ldap / samba - guide - CA MARCHE !! WIKI dispo

ldap / samba - guide - CA MARCHE !! WIKI dispo - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 16-10-2005 à 18:18:03    

VOILA ca marche !!!!
 
creation d'un pdc samba avec LDAP:
 
Vous pouvez donc administrer un controleur de domaine samba3 avec une interface web LAM.
Les utilisateurs, groupes et ordinateurs sont dans un annuaire LDAP.
 
L'installation semble plus facile à installer avec une debian SID ou ETCH
 
 
EDIT du 13 mai:
 
 
Toute la documentation nécessaire est maintenant entierement disponible sur le wiki
 
http://damstux.free.fr/wiki/
 
http://damstux.free.fr/wiki/index. [...] Samba_LDAP
 
pour l'instant j'ai bloqué la création des comptes et la modification des anonymes, si vous voulez un compte dites le moi par MP

Message cité 2 fois
Message édité par dam1330 le 31-01-2007 à 11:06:17
Reply

Marsh Posté le 16-10-2005 à 18:18:03   

Reply

Marsh Posté le 19-10-2005 à 14:43:11    

Ben moi ça m'intéresse !
J'y ai passé un peu de temps sans trouver une solution pour tous mes problèmes...
 
Ma problématique est simple : J'ai 70 petit PDC avec chaqu'un leur domaine Windows. LE pbl c'est que mes utilisateurs demande de la mobilité, logique !
donc pour cela auth sur une base unique (UID/GID unix et SID/RID Windows)  
--> donc LDAP
 
Mon problème c'est que je dois stocker les infos d'autentification dans LDAP pour Linux et samba !
Bah oui, coté Linux je gère des droits, ACL et quotas sur mes FileSystem (ReiserFS) et quitte a avoir un homogénéité, autant quelle y soit aiss pour les droits/quotas des utilisateurs !
 
 

Citation :


par contre je ne sais pas comment regler les droits de chaque user ..  


 
Qu'est ce que tu veux faire exactement ?  Gérer des droits sur des dossiers ? des partages ? mettre des quotas ?  
T'as un seul serveur ? tes utilisateurs sont connectés dessus ?

Reply

Marsh Posté le 19-10-2005 à 17:54:21    

j'ai un seul serveur, pour l'instant ya juste l'authentifaction pour les postes linux, j'ai pas encore mis en place samba+ldap.
 
pour info tu geres comment ton annuaire ldap ? ca doit etre enorme avec 70pdc

Reply

Marsh Posté le 19-10-2005 à 21:05:53    

jaii un message d'erreur quand je veux connaitre le sid du domaine meme si je l'obtiens quand meme
 
root@shuttle:~# net getlocalsid
[2005/10/19 21:02:57, 0] lib/smbldap.c:smbldap_connect_system(852)
  failed to bind to server ldap://127.0.0.1/ with dn="cn=admin,dc=shuttle,dc=com" Error: Invalid credentials
 
[2005/10/19 21:03:13, 0] lib/smbldap.c:smbldap_search_suffix(1176)
  smbldap_search_suffix: Problem during the LDAP search: (unknown) (Timed out)
SID for domain SHUTTLE is: ...............................................

Reply

Marsh Posté le 19-10-2005 à 23:46:33    

dam1330 a écrit :

j'ai un seul serveur, pour l'instant ya juste l'authentifaction pour les postes linux, j'ai pas encore mis en place samba+ldap.
 
pour info tu geres comment ton annuaire ldap ? ca doit etre enorme avec 70pdc


 
 
Pour le moment chaque PDC a ses propres compte Unix et samba dans ons domaine. C'est pour ça que c'est le bronx. Mon but est de recréé tous les utilisateurs sur un LDAP qui authentifiera aussi bien coté samba qu'Unix !
En parallèle, en cas de coupure du seerveur LDAP (ou de la liaison WAN) je pense répliquer la branche des users "fixe" du domaine sur chque serveur samba de chque site.
En d'autre terme, si le LDAP primaire avec tous les compte n'est pas dispo, on pass en fallback sur le réplique local qui est sur le site.
 
Pour le moment ce n'est qu'au stade de projet. A terme, je pense qu'il vaut mieux que je mette tous les utiliateurs dans 1 seul domaine donc migration avec relation d'approbation entre le site à migrer et le site central pour faire site par site. Au final un seul LDAP avec tous les comptes de la boite ;)
+ flexible, +  mobile et surtout + administrable !
 
