chaque serveur. # cat Récupérer depuis le serveur AD son nom dns complet : dcdiag /test:fsmocheck Récupérer le non dns qui manque : (...)

Lire la suite

Windows : plusieur serveurs de Domaine

Comment vérifier si tous les serveurs de domaine fonctionnent ?

Cet article fait suite a la derniere migration des serveurs de domaine qui ne c’est pas très bien passée. Pré-requis Installez les support tools (ils sont sur le CD) Installez les windows ressources Kit Desactiver les pare-feux de windows pendant les manips, cela évite de rajouter des sources d’erreur. Rappel : pour le mode console Linux : rdesktop -0 hostname Windows : outils bureau a distance et saisir « hostname /console » Liste des outils indispensables dcpromo (...)

Lire la suite