OpenLDAP et SAMBA | Insufficient access at /usr/sbin/smbldap-passwd li - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-10-2007 à 09:31:50
tu as bien créé le "ticket" d'accès au LDAP pour ton samba ? avec le DN correspondant ?
Marsh Posté le 19-10-2007 à 10:25:03
black_lord a écrit : tu as bien créé le "ticket" d'accès au LDAP pour ton samba ? avec le DN correspondant ? |
merci pour ta réponse.
je ne sais pas exactement ce qu'on entends par ticket...
mais les "comptes" samba et smbldap-tools existe bien dans l'annuaire puisqu'un slapcat me renvoie, entre autre, les lignes suivantes:
Code :
|
mais je ne sais pas si c'était vraiment la question...
Marsh Posté le 19-10-2007 à 10:27:53
non en effet.
pour que ton samba s'identifie auprès de ton ldap il faut qu'il fournisse les infos dn+pass associé. Si tu as modifié le DN d'accès alors il faut recréer ce ticket d'accès avec le bon DN. c'est pour ça que tu as un access denied.
Marsh Posté le 19-10-2007 à 10:47:26
black_lord a écrit : non en effet. |
dans /etc/samba/smb.conf j'ai évidemment mis la ligne: ldap admin dn = cn=samba,ou=DSA,dc=effata,dc=ch dans la section global.
J'y ai associé un mot de passe avec smbpasswd -w sambasecretpwd
En ce qui concerne les scripts smbldap-tools j'ai bien mis dans /etc/smbldap-tools/smbldap_bind.conf les lignes:
slaveDN="cn=smbldap-tools,ou=DSA,dc=effata,dc=ch"
slavePw="***"
masterDN="cn=smbldap-tools,ou=DSA,dc=effata,dc=ch"
masterPw="***"
j'espère cette fois-ci avoir répondu à ta question...
Marsh Posté le 23-10-2007 à 16:58:24
bon finalement j'ai trouvé.....a coups de loglevel 4095...
il manquait les droits en écriture sur les champs "shadowLastChange" et "shadowMax" au compte "cn=smbldap-tools,dc=effata,dc=ch".afin qu'il puisse modifier le mot de passe UNIX;
il suffit donc d'ajouter les deux champs ci-dessus à la ligne
# # any users can authenticate and change his password
# access to attrs=userPassword,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange
dans le fichier slapd.conf
..en espérant que cela puisse être utile...
Marsh Posté le 19-10-2007 à 00:51:49
Bonjour à tous,
j'essaie de configurer un serveur SAMBA dont les utilisateurs sont géré par un annuaire LDAP (en l'occurrence OpenLDAP).
j'utilise:
j'ai fait une première configuration dans laquelle j'accédais à l'annuaire avec le compte Root DN. Avec cette config, tout fonctionnait à merveille. Pour des raisons évidentes de sécurité je souhaite faire une autre config dans laquelle j'utilise un compte cn=samba,ou=DSA,dc=effata,dc=ch pour les accès SAMBA à l'annuaire, et un autre compte cn=smbldap-tools,ou=DSA,dc=effata,dc=ch pour l'accès des scripts smbldap-tools à l'annuaire.
Je rencontre un problème lorsque j'exécute le script smbldap-populate dont le résultat est ci-dessous:
Il semblerait donc que l'utilisateur cn=smbldap-tools,ou=DSA,dc=effata,dc=ch ne puisse modifier les mots de passes UNIX.
J'ai suivis scrupuleusement le tutoriel "The Linux Samba-OpenLDAP Howto (Revision : 20060710)". J'ai donc le fichier de configuration slapd.conf ci-dessous:
Comme vous pouvez le constater, j'ai activé les logs du serveur LDAP afin d'en savoir un peu plus sur l'erreur. Voici un extrait qui me parraissait intéressant:
"access_allowed: delete access denied by none(=0)" ceci singifie que le script ne s'est pas authentifié en tant que cn=smbldap-tools,ou=DSA,dc=effata,dc=ch ?
J'ai un peu de peine à interpréter ce fichier log.... si quelqu'un peut m'aider...
Merci d'avance !