Reprise du message précédent :
a OttOman: Ba j'ai pas tout bien saisi encore mais il est tt a fait possible de gerer les droits grace a tes groupe samba et non pas grace a droit unix.
Pour cela il faut deja que tu monte ta partition samba avec les acl
 
Extrait de mon /etc/fstab:

 
Ce qui va te permettre de gérer les droit depuis windows.
 
J'ai aussi un lien tres intéressant qui explique bien la gestion d'acl avec samba
http://lea-linux.org/cached/index/ [...] _ACL.html#
 
J'espere que ca pourra t aider.

Salut,
 
Personne n'a une piste pour mon problème de "superposition" d'UID Unix/LDAP ?
Les UID Unix et ceux de la base LDAP sont bien indépendants ?
 
Merci

non, ils ne sont pas independants... dans le sens où il peut y avoir superposition si TOI en tant qu'admin tu ne fais pas le necessaire pour l'éviter...
si tu as installé les smbldap-tools, quand tu initialise ton domaine samba, il cree dans le domaine,
dans la "clef" ldap : sambadomainname=TONDOMAINE
deux elements :

gidNumber pour les groupes
 et UIDNumber pour les users

ces deux elements permettent aux smbldap-tools d'aller chercher directement le premier UID ou GID disponible
en fait, des que tu cree un user ou un groupe, la valeur est incrementée
MAIS :
si tu n'as pas ces elements, alors tu cree a la main tes users, et c'est a toi de faire en sorte que ca ne cree pas de users ou groupe en doublon avec ceux des fichier /etc/passwd et /etc/group...

et les scripts ne verifient les doublons que sur la base ldap, en aucun cas sur les fichiers locaux...

nalcof> dsl j'ai un peu zappé ton probleme, mais il semble que tu l'ais resolu...

en fait tu peux utiliser l'auth ldap si les modules que tu souhaite utiliser permettent soit:
l'authentification via ldap a l'aide de pam
ou l'integration ldap comme module pour apache par ex.

avec phpldap et apacheldap, tu peux authentifier tes users sur un serveur apache via le ldap sans probleme.
donc pour wiki et tout element sur base de serveur apache fonctionneront...

pour les autres :
le mail,ssh autres  ca marche aussi du moment que tu configure correctement le ldap pour l'authentification.

ton problem d'acl sur serveur2 signifie que tes users unix/ldap de serveur1 ne doivent pas etre connus sur serveur2 correctement...
getent passwd (sur serveur2) doit te retourner les memes users que getent passwd (sur serveur1) (a quelques details pres)

d'ou la necessité comme je le disais la semaine derniere, que serveur2 soit client LDAP + SAMBA
pour que sous linux, il connaisse les memes users que le serveur. sinon, les droits et acl ne peuvent pas etre geres :
ex:

sur serveur1 je cree un utilisateur ldap toto uid=200
sur serveur2, si il n'est pas connecté au ldap, il ne connait pas l'utilisateur toto
le probleme c'est que la gestion des acl passant par samba, sur serveur2 il verra toto dans la liste, mais au moment d'appliquer les parametres, comme sous linux sur serveur2 toto n'existe pas, ca coince...
et il cherche a mapper le SID de toto a son UID mais comme il n'existe pas sous linux, il n'a pas de UID
CQFD...

contrairement a ce que t'a dit ottoman, ca na rien a voir avec la machine cliente...
ton probleme vient de ce que le SID de zizou, ne correspond pas au SID de son/ses groupes
le user = S-1-5-21-4205727931-4131263253-1851132061-3032
le groupe = S-1-5-21-1158349604-2252399844-1026272130-513
les parties en rouge DOIVENT etre identiques...
tu as donc un mechant probleme sur ton ldap..

pour info : la bonne valeur est celle retournée par la commande net getdomainsid

 
Ok, merci pour l'info. Je pensais qu'il y avait un contrôle dans tous les cas.
Oui, j'ai installé les smbldap-tools. Qu'entends-tu par initialisation de mon domaine (smbldap-populate ?) ?  
Par contre, comment faire pour vérifier l'existence de ces deux éléments (GIDNumber, UIDNumber) dans mon domaine ?

oui le smbldap-populate, il cree les elements necessaires
pour verifier, phpldapadmin, lam  
ou slapcat |more tu vas les trouver vers le debut
mais le smbldap-populate doit les avoir créé...si il a tourné sans erreurs...