Pour le SID, t'es sur il est dans ton LDAP ? il est pas encore dans les tdb ? Si t'as pas d'auth samba dans LDAP, il est probable que le SID soit encore dans un tdb ;)

Reply

Marsh Posté le 20-10-2005 à 11:26:09    

quotas sur mes FileSystem (ReiserFS)
 
Je croyais que l'on ne pouvait pas avec du ReiserFS ca a changé non ???

Reply

Marsh Posté le 20-10-2005 à 11:36:14    

Sur les SuSE, les quotas sur du reiserFS ça roule.
SuSE 9.2 --> kernel 2.6.8 dans mon cas
 

Reply

Marsh Posté le 20-10-2005 à 17:51:15    

Phoenix a écrit :


 
Pour le SID, t'es sur il est dans ton LDAP ? il est pas encore dans les tdb ? Si t'as pas d'auth samba dans LDAP, il est probable que le SID soit encore dans un tdb ;)


 
 
bein en fait dans lam, il me demande le sid quand je veux creer mon domaine samba.
 
mais bon je peux pas tester si mon samba marche car je rentre chez moi que ce week-end, je suis juste en ssh

Reply

Marsh Posté le 23-10-2005 à 17:49:17    

bon je suis de  retour, je n'ai pas trop progressé:
voici mon smb.conf
[global]
workgroup = shuttle
netbios name = shuttle
server string = Samba-LDAP PDC Server
domain master = yes
domain logons = yes
os level = 40
#unix password sync = Yes
passwd program = /usr/sbin/smbldap-passwd ?u %u
passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1:389/
ldap admin dn = cn=admin,dc=shuttle,dc=com
ldap suffix = dc=shuttle,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = yes
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-groupadd -p "%g"
ldap ssl = No
restrict anonymous = no
preferred master = no
max protocol = NT
server signing = Auto
 
 
sous windows, quand je veux me connecter au domaine:
je  mets shuttle, il me demande un mot de passe, je mets ceuli de root, tout est bon: "bienvenue dans le domaine shuttle"
 
donc je me dis tout est bon, sauf que quand  je reboote pour valider, au login de la session je dis ouverture sur le domaine shuttle, et il me dit, "nom double sur le reseau" et je ne peux pas me logguer, j'ai "le domaine shuttle n'est pas disponible"
 
 

Reply

Marsh Posté le 23-10-2005 à 19:49:52    

bien que tout le monde s'en moque :D je signale que j'y suis arrivé, que tout fonctionne apparement bien, je mets mon smb.conf. je dois faire une doc dessus donc je la mettrais en ligne quand j'aurai fini
#### Debut du fichier #####
[global]
workgroup = domaine
netbios name = shuttle
server string = Samba-LDAP PDC Server
domain master = Yes
local master = Yes
domain logons = Yes
os level = 40
#unix password sync = Yes
#passwd program = /usr/sbin/smbldap-passwd ?u %u
#passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=admin,dc=shuttle,dc=com
ldap suffix = dc=shuttle,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=People
ldap machine suffix = ou=Machines
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"  
logon path = \\%L\profile\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
#character set = iso8859-1
#domain admin group = @admin
dns proxy = No
wins support = Yes
hosts allow = 192.168.0. 127.
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
 
 
 
#
[netlogon]
path = /home/netlogon
writable = No
browseable = No
write list = Administrateur
#
[profile]
path = /home/export/profile
browseable = No
writeable = Yes        
profile acls = yes  
create mask = 0700    
directory mask = 0700
 
#
[homes]
comment = Repertoire Personnel
browseable = No
writeable = Yes
#
[partage]
comment = Repertoire commun
browseable = No
writeable = Yes
public = No
path = /home/partage
#### Fin du fichier ####  
 

Reply

Marsh Posté le 23-10-2005 à 19:49:52   

Reply

Marsh Posté le 23-10-2005 à 20:09:57    

Beau boulot :) Si tu peux faire une doc su la mise en place d'un LDAP + Authentification + Samba, tu seras genial :)

Reply

Marsh Posté le 23-10-2005 à 20:37:11    

oui je vais le faire, pas de souci, juste 1 ou 2 truc a regler:
toutes les machines peuvent se connecter a mon domaine, je comprends pas pourquoi, normalement seules les machines que j'ai mis dans mon ldap devraient pouvoir (pc1$ ....)
 
enfait mes machines se rajoutent automatiquement dans mon ldap


Message édité par dam1330 le 23-10-2005 à 20:42:08
Reply

Marsh Posté le 23-10-2005 à 21:04:40    

flag pour plus tard

Reply

Marsh Posté le 23-10-2005 à 21:36:36    

salut dam1330,
 
meme si pas beaucoup de personnes ne repond , ce topic reste tres interessant.
je me suis interessé a LDAP ( et j'ai re-essayé avant-hier ), et c'est toujours la misere en fait  
j'ai toujours du "ldap_sasl_interactive_bind_s : qqchose" , tu semble avoir eu des erreurs du meme style , qu'as tu fait pour depasser ça ??
 
