Reprise du message précédent :
c'est quoi le message d'erreur ?
- nmbd est lancé ?
- samba est bien PDC du domaine ?
- le réseau est activé ?

 
+1 (encore)
 
apparement je m'ai trompé aussi, j'avais sauté le chapitre sur l'authentification linux et pam.  
Quelqu'un pourrait-il m'expliquer pourquoi cela est nécessaire pour l'authentification samba via ldap puisque manifestement je n'ai pas compris   , est-ce que c'est le backend samba
 
sinon le tuto est vraiment bien fait et le wiki est vraiment classe mais (si je peux me permettre une critique) je trouve qu'il manque un tout petit peu d'explication (juste une ligne de temps à autre pour expliquer ce qu'on fait et pourquoi). Je sais bien que si l'on veut des détails y a nos bons vieux manuels mais bon ça prend du tout de tout lire et de tout ingurgiter. Autrement c'est la valeur ajoutée est inestimable, encore merci

D'accord avec toi... si quelqu'un pouvait expliquer l'intérêt du pam et du nsswitch dans un environnement SAMBA + LDAP ce serait très sympathique de sa part.

http://damstux.free.fr/wiki/index. [...] ation_Unix

 
ca n'explique pas l'intérêt du pam + nsswitch avec samba.. ou alors il y a des choses qu'on ne sait pas.
 
Si cela est évident pour toi dans le lien que tu nous donnes merci de nous en faire part.  
 
++

pour nsswitch, il s'agit de faire résoudre les uid et gid. Ce qui est nécessaire, sinon à qui appartiendrait les fichiers crée à travers samba? Comment pourrait-on gérer les droits ?
 
L'ajout du ldap dans pam par contre est inutile, sauf si vous souhaitez vous logguez sur la bécanne avec les utilisateurs de l'annuaire.

merci de ta réponse!
 
on y voit de plus en plus clair, on aura décidément pas perdu notre week-end (devant notre pc )  
 
++

Salut à tous,

Tout d'abord, merci pour ce wiki très bien fait !

Je l'ai suivi, et à priori mon serveur LDAP tourne et fonctionne correctement. Cependant, j'ai quelques petits problèmes :

- en utilisant smbldap-useradd, j'arrive à ajouter un utilisateur dans la base (il apparait bien), mais getent passwd ne me l'affiche jamais.
J'ai vu que quelqu'un (désolé, le nom m'échappe) parlait de remplacer compat par files dans nsswitch.conf, mais j'hésite un peu vu que personne d'autre n'en parle.
Comment devrais-je procéder pour savoir d'où vient le problème ? Je verrais la liaison avec PAM plus tard...

- plus génant, je n'arrive pas à me connecter au domaine à partir d'un pc windows. Windows trouve bien le PDC, et me demande un nom d'utilisateur, mais lorsque je tape root et le mdp, j'obtiens différentes erreur, selon son humeur :

Ok. je déconnecte donc tout ce à quoi je suis connecté (principalement des partages, donc), je relance windows et j'obtiens désormais, lorsque je tape root ou n'importe quel utilisateur qui existe dans ldap :

Pourtant, chose plus bizarre : je partageais déjà avec samba le home de mon utilisateur windows, et j'arrive à y accéder sans problème.

Quelqu'un aurait une idée ? Comme vous avez pu le deviner, je suis néophyte (enfin, je sais quand même utiliser vi !), donc j'implore votre indulgence

Merci !

la reponse est juste au dessus !!!
 
si y a pas tes users ldap dans le getent passwd c'est pas la peine d'aller plus loin !
 
verifie ton nsswitch.conf et libnss-ldap.conf

aussi
 
/etc/ldap.conf
/etc/openldap/ldap.conf
 
Suivez les procédures d'installations, svp...  

Erf.

Au temps pour moi.

J'avais un dn à la place d'un dc planqué dans mon libnss-ldap.conf...

Vache, j'ai eu du mal à le trouver, ce salopiau. Bon, getent marche désormais. Et j'ai pu me joindre au domaine. Et l'authentification unix marche (enfin, su toto marche quoi). Et les partages remarchent sans problème

Bonjour à tous- Je vois qu'il y a des pros Samba/ldap. J'ai un pdc samba ldap sur RH4 qui marche correctement (configuré à partir des travaux d'IDEALX) avec XP et 2000. Je viens d'acheter un nouveau PC. Il est rentré correctement dans le domaine. Mais lorsque je me logue avec un utilisateur, il me dit que Win ne trouve pas le profil itinérant et qu'il crée un profil temporaire... J'ai oublié de dire que dell m'a livré la machine avec... Vista (C'etait pas mon choix). Et là... je seche!

As  tu créé un espace personnel (home directory) pour ton utilisateur ?
avec les droits nécessaires.
 