Oui, j'ai bien UIDNumber (1007) et GIDNumber (1000) (slapcat | more).
Toute l'installation s'est déroulée sans aucune erreur.
Je suppose que ces deux ID sont ceux à partir desquels smbldap commence à incrêmenter.

yep
le prochain user sera 1007 et la valeur passera a 1008

et de meme pour le GID (qui sert a la creation d'un groupe...)smbldap-groupadd...
le prochain groupe sera 1000....et la valeur passera a 1001

EDIT : ce qui est sympa c'est que si tu reinitialise le UIDNumber à 1000, qd tu vas creer des users, il va checker et incrementera jusqu'a trouver un uid disponible...(il ne check que dans la base ldap bien sûr)

EDIT2:
un chti conseil installe phpldapadmin ou lam ca rend bien service...

Ok, je comprends mieux le fonctionnement de smbldap.
Merci pour ces infos
 
Une autre petite question concernant la sauvegarde et la restauration de l'annuaire LDAP.
Je sauvegarde quotidiennement mon annuaire LDAP dans un fichier LDIF via la commande slapcat -l toto.ldif.
Par contre, je n'ai pas encore testé la restauration de mon annuaire.
A priori, je peux restaurer ce dernier grâce à la commande slapadd -l toto.ldif.
Si je le restaure sur une machine différente dois-je éditer le fichier LDIF et modifier le SID présent dans ce fichier pour mettre celui du nouveau serveur ?

qd tu vas le restaurer sur une nouvelle machine, si sa fonction est de remplacer l'actuel serveur, il faut que tu gardes le meme SID sinon les clients devront rejoindre a nouveau le domaine, les uses ne seront pas bon etc...
la procedure est la suivante:
1. tu parametre openldap
2. tu restaure le ldif
3. tu parametre samba
4. net setdomainsid S-... (le SID extrait du LDIF)
et le nouveau serveur prend la place de l'ancien ni vu ni connu...
 
il manque des etapes, mais c'est pour le principe...
l'important c'est le net setdomainsid (qui va aller ecrire ton sid dans le fichiers secrets.tdb

je m'excuse si j'ai dit des sottises

aknott31: dit, j'ai un autre serveur samba (serveur partage de fichiers) que celui qui fait PDC, qu'est ce que je pourrais faire pour pouvoir définir également des droits sur celui ci ?

Je continue mon avancé et j avance petit a petit Merci a encore aknott31, pour tes conseils.
 
Mes 2 serveurs sont bien client de mon LDAP, je vois bien les users de mon LDAP lorsque je fait un "getent passd" sur les 2 serveurs avec les meme uid et gid.
 
Voici 2 images de ce que j'ai actuellement, car j'ai du mal a expliquer, ca sera plus simple en plus.
 
Lorsque je créer un fichier sur mon serveur2:

 
et voila les regles de sécurité decut:

 
Image 1 : Je suis bien logguer a mon PDC et lorsque je créer un fichier sur ce dernier j'ai bien domain\userX.
Comment puis-je faire pour que le proprio soit domain\userX au lieu de serveur2\userX ??
 
Image 2: Pkoi il me met les SID au lieu de me mettre le nom corespondant ?
 
J'ai remarquer egalement que depuis que mon serveur2 est client LDAP, il est asser long a repondre que se soit via l explorateur windows ou meme par SSH. Pour faire un simple ls ca prends 30s :x Une idée d ou cela peux venir ?
 
Merci  

essaye d'installer le paquet nscd qui sert de cache

Slt a tous est merci de son aide a Ottoman.
 