merci d'avance.  :jap:

Reply

Marsh Posté le 23-10-2005 à 21:50:54    

enfait il je ne me sers pas des outils ldapadd .....
 
la commande slapcat te retourne quoi ?  
et celle la (remplace mondomaine.com) ?
ldapsearch -x -b "dc=mondomaine,dc=com" "objectclass=*"

Message cité 1 fois
Message édité par dam1330 le 23-10-2005 à 21:56:56
Reply

Marsh Posté le 23-10-2005 à 22:17:31    

dam1330 a écrit :

enfait il je ne me sers pas des outils ldapadd .....
 
la commande slapcat te retourne quoi ?  
et celle la (remplace mondomaine.com) ?
ldapsearch -x -b "dc=mondomaine,dc=com" "objectclass=*"


oula... va falloir que je reinstalle tout , parce  qu'en fait actuellement , j'ai tout viré !
 
j'avais contruit mon fichier LDIF d'utilisateurs ( LDAP pour authentification ) créé avec les migrationtools
et impossible ensuite avec un truc du genre "ldapadd -D "cn=admin,dc=chezmoi,dc=fr" -w toto -f test.ldif" avec toute les options possibles et inimaginabes
toujours un ldap_sasl_interactive_bind_s.
 
je vais remettre ca en place, et je te tien sau courant ( meme si cela ne fera pas avancer ton serveur LDAP )
 :jap:

Reply

Marsh Posté le 24-10-2005 à 09:32:51    

Well done ! :jap:
Je vais essayer de m'y attaquer d'ici le mois prochain sur une SuSE 9.2.
Le temps de monter une maquette car j'ai un PDC avec 400 comptes qui est éligible pour ce type de migration ;)

Reply

Marsh Posté le 25-10-2005 à 06:46:21    

Merci, j'essaye ca ce week end ;)

Reply

Marsh Posté le 25-10-2005 à 08:17:48    

drapalized :)

Reply

Marsh Posté le 25-10-2005 à 09:35:54    

Merci pour le topic, drapal :)

Reply

Marsh Posté le 25-10-2005 à 10:29:06    

flag, je vais tester:)


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 25-10-2005 à 12:00:53    

flag, je vais étudier ça apres les vac' :)

Reply

Marsh Posté le 26-10-2005 à 22:20:20    

Documentation
 
http://damstux.free.fr/wiki/index. [...] Samba_LDAP

Message cité 1 fois
Message édité par dam1330 le 31-01-2007 à 11:08:27
Reply

Marsh Posté le 28-10-2005 à 16:49:35    

Meric pour la doc. Juste une petite remarque, quand tu met  


On crée un mot de passe pour root :
smbpasswd -w votremotdepasse
Cette commande génère le fichier /var/lib/samba/secrets.tdb


 
En fait cette commande permet de stocker dans le secret.tdb le mot de passe de l'utilisateur admin qui a les droits de mises à jour dans LDAP.
Le but étant de ne pas laisser les mots de passes en clair dans les fichier de conf je suppose.
 
Donc quand Samba veut attaquer LDAP, il utilise la variable "ldap admin dn = cn=toto,dc=doamin,dc=tld" du smb.conf + le password contenu dans secret.tdb.
 
De mon coté j'ai réussi aussi sur une SuSE 9.2 grace à cette doc : http://www.opensuse.org/Howto_setu [...] S_and_CLAM
J'ai pas mise en place le coté DynDNS et Dhcp, mais la partie LDAP fonctionne nikelle !


Message édité par Phoenix le 28-10-2005 à 16:49:53
Reply

Marsh Posté le 28-10-2005 à 17:07:45    

ok, quand j'essaye de me connecter a LDAP avec JXplorer_LDAP_Browser par exemple avec anonymous ca marche,mais quand je mets admin + mot de passe je me fais ejecter:
javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN]

Reply

Marsh Posté le 28-10-2005 à 22:11:22    

c'est surprenant je n'arrive a me connecter en admin qu'avec LAM, je me fais jeter avec tous les autres clients, ca ne  marche qu'en anonyme ...

Reply

Marsh Posté le 28-10-2005 à 22:19:30    

Perso j'ai juste mis mon serveur samba en member serveur de l'AD. Je m'authentifie tant sous linux que sous windows via l'AD.
L'intéret de ceci serait de migrer les serveurs linux vers des serveurs windows, pas d'intégrer les deux si j'ai bien pigé?
 
