Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pFsense et Active Directory

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      ggpf
      last edited by

      Bonjour,
      Je suis a la dernière version fr pFsense sur un Netgate 2100
      Version 21.02.2-RELEASE (arm64)
      built on Mon Apr 12 07:50:11 EDT 2021
      FreeBSD 12.2-STABLE
      The system is on the latest version.

      Tout fonctionne très correctement, enfin presque sauf l'identification avec Active Directory.
      J'ai suivi ce tutoriel à la lettre,
      https://techexpert.tips/fr/pfsense-fr/authentification-ldap-pfsense-sur-active-directory/
      même si parfois ce tutoriel n'est pas de bon conseil du coté AD, (personne n'est parfait),
      la première étage se passe très bien, avec le bon compte et le bon mot de passe, il sait
      parfaitement aller les récupérer la liste des OU et ensuite on a plus qu'a selectionner les
      OU contenant des utilisateurs.
      Là ou rien ne va plus c'est qu'en on passe au Diagnostics > Authentification on sélectionne
      bien Active Directory en lieu et place de Local Database, on saisit un utilisateur et son mot
      de passe on a systématiquement le message :

      The following input errors were detected:
      Authentication failed.

      En sélectionnant Local Database l'authentification du compte admin se passe bien.

      Bien sûr on a tout essayer comme syntaxe du compte le cn domaine.tld\compte
      compte@domain.tld rien toujours le même message.

      On a aussi loguer coté AD on voit bien la première étape se passe bien on voit bien
      les traces et AD répond bien la liste des groupes, mais a cette étape, silence radio sur
      AD donc, une idée ?
      Dans le tutoriel la personne n'a pas mentionné le niveau fonctionnel de l'AD on
      teste cette authentification vers un serveur 2016 avec un niveau fonctionnel 2012R2.
      Le ping de l'adresse IP du serveur se passe bien et aussi avec le nom du serveur AD
      de type serveur.domaine.tld.
      Depuis une machine Linux on lance la commande :
      ldapsearch -H ldap://monserver_ad.domaine.com -x -W -D "mon_compte@example.com" -b "dc=assysm,dc=com" "(sAMAccountName=user)"
      On a le bon retour d'information en revanche sur le NetGate on a :

      LDAPv3
      base <dc=assysm,dc=com> with scope subtree
      filter: (sAMAccountName=user)
      requesting: ALL
      search result
      search: 2
      result: 1 Operations error
      text: 000004DC: LdapErr: DSID-0C090A5C, comment: In order to perform this opera
      tion a successful bind must be completed on the connection., data 0, v4563

      numResponses: 1
      Voilà si vous avez une idée ?
      Cordialement.
      GG.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by jdh

        @ggpf said in pFsense et Active Directory:

        J'ai suivi ce tutoriel à la lettre,

        C'est ce qu'il ne faut pas faire !
        Un tuto marque les éléments clés ... que vous devez adapter à votre cas ! Vous en avez conscience puisque vous l'écrivez à la suite ...

        Il est probable que, par exemple, le cn de connexion à votre AD ne soit pas bon, ou que l'OU des utilisateurs ne soit pas correcte, ou que le proto ne soit pas le bon, ou ...

        Au moins vous chercher, avec des cdes équivalent sous Linux, ... mais il y a un détail qui vous échappe tout en étant devant vos yeux ...

        Encore qq efforts et vous allez trouver ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        G 1 Reply Last reply Reply Quote 0
        • G
          ggpf @jdh
          last edited by

          @jdh
          Je regrette beaucoup les newsgroups au moins on pouvait "plonker" des conards
          de votre genre, sur les forums c'est plus difficile mais on va faire le nécessaire pour ne
          plus lire la prose d'en votre genre.
          Merci de ne plus répondre a mes questions.
          Avec vos remarques je n'avais pas envie d'investir dans un Netgate, ce sera le premier
          et le dernier, avec une communauté de conards dans votre genre, on n'a plus envie
          d'y revenir.
          A l'avenir, pauvre con évite de répondre, ça nous fera des vacances.
          Pas du tout cordial, mais ça fait du bien.
          GG.