Alors j'ai effectuerles opérations que tu ma dite mais le probléme persiste toujours.
Pense tu quand formatant linux cela peut s'arranger?
Ou il y a une autre solution?
Merci

je l avais deja installer "nscd".  

slt, merci aknott31, j'avais zappé ton message :s.
 
Je crois que je vais donc formaté c 'est rapide.
Je vais refaire la manip et si j'ai un probleme je vous recontacte
 
Merci de votre aide

prend le temps de bien lire les étapes ^^

 
Ok, merci pour ces infos
Je testerai ça prochainement histoire de maîtriser la manip'.

Si ton PDC est sous ldap, deja, tu paramettre le second en client ldap.
ensuite tu mets samba sur le second, et tu le parametre comme simple membre du domaine
workgroup=TONDOMAIN
security=domain
password server = * (ou TON PDC)
etc...
avec les acl ou pas...
des partages samba
apres ca tu rejoins le domaine avec
net rpc join
et ton 2eme linux sera membre du domaine comme n'importe quel PC
a partir de la, via les partages, il peut tres bien etre serveur de fichiers.

ok merci jvais testé ^^

Oui la actuellement, jai  samba + ldap sur un linux et un autre samba (sur un autre linux) en serveur de fichiers (aucune authentification requise)
 
Comment je fais pour paramétrer le second en client ldap ? je créé un compte ? et je le join au domaine ?

http://damstux.free.fr/wiki/index. [...] ation_LDAP

Salut,
 
J'ai mis en place mon PDC sans aucun problème mais je suis dans l'obligation de changer le nom d'hôte de cette machine. (Ancien nom TOTO2, nouveau nom TOTO).
J'ai donc changé le hostname mais je rencontre désormais un problème.
Lorsque je fais un net getlocalsid j'obtiens le message suivant :
 

 
Les commandes smbldap-tools me renvoient également des erreurs.
Aurais-je fait une grosse boulette ou est-il possible de corriger ce problème ?
 
Merci d'avance.

C'est bon.
En cherchant un peu plus j'ai trouvé la manip' à faire.
 
net getlocasid ANCIENHOSTNAME
net setlocalsid 'SID récupéré avec la commande précédente'
 
 

C'était trop beau...
J'ai pu régler le problème du SID mais j'ai toujours un problème dans mes logs.
J'ai également changé l'IP de ma station en plus du nom d'hôte.
Dans mes logs j'ai cette erreur :
 

 
L'IP du message est évidemment mon ancienne IP.
A priori, il doit rester quelque part une trace de mon ancienne IP...
Mon contrôleur est en concurrence avec une IP fantôme.

t'as changé le nom netbios dans smb.conf ?

Oui, concernant le nom j'ai fait tous les changements (Enfin je pense).
Je me demande où il a bien pu aller stocker cette IP.

dans les fichiers .tdb
degage les tous et refais le net setdomainsid

Salut,
 
Quels fichiers .tdb, ceux dans /var/lib/samba ou dans /var/run/samba ?

re salut,
 
alors voila je veux gérer les droits des utilisateurs ldap sur les partages via l'interface windows... (clik droit sur ressources > propriétés > sécurités)
 
mais quand j'ajoute une autorisation sur un fichier / dossier, sa me met :
Impossible d'enregistrer les modifications d'autorisations sur...
 
le partage en question:
[partage]
        comment = Repertoire Commun Stvs
        path = /home/partage
        read only = No
        create mask = 0755
        directory mask = 0755
        writeable = Yes
        browseable = Yes
 
(l'option nt acl support = Yes est dans la partie globale)
 
Merci.  
 
 

ceux de /var/lib/samba

et j'ai oublié que avant nle net setdomainsid
n'oublie pas de refaire le smbpasswd -w

Merci.
J'ai effectué ta manip'.
J'ai supprimé les fichiers *.tdb présents dans /var/lib/samba.
J'ai ensuite lancé un smbpasswd -W mais il se plaignait de l'absence du fichier secrets.tdb, j'ai donc restauré uniquement ce dernier.
 
