Différences

Ci-dessous, les différences entre deux révisions de la page.

--- brouillon_pptp [2010/11/14 00:15] – thierry
+++ brouillon_pptp [2010/12/17 19:43] (Version actuelle) – thierry
@@ Ligne 11: / Ligne 11: @@
 | ipredator.se  | pptp | 12/2009 | tous ouverts | Bof | trop lent ! (+120 ms sur les pings!) |
 | blackvpn.com | pptp/OpenVPN | 08/2010 | fermés! | OK | les ports P2P fermés = LowID (pas de redirection) je n'ai pas insisté |
-| vpntunnel.se | OpenVPN | 08/2010 | tous ouverts | OK | ping un peu lent (+120 ms). On verra mieux a l'usage |
+| vpntunnel.se | OpenVPN | 08/2010 | tous ouverts | OK | ping un peu lent (+120 ms). A l'usage: c'est bien. |
 ===== Client OpenVPN =====
@@ Ligne 329: / Ligne 329: @@
   *http://www.members.optushome.com.au/~wskwok/poptop_ads_howto_1.htm
-===== Active Directory =====
+===== Serveur PPTP et Windows Active Directory =====
 Serveur PPTP et active directory.
@@ Ligne 347: / Ligne 347: @@
 ==== reseau ====
-  * Ip local: (elle naté via un firewall)
+  * Ip local: (elle est NATé via un firewall)
 Pas d'ipv6, donc :
@@ Ligne 411: / Ligne 411: @@
   ip_nat_ftp
   ip_conntrack_irc
-  ip_nat_pptp
+  ##ip_nat_pptp
-  ip_conntrack_pptp
+  ##ip_conntrack_pptp
 Et faire (le reste pouvant attendre) :
@@ Ligne 484: / Ligne 484: @@
   aptitude -t lenny-backports install pptpd
-Dans **''/etc/ppp/pptpd-options''** :
+Dans **''/etc/pptpd.conf''** :
   ... <snip> ...
   localip 192.168.23.254
@@ Ligne 512: / Ligne 512: @@
 A noter:
-  "noproxyarp" et "defaultroute"  qui sont a l'opposé de la conf par defaut.
+  * "noproxyarp" et "defaultroute"  qui sont a l'opposé de la conf par defaut.
+  *  "novj", "novjccomp", "nologfd", "auth" et "nopersist" qui sont ajoutés.
+| :!: En pratique "(no)proxyarp" "(no)defaultroute" ne fait rien que je puisse etudier!!! je sais, c'est bizarre. A vous de voir! |
+  # /etc/init.d/pptpd restart
+==== kerberos ====
+  # aptitude -t lenny-backports install krb5-config krb5-user
+Serveurs Kerberos pour votre domaine :
+  pdc1.thierry-jaouen.fr pdc2.thierry-jaouen.fr
+Serveur administratif:
+  pdc1.thierry-jaouen.fr
+adapter le fichier **''/etc/krb5.conf''** :
+  ... <snip> ...
+  [logging]
+        default = FILE:/var/log/krb5libs.log
+        kdc = FILE:/var/log/krb5kdc.log
+        admin_server = FILE:/var/log/kadmind.log
+  ... <snip> ...
+  [libdefaults]
+        default_realm = THIERRY-JAOUEN.FR
+        dns_lookup_realm = false
+        dns_lookup_kdc = false
+        ticket_lifetime = 24h
+        forwardable = yes
+   ... <snip> ...
+  [realms]
+        THIERRY-JAOUEN.FR = {
+                kdc = pdc1.thierry-jaouen.fr
+                kdc = pdc2.thierry-jaouen.fr
+                admin_server = pdc1.thierry-jaouen.fr
+                default_domain = thierry-jaouen.fr
+        }
+   ... <snip> ...
+  [domain_realm]
+   ... <snip> ...
+        .thierry-jaouen.fr = THIERRY-JAOUEN.FR
+        thierry-jaouen.fr = THIERRY-JAOUEN.FR
+   ... <snip> ...
+Et puis:
+  # kinit administrateur@THIERRY-JAOUEN.FR
+  Password for administrateur@THIERRY-JAOUEN.FR:
+Verifier que ca fonctionne avec:
+  # klist
+==== winbind et samba ====
+... nul besoin d'installer samba !
+  # aptitude -t lenny-backports install winbind
+Domaine: (on s'en fout)
+  THIERRY-JAOUEN
+Wins DHCP:
+  NON
+Modifier **''/etc/samba/smb.conf''** :
+  [global]
+        workgroup = THIERRY-JAOUEN
+        realm = THIERRY-JAOUEN.FR
+        server string = %h server
+        interfaces = 192.168.6.43, lo
+        bind interfaces only = Yes
+        security = ADS
+        password server = 192.168.6.44
+        log file = /var/log/samba/%m.log
+        max log size = 50
+        load printers = No
+        printcap name = /dev/null
+        local master = No
+        domain master = No
+        dns proxy = No
+        # TJ -----------
+        # 2010/11/10
+        wins support = no
+        #wins server = 192.168.6.44
+        # --------------
+        panic action = /usr/share/samba/panic-action %d
+        idmap uid = 30000-40000
+        idmap gid = 30000-40000
+        template shell = /bin/bash
+        winbind separator = +
+        winbind enum users = Yes
+        winbind enum groups = Yes
+        printing = bsd
+        print command = lpr -r -P'%p' %s
+        lpq command = lpq -P'%p'
+        lprm command = lprm -P'%p' %j
+  [homes]
+        comment = Home Directories
+        valid users = %S
+        create mask = 0700
+        directory mask = 0700
+        browseable = No
+  [printers]
+        comment = All Printers
+        path = /var/spool/samba
+        create mask = 0700
+        printable = Yes
+        browseable = No
+  [print$]
+        comment = Printer Drivers
+        path = /var/lib/samba/printers
+Je crois qu'en dehors de la section "global" , le reste ne sert a rien.
+  # net rpc join -S pdc1.thierry-jaouen.fr -U administrateur
+  Enter administrateur's password:
+  Joined domain THIERRY-JAOUEN.
+  # /etc/init.d/winbind restart
+  # wbinfo -t
+  checking the trust secret for domain THIERRY-JAOUEN via RPC calls succeeded
+Ok.
+Ainsi que:
+  # wbinfo -u
+... retourne la liste des comptes presents.
+  # wbinfo -g
+... retourne la liste des groupes...
-==== samba ====
+Nous voila pret a associer le serveur "pptpd" et l'"Active Directory" Windows.
-... enfin, juste les fichiers de base: nul besoin d'installer samba !
+==== pptpd et Active Directory ====
-==== winbind ====
+Il suffit d'ajouter dans **''/etc/ppp/pptpd-options''** :
+  plugin winbind.so
+  ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"
+Pour autoriser que des utilisateurs appartenant au groupe "Group-VPN" :
+  ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of=THIERRY-JAOUEN+Group-VPN"
+... et puis:
+  # /etc/init.d/pptpd restart
 ====== ItsHidden ======