          1 Reply Last reply Reply Quote 1
          • J
            jdh
            last edited by

            Dans mon ordre de lecture

            • le fil "Problème de DNS entre VLAN"

            vous intervenez (plus d'1 mois 1/2 après le dernier post) avec un post désagréable : la plus belle connerie ... il est recommandé ... meilleure sécurité ...
            En fait, ce que vous écrivez est du pipeau et de la frime, et vous ne l'avez sans doute jamais mis en oeuvre ! S'il est facile de créer un srv linux avec DNS secondaire du DC (Isc Bind) et DHCP principal (Isc Dhcp), MAIS il est très difficile que le DHCP mette à jour le DNS du DC Windows comme on l'attend. Parce que Isc DHCP met à jour les enregistrements DNS via TSIG alors que le DNS Windows demande des mises à jour via ticket Kerberos !
            Des liens indiquant le problème :

            • https://ubuntuplace.info/questions/435437/isc-dhcp-and-microsoft-dns : très exactement le problème
            • https://serverfault.com/questions/32605/using-bind9-and-dhcpd-to-support-a-windows-domain : la même chose en anglais

            Or il y a une solution : https://blog.michael.kuron-germany.de/2011/02/isc-dhcpd-dynamic-dns-updates-against-secure-microsoft-dns/ C'est assez complexe, et je ne suis pas certain que ça fonctionne avec 2016 ou 2019 ....

            Ce n'est pas nouveau, et j'ai indiqué un Linux Magazine où j'avais vu une telle solution ... limité à Windows 2000: Magzaine n° 45 de Décembre 2002 http://eric.gerbier.free.fr/linuxmag_index.html

            Ma réponse est factuelle, et je viens de la compléter de manière finale (le DHCP de pfSense ne pourra jamais convenir, et il faut être bien plus calé que moi pour la mettre en place, bonne chance).

            • le fil "pfsense et ActiveDir"

            Je n'ai pas vu que vous en êtes l'auteur (sinon je me serais abstenu de répondre).

            Je réponds encore factuellement : tant d'imbéciles écrivent 'j'ai appliqué le tuto' sans avoir rien compris !

            Je poursuis que vous semblez chercher et que vous ne devriez pas être loin ... enfin c'est le sens.

            (On aurait pu écrire que, vous, le champion du DNS/DHCP hors de Windows, voulez quand même utiliser l'AD avec pfSense, mais ce serait trop facile ...)

            Et vous le prenez mal. Mais posez vous la question : pourquoi prenez vous mal ce qui ne vous agresse nullement ? Ca pourrait vous servir toute votre vie .... et rendre celle de vos voisins plus facile !

            • le fil "DHCP maping Client Identifier"

            La question a pourtant été clairement posée.

            Vous fournissez le lien vers Wikipedia, (probablement déjà vu par l'auteur de la question) et le renvoyez à MAC Address ... dont il a expliqué qu'il ne veut pas faire ça !

            Probablement vous n'avez même pas lu complétement la page car, et je le rapporte, des versions récentes de RFC de DHCP le permette.

            Factuellement votre réponse n'est pas bonne (parce que vous ignorez 'Client Identifier' comme beaucoup, et c'est logique puisque rare).

            • Conclusion

            Vous venez de vous inscrire, vous réagissez sur 3 fils de manière stupide et même désagréable sur l'un. Vous m'insultez. Et tout ça en 2 jours !! Trop fort !!

            Qui êtes vous pour vous permettre ce genre de comportement ?

            En fait vous êtes un guignol, et vous allez bien vite disparaitre parce que, et vous le savez déjà, rien sur ce forum (mourant) ne vous est utile, et vous n'avez sans doute aucune fibre à transmettre votre précieuse expérience. Je vous renvoie vos insultes ...

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 1
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.