La commande smbpasswd -W est alors passée sans problème, les autres fichiers *.tdb ont été générés.
Pour finir, j'ai lancé la commande net setdomainsid SID.
Après rédémarrage des services Samba et slapd, j'ai malheureusement toujours la même erreur dans mes logs.
 

pffff... j'ai lu ton log de travers...
ton probleme est frequent sur un lan...
chaque PC sous windows execute le service explorateur d'ordinateurs. Du coup, regulierement, les differents pc cherchent a devenir maitre explorateur. donc soit
1. tu desactive le service explorateur d'ordinateurs sur tous tes PC
2. tu ajoute dans ton smb.conf sur le PDC les directives suivantes:
    preferred master = Yes
    os level = 65
    domain master = Yes(celle la tu l'as surement deja sinon t'aurais pas le message)

et tu verifie si tu as d'autres postes linux avec samba dans ce domaine que sur ceux la, la directive domain master = No

Ok, excellent.
Je testerai ça Lundi. La 2ème solution  
En tout cas, merci pour ton aide !!!
 
Autre petite question, j'ai installé un LDAP chez moi pour faire mes tests. Il se trouve sur ma passerelle.
Comment faire pour forcer slapd à écouter sur une interface donnée (L'interface de mon LAN par exemple) ?

Salut,
 
J'ai fait la manip' chez moi.
Pour me mettre en situation j'ai changé le nom et l'adresse IP de mon serveur.
Dans les logs nmbd j'ai bien le message d'erreur que j'ai cité plus haut.
Apparemment, mon serveur avec sa nouvelle IP n'arrive pas à devenir le domain master browser car il y en a un autre qui a déjà obtenu ce rôle à savoir une station "fantôme" qui posséde l'ancienne IP de mon serveur.
 
J'ai suivi tes conseils aknott31.
J'ai modifié mon smb.conf mais y'a rien à faire, c'est toujours cette station fantôme qui obtient le rôle de master domain browser.
Chez moi, pas de windows qui tourne.
 
Mon serveur doit bien garder quelque part une trace de son ancienne IP.
J'ai édité le fichier le wins.dat qui se trouve dans /var/lib/samba/. Ce dernier contient ce qui suit :
 

 
Je ne sais pas si ça vient de là mais y'a déjà un problème avec ce fichier.
Il stocke mon ancienne IP (0.254).
J'ai beau le supprimer puis redémarrer samba, ce dernier me le recréé avec le même contenu...
 
EDIT:
 
C'est bon !!!
J'ai stoppé Samba, supprimé tous les fichiers présents dans /var/lib/samba (*.tdb, wins.dat) sauf secrets.tdb et relancé Samba.
Un fichier wins.dat a été créé mais tout propre cette fois-ci, l'ancienne IP de mon serveur n'y figure plus.
Les messages ont disparu dans les logs. Mon serveur est bien devenu domain master browser ^^
aknott31, tu m'avais conseillé de supprimer les *.tdb présents dans /var/lib/samba mais j'avais laissé wins.dat.
A priori, il fallait aussi supprimer ce fichier.
 
Par contre, je repose mon autre question :
Comment faire pour forcer slapd à écouter sur une interface donnée (L'interface de mon LAN par exemple) ?

A quoi correspond cette erreur :

?

apparement ca vient des ports de samba
par defaut, il ecoute le sports 139 et 445
les postes win se connectent en utilisant les deux ports, si le 445 repond, il ferme la connection au 139 et t'envoie le message dans les logs de samba
tu peux laisser comme ca c'est pas vraiment une erreur...
ou mettre smb ports = 445 dans smb.conf (mais si tu as des win98 il faut laisser les deux, ils n'utilisent que le port 139)

Salut,
 
Mes problèmes de domain master browser étant réglés d'autres pointent leur nez...
J'ai ce qui suit dans mes logs :
 

 
Ces erreurs apparaissent plusieurs fois et avec des hôtes différents (XP Pro, 2000 Pro).
J'ai également le même genre d'erreur mais avec Error = No route to host.
 
Erreurs graves ou pas ?
D'où cela pourrait-il venir ?

 
ok merci j'ai plus l'erreur en mettant ce que tu m'as donné.