PhenIXUS

[agecanonix]

Bonjour,


Contexte :
Petit réseau d'entreprise, avec une SME serveur-passerelle en PDC, une seconde SME serveur seul en prévision, et divers postes sous Windows et linux.

La seconde SME prendra certains services offerts par la SME actuelle, un peu chargée, et surtout pour permettre l'administration de ces services par une personne différente.


Besoin :
Les deux SME étant complémentaires l'une de l'autre, il faudra que chaque utilisateur puisse avoir les mêmes accès sur l'une et sur l'autre. Mon souci est donc d'assurer une synchronisation des utilisateurs (création/modif/suppression...) entre ces deux SME. Ne voyant pas trop comment faire, j'ai posé la question sur le forum de contribs.org et obtenu une réponse intéressante d'unnilennium (désolé de ne pas y rester, mais ça ne semble pas très réactif...). Mais, comme je le lui dis, la solution par les LAT ne me plait pas beaucoup (peut-être ai-je tort ? Mais je ne vois pas l'intérêt de créer réellement les utilisateurs sur la seconde SME. Ce qu'on fait avec l'authentification sur le domaine des postes Linux - qui reconnaissent les utilisateurs sans réellement les créer - me semble la meilleure solution ?).

Je viens de potasser un peu l'authentification par LDAP, mais tout ce que j'ai vu se rapporte à l'authentification d'une application (egroupware, joomla ou autre) sur la SME, et je ne vois pas bien comment authentifier les utilisateurs d'un service d'une SME sur l'autre SME.

Pour être plus clair, je prends un exemple : un utilisateur veut monter localement une ibay partagée de SME2. Il n'est pas connu sur SME2, mais l'est sur SME1. Il faudrait donc que SME2 lui permette de s'authentifier sur SME1 et le reconnaisse comme autorisé à monter l'ibay. Notez que la démarche est peut-être différente : lors de la création de l'ibay, le groupe et les users qui en font partie sont authentifiés par SME1, ensuite SME2 connait (en se référant au besoin à SME1) le groupe et les users associés, et les accepte...


Schéma :
Vraiment tout bête :

Internet ---- Modem en bridge --- SME1 ---- LAN (avec SME2 + postes)


Modem/Routeur/Box :
Pas le modèle en tête (je ne suis pas au boulot !)... Un DLink dont je pourrai relever le modèle si nécessaire, mais je pense que c'est sans importance pour cette question.

Firewall/Serveur-passerelle multifonctions :
SME1 en serveur-passerelle, PDC du domaine et assurant l'authentification des utilisateurs sur leurs postes de travail
SME2 en prévision, mais elle ne doit pas être à sa place dans ce paragraphe, puisque serveur seul ?

Adressages :
Bah... IP publique côté Internet, 192.168.101.x/255.255.255.0 côté LAN.

Question :
Comment réaliser une bonne synchronisation des utilisateurs et groupes entre deux SME ? L'authentification de l'une sur l'autre est-elle comme je le crois un bon moyen ?

Sur le forum de contribs.org, unnilennium me parle également d'affa. Est-ce un bon moyen ? Et surtout, comment faire ? Pour moi, affa était fait pour les sauvegardes !?

Pistes imaginées :
Les LAT + cron pourraient être une solution, mais je me demande s'il est vraiment utile de dupliquer les utilisateurs sur les deux SME (on ne les duplique pas entre SME et poste de travail !) ?

J'aimerais bien, au moins pour ne pas mourir bête, étudier la solution affa...

Mais la meilleure solution, bien que je ne voie absolument pas comment la mettre en oeuvre, me semble l'authentification par LDAP.


Recherches :
Google avec SME serveur LDAP (+authentification) comme mots clés
Wiki de contribs.org

Logs et tests :
Ben... Je voudrais déjà savoir quoi et comment tester

PS : Pas mal, ce petit formulaire ! Ça force à réfléchir et à présenter les choses précisément ! Ne pourrait-il pas être inclus automatiquement dans la fenêtre de composition du premier post d'un sujet ? J'ai remarqué que bon nombre de membres ne l'utilisent pas, et c'est bien dommage ! Les sujets seraient bien moins longs et chi... avec ces incessantes remarques que le problème est mal présenté et les infos données au compte-goutte sur une dizaine de posts ! Les modos devraient au moins l'imposer systématiquement !

[agecanonix]

J'ai été mauvaise langue en disant qu'ils ne sont pas réactifs chez contribs.org : je n'avais pas vu qu'unnilennium m'a répondu entre temps !

Je vois ce qu'il pensait faire avec affa... Ça revient finalement au même qu'avec les LAT + cron... en évitant d'installer les LAT. Il dit que c'est probablement la meilleure solution, ce que j'approuve au niveau de la simplicité de mise en place, mais il reste que je ne vois pas trop l'intérêt de créer véritablement les utilisateurs sur SME2, pas plus qu'avec les postes qu'on authentifie avec PAM... Ai-je tort ou raison ?

Une nouvelle idée qu'il suggère est de modifier samba pour faire un contrôleur secondaire. L'idée me plait bien... mais même avec google je ne suis pas certain de savoir faire Il dit que ça ne fera que samba, mais je ne crois pas avoir besoin de plus ?

[unnilennium]

le début de la discussion : http://forums.contribs.org/index.php?to ... icseen#new

samba ldap : http://www.samba.org/samba/docs/man/Sam ... a-bdc.html
une autre piste pam : http://www.samba.org/samba/docs/man/Sam ... #id2667096

[agecanonix]

Salut,

Merci pour ces liens, unnilennium. Je vais regarder ça, mais entre l'anglais que je maitrise mal et la technique que je crains un peu avancée pour moi, je risque de mettre un peu de temps pour assimiler !