Sinon c'est très intéresant!

Reply

Marsh Posté le 28-10-2005 à 22:26:50    

heu l'inverse plutot !!
la chez moi ya qu'un serveur linux tout seul, pas d'AD

Reply

Marsh Posté le 28-10-2005 à 22:28:54    

OK c'est bien ca, virer les serveurs microsoft pour mettre un serveur linux. Une petite question, est-ce que ta démarche permettrais de répliquer avec un serveur 2003 par exemple?


Message édité par Koybe le 29-10-2005 à 09:22:34
Reply

Marsh Posté le 28-10-2005 à 23:08:11    

heu aucune idee, mais ldap ne propose pas les meme fonctionnalités que AD:  j'ai trouvé ces topic:
 
http://forum.hardware.fr/hardwaref [...] 0059-1.htm
http://forum.hardware.fr/hardwaref [...] 7965-1.htm
http://forum.hardware.fr/hardwaref [...] 2144-1.htm
 
je connais pas tellement win2003

Reply

Marsh Posté le 28-10-2005 à 23:32:19    

Perso je sui tombé la dessus et je pense que ca répond assez à ma question. Il faudra probablement attendre samba4 avant d'avoir une intégration plus poussée.
 
http://ftp.easynet.be/samba/devel/roadmap-4.0.html

Reply

Marsh Posté le 28-10-2005 à 23:38:31    

je pense aussi, samba3 se comporte comme un nt4 et c'est deja pas mal.
 
y a pas une date (juste une idee) pour samba4 ? quelques mois ? 2ans ? plus ?

Reply

Marsh Posté le 28-10-2005 à 23:45:14    

Citation :

Samba4 development is moving very rapidly, but there is still much work to be done. A date has not been set for an official release, but the current source is available from our Subversion repositories.


 
Pas de date encore. C'est prometteur en tout cas :D

Reply

Marsh Posté le 29-10-2005 à 01:40:28    

y a pas un volontaire pour la svn ? :D
 
j'essaierai bien mais comme il doit rien avoir de documenté je vais etre perdu

Reply

Marsh Posté le 29-10-2005 à 03:01:57    

rox topic !

Reply

Marsh Posté le 31-10-2005 à 11:13:33    

dam1330 a écrit :

c'est surprenant je n'arrive a me connecter en admin qu'avec LAM, je me fais jeter avec tous les autres clients, ca ne  marche qu'en anonyme ...


 
Est ce que t'as mis des ACL dans ton slapd.conf ?
Afin de debugger, tu peux tenter un  


access to *
by * read


Pour tester, histoire de donner les droits en lecture sur l'annuaire.
Même si c'est du read, il faut ensuite protéger un mini les accès.

Reply

Marsh Posté le 31-10-2005 à 11:30:24    

ok,  j'ai pas mal triffouillé dans tous les sens, maintenant ca marche.
 
j'ai trouvé un logiciel bien: luma
c'est une application en QT, elle permet de creer facilement plein d'utilisateurs d'un coup en gérant automount.
 
 
je vais me pencher sur l'automount, pour que mes clients linux disposent d'un home sur le serveur qui soit moné au login

Reply

Marsh Posté le 31-10-2005 à 22:35:09    

pour ceux qui veulent gerer les authentifications avec LDAP pour leur site web, voici le contenu dans .htaccess qui fonctionne:
 


AuthType Basic
AuthName "LDAP auth against user"
AuthLDAPEnabled on
AuthLDAPUrl ldap://127.0.0.1/dc=shuttle,dc=com
<LIMIT GET POST>
    Require valid-user
</LIMIT>


 
le module est deja installé pour apache2 sur ma debian, il n'y a qu'a creer un lien pour l'activer:
 ln -s /etc/apache2/mods-available/auth_ldap.load /etc/apache2/mods-enabled/  
 
puis on relance le serveur /etc/init.d/apache2 restart
 
si quelqu'un sait comment on se sert d'autofs qu'il me fasse signe:
pour l'instant j'ai:
- mis le schema autofs
- créé des utilisateurs avec LUMA (cf post + haut)
- essayé de parametrer /etc/export
- essayé de paramétrer /etc/autofs.master
 
mais ca ne marche pas du tout: si vous avez de la doc ...

Reply

Marsh Posté le 01-11-2005 à 07:50:25    

Arf, ca m'interesse ca, j'avais essaye de me lancer (avec le howto de idealx) : mais le truc etait base sur redhat et je tournais sous debian :/

Reply

Marsh Posté le 01-11-2005 à 10:39:26    

[:drapal]


---------------
Töp of the plöp
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed