Ubuntu-fr

Alfonce

Serveur global d'authentification

Bonjour,

Je cherche à créer un service d'authentification le plus unifié possible pour ma petite entreprise.

L'objectif est que mes collaborateurs aient uniquement le mot de passe Windows à gérer et qu'ensuite l'ensemble des logiciels internes utilisent ce mot de passe, ainsi que pour le Wifi interne.
Le Wifi est géré par un routeur sous OpenWRT.
Les logiciels internes utilisés sont : OpenProject, SuiteCRM et Gitea

Avant je gérais tout via un serveur OpenLDAP, mais j'ai décidé de passer les PCs en Windows Professionnel et de gérer les utilisateurs via un Active Directory.
J'ai donc installé Samba 4 en AD DC en suivant ce tuto :
https://www.techrepublic.com/article/ho … ontroller/
J'ai mon Active directory qui fonctionne bien et mes PCs Windows qui se connectent avec les comptes utilisateurs dessus.

Samba est configuré avec :

ntlm auth = mschapv2-and-ntlmv2-only

J'ai testé aussi avec "yes", mais ca donne exactement le meme resultat

La commande suivante fonctionne

 ntlm_auth  --username=GOODUSER@DOMAIN.FR --password GOODPWD

Maintenant j'essaie de configurer FreeRadius pour la connexion Wifi EAP.
J'ai configuré le mods mschap :

ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"

Seulement lorsque je lance :

radtest -x -t mschap GOODUSER@DOMAIN.FR GOODPWD localhost 0 testing123

J'obtiens dans FreeRadius (-X) :

(0) mschap: ERROR: Program returned code (1) and output 'Reading winbind reply failed! (0xc0000001)'
(0) mschap: ERROR: Reading winbind reply failed! (0xc0000001)

Seulement voila, dans le tuto que j'ai suivi pour installer Samba ils désactivent winbind... et impossible de le reactiver

Savez vous s'il existe une autre méthode (meme moins securisé) de faire fonctionner FreeRadius avec Samba AD DC?
Ou alors un truc supplémentaire à faire sur samba pour que Winbind fonctionne?