J'aurais quand même aimé un avis : qu'est-ce qui vous parait le mieux pour répondre à mon besoin ?

[fhs74]

Bonjour,

cette contrib ne pourrai pas répondre à ton problème :
http://wiki.contribs.org/Advanced_Samba

Il me semble que tu veux faire jouer le rôle de "Domain Menber" à ta seconde SME.

J'avais essayé cette contrib sur 2 sme 7.5, cela fonctionnait à merveille, pas besoin d'avoir les comptes sur les 2, que du bonheur.

Cordialement.

FHS

[agecanonix]

Bonjour,

Merci fhs74 !

Oui, à la lecture de la doc, "Domain Member" semble bien être exactement ce que je cherche ! En plus, ça a l'air assez facile à mettre en oeuvre !

Reste plus qu'à voir s'il y a une version pour SME 8. Je regarderai ça ASAP.

Encore une petite question : si j'ai bien compris, je ne touche à rien à ma SME1, j'installe ça sur ma SME2 et ça roule ? C'est bien ça ?

Merci encore pour le tuyau ! Ce sont bien les savoyards les meilleurs

[fhs74]

Bonjour,

tu peu aller voir ici pour connaître la compatibilité avec sme 8
http://wiki.contribs.org/SME8.0_Contribs_QA#smeserver-adv-samba

Cela à l'air de fonctionner.

Pour répondre à ta question :
Il faut installer ce paquet sur la sme 2.
C'est elle qui doit être membre du domaine, la sme1 étant le contrôleur du domaine.

N'hésite pas à nous faire un retour.

Cordialement.

FHS

[agecanonix]

Bonjour,

Je viens de faire un essai avec une SME de tests. Le plus dur a été de trouver le RPM : apparemment, pour ce qui n'est pas officiellement porté sous SME 8, il n'y a pas grand chose qui est gardé J'ai eu le même problème avec affa, et jibé m'a dit qu'il avait trouvé, juste après la sortie de SME8, un rpm apparemment destiné à cette version, mais qu'il n'a jamais pu le retrouver ensuite. Par chance, il l'avait gardé et a pu me le passer.

Pour Advanced Samba, tout ce que j'ai trouvé, c'est ceci, pour la version 7.6. Après avoir hésité à venir ici demander comment faire pour recompiler une version adaptée à SME8, j'ai fini par tenter le coup, et ça fonctionne

Installation super simple, et aux premiers essais il semble que c'est bien exactement ce que je cherchais ! Je peux monter mes ibays SME2 sans y être déclaré comme utilisateur

Bon, yapluka mettre ça en service sur la SME que je dois mettre en prod très prochainement. J'essaierai de faire un petit tuto ensuite : là, bien évidemment, j'ai oublié de faire des copies d'écrans et/ou relevés des messages...

Merci encore à fhs74 !

Il me reste deux questions :
1 - Y a-t-il un endroit que je n'aurais pas su trouver où on peut trouver les versions pour SME8 des contribs (comme la version d'affa que jibé avait trouvé et qui semble avoir disparu de la toile) ?
2 - Quant il n'y a pas de version au moins recompilée pour SME8, peut-on sans risques ni inconvénients utiliser la version pour SME7 à partir du moment où elle s'installe et semble fonctionner, ou vaut-il mieux en recompiler une nouvelle version ?

[sibsib]

Salut agecanonix,

Pour la question 1, je n'ai pas de pistes.

Pour la question 2, c'est un peu délicat. Disons que entre SME 7 et SME 8, il y a passage de CentOS 4 à CentOS 5, et la différence n'est pas énorme en terme de produits (les versions sont bien sûr beaucoup plus à jour !)

Pour SME, il n'y a pas de différence structurelle.
Tout ça pour dire qu'effectivement, un package SME qui était bien conçu pour SME 7 a d'assez bonnes chances de fonctionner sur SME 8. Les 2 ou 3 packages auquels je contribue sont passés tout seul sur SME 8. Un contre exemple est sme7admin qui a eu besoin d'un coup de polish parce qu'une des commandes système utilisée par sme7admin a été complètement réécrite par son mainteneur.

Pour aller un peu plus loin, dans le sens de la question "si je teste vite fait un package SME 7 sur une SME 8 et que ça fonctionne, est ce que je peux passer en prod ?", je dirais que ça dépend des changements dans les sous-couches ! Dans ton cas, tu n'es finalement dépendant (je pense !) que de Samba, et il me semble que les versions de Samba surSME 7 et SME 8 sont toutes des 3.x (pas vérifié, je ne suis pas chez moi).

Dans ce cas, il y a de "bonnes" chances que ça se passe bien.

Après, mis à part décompiler le package pour voir exactement ce qu'il fait et si ce qu'il fait est toujours bien dans les clous, ça peut être assez compliqué. Donc, il ne faut pas hésiter à voir sur les forums SME (ici et chez contribs) s'il y a des résultats concluants, et dans le doute à faire (comme tu l'as fait ici, mais peut-être pas chez contribs) un post pour voir s'il y a des rex.

A+,
Pascal

[agecanonix]

Bonjour,

Merci pour ces précisions, sibsib

Finalement, j'ai fait l'installation sur la SME de prod. On verra bien, mais comme tu n'es pas trop alarmiste sur l'installation d'une contrib SME7 sur SME8, on va courir le risque. Pour le moment, il n'y a pas encore eu de grosse fumée noire !

J'ai fait comme promis un tuto pour la mise en place de cette contrib.