Sinon dans smb.conf, désactive les profils itinérants :

si l'espace perso existe et est configuré correctement, et si sous XP ca marche alors pourquoi supprimer le logon path = ???
il suffit avec vista de faire comme avec XP
gpedit.msc
configuration ordinateur->modeles d'administration->systeme
->Profils des utilisateurs
Activer la regle : Ne pas verifier les utilisateurs proprietaires des dossiers profils itinerants
(elle est pas au meme endroit que sous xp, mais c'est la meme regle)
 
PS tu utilise pes acls sur les profils ou pas?
profile acls= Yes/no

1 - Les profils itinérants ne sont pas une solution lorsque tu as un grand réseau. (surtout si tu as des bornes wifi...   logon avant connexion réseau     )
2 - Tu ne peux pas faire une modification de stratégie (manuellement) sur un parc de xxxx ordinateurs.
 
Pour ses raisons, je désactive les profils itinérants  

chacun voit midi a sa porte
pour ma part, mes utilisateurs sont tres satisfaits des profils itinerants (retrouver ses icones, ses preferences etc.. d'un poste à l'autre n'est pas une mauvaise chose)
et la taille du parc n'est pas une raison suffisante pour negliger l'avantage des profils itinerants (500+ PC sur mon parc)
le probleme avec les bornes wifi d'accord...
pour la strategie je vois pas le rapport avec les profils puisque de toute facon, avec samba, t'as pas le choix, que les profils soient itinerants ou en local, les modifs se font toujours en local via gpedit alors...
 
et il reste toujours poledit pour appliquer certaines regles globalement via le serveur...

Bonjour à tous !!
Me RE-voilà !!      
Je vous interrompe un instant pour savoir si certains d'entre vous ont une soluce pour résoudre ce probleme de sécurité :
 
------------------------------------------------------------------------------------------------------
Actuellment tout mes utilisateurs passent par un proxy Squid. Ce proxy squid possédent 2 instances, une instance internet et une instance intranet.
 
Il y a donc un stratégie de sécurité qui oblige à tout les navigateurs de pointer vers un fichier .PAC
 
Mon probleme est que je ne veux pas ke mes utilisateurs puissent afficher la config du .pac !!
vous me suivez ?  
 
Je veux pas que les petits malins    (oh ke oui yen a tout plein partout des mec qui fouinent toute la journée) qui feront un copié collé du chemin d'accés au .pac le fasse dans le navigateur pour voir la config !!
 
 
J'ai tenté dans le squid (intranet) de mettre ceci
 
acl url_pac url_regex http://....../fichier.pac
http_access deny url_pac
 
Mais fonctionne pas
 
merci pour vos idées !!
 
 
PS : Pour tout ceux qui ont suivi mes anciens posts sur la mise en place d'une authentification transparente via un AD (Squid - SAMBA - winbind - NTLM) contacter moi par MP, j'ai pas fini mon stage et j'aimerai pas ke ma doc se retrouve sur le net avant d'avoir passé ma soutenance !!
 

un fichier executable doit être forcément lu....    
tu ne peux rien faire.

Je suis d'accord avec toi, mais ya forcement une soluce. héhé !!    
Je m'explique :  
 
Les navigateurs sont configurés pour pointer en passant par l'adresse IP de mon serveur suivit du nom du fichier.pac
genre http://168.192.1.1/fichier.pac
 
Si maintenant dans l'URL de mon navigateur je met exctement la meme adresse, il m'affiche le fichier de conf.
Jusque là ce que tu dis est normal !!!      
 
Maintenant si je passe par son nom DNS, il me refuse l'acces.  
Et si je passe aussi par son nom suivie de son suffix DNS il me le refuse aussi !    
Donc là ca ne colle plus !
 
J'attend ta réponse :-)  
 
Bonne App

Messieurs, merci pour vos réponses et voici quelques informations complémentaires.  
Le compte que j'utilise est mon compte 'XP' / win2000, et j'utilise les acls.  
Je suis en samba  3.0.24
Je suis allé dans l'observateur d'évènements et il indique qu'il ne trouve pas le chemin réseau. J'ai tenté de monter un share et je me suis aperçu que si je pouvais le monter, le contenu n'etait pas visible (il apparaissait comme vide). Je me demande si le pb ne viendrait pas simplement de la version samba ou de l'absence d'une réfèrence dans les schemas ou d'un groupe 'system' a ajouter aux utilisateurs pour fonctionner avec Vista?

ha oui j'ai lu qu'il y avait des soucis avec samba et vista avec des "anciennes versions"
 
Sinon autre question.
 
Ca se trouve ou poledit ? on peut s'en servir avec XP ?

sur NT4, et oui.
 

 
 
ca se telecharge sur web ?  
Perso j'avais chercché il y a quelques temps et j'avais rien trouvé

http://www.google.fr/search?hl=fr& [...] ogle&meta=

il est fourni également avec 2000 server
de plus, sous 2000 et XP, la version NT4 de poledit ne reconnaitra pas les fichiers adm de 2000/XP car ceux ci sont codés en unicode ce que la version NT4 de poledit n'accepte pas.
il est donc preferable d'utiliser celui de 2000 Server...
il faut également modifier les fichiers adm pour virer les #if...#end if
sinon quelques elements des adm concernés ne seront pas exploitables (voire l'adm ne se chargera simplement pas).

salut,
 
juste une petite remarque concernant la sécurité:
vous tous qui avez suivit la documentation de dam vous avez constaté que le mot de passe utilisé par les smbldap-tools apparaît en clair dans les fichiers de conf /etc/smbldap-tools..
Apparemment il n'est pas question de l'encrypter vu que le programme doit connaître la version décrypté s'il veut pouvoir s'authentifier dans l'annuaire... comment accroître la sécurité tout en continuant à bénéficier des magnifiques fonctionnalités des outils de IDEALX?
 
je sais pas si vous avez remarqué: le mot de passe apparaît aussi en clair dans le fichier (pour les debian) /var/lib/samba/secrets.tdb...  
 
Sans être parano, je trouve ça assez flippant... personne n'est supposé avoir d'accès physique au serveur mais bon:
 imaginez qu'une femme de ménage mal intentionnée ouvre le local technique un matin à 6h00 arrête le serveur et décide (grâce au live-cd qu'elle a toujours en sa possession ) d'accéder au disque dur contenant /etc... qu'adviendra-t-il?    
 
Plus sérieusement, j'ai l'impression qu'on est sous windows 9x (98 si je dis pas de bêtises) où il suffisait d'éteindre la machine pour récupérer le mot de passe en clair sur la partition système...    
 

parano ou pas, rien n'est jamais totalement sécurisé,
1 t'es pas obligé d'utiliser les scripts de IDEALX et te pastiller les entrées à la main.
2 pour reprendre l'exemple de la femme de menage, ben chez nous, elle n'a pas accès au local informatique. et pis c'est tout.

3 tu crois que les autres win que 98 c'est mieux? avec un livecd je te pete le password admin d'un 2000, d'un XP et meme vista...

4 en plus si tu mets pas en place tls/SSL sur ton openldap, les passwords (tous les passwords) circulent en clair sur le reseau, et la pas besoin d'acceder au local technique.

5 sans parler des scripts idealx, mais avec un livecd, tu fais ce que tu veux sur un poste linux de toute facon...

 
Je suis entièrement d'accord avec toi:
 
Tout dépend après du password (un 2000, xp et même vista se casse aisément avec du brute-force et/ou des tables de pré-calcul (surtout si l'admin n'a pas désactivé les LMHASH password ce qui est le cas la plupart du temps) mais va me casser un windows avec un password de 10 caractères sans les LMHASH...
 
Par contre je confirme win 98 (j'ai toujours un doute si c'est 98 ou 95) est pire que les autres tout simplement parce qu'il ne crypte rien et qu'avec un Live CD on a juste à lire la valeur au bon endroit...
A mon avis, la plupart des windows peuvent être sécurisées moyennant un petit effort mais dans 95% des cas il ne le sont pas ce qui justifie tes affirmations. Mais sache qu'un administrateur avisé saura t'empêcher de récupérer son mot de passe admin!    
 
Concernant LDAP à quel moment les password circulent en clair sur le réseau (je demande car je savais pas)? N'est-ce pas le client qui hash le mot de passe pour l'envoyer au serveur qui compare la valeur avec son hash dans la base (et donc pas de mot de passe en clair sur le réseau) ?
 
Pour en revenir aux scripts d' IDEALX. J'en suis très satisfait et j'avoue que ça me trouerai le c** de devoir m'en passer je suis bien évidemment d'accord: on est jamais totalement sécurisé mais avoue que ce n'est pas demander la lune que de souhaiter avoir des mots de passe cryptés...
 
a+

pour les passwords en clair, c'est surtout pour des clients ldap unix connectés au serveur qui transmettent les passwords en clair si pas de tls/ssl
cela dit, si ton serveur samba n'est pas le serveur ldap (et oui c'est possible) alors les mots de passe cryptés envoyés par win à samba, sont renvoyés au serveur ldap et la ca donne
win->crypté->samba->decrypté->openldap
si smb et ldap sont sur le meme serveur pas de pb
sinon, alors les passwords sont en clair.
mais bon c'est assez rare d'avoir le serveur samba ailleurs que sur le serveur ldap.
pour IDEALX je suis d'accord, bien que le password soit en clair dans le fichier de conf, je les utilise qd meme.
il suffirait peut-etre de leur demander de crypter le password dans le .conf mais si ils l'ont pas fait, il doit y avoir une raison.

Si ce que tu dis est vrai alors la raison est immédiate: le client (en l'occurrence les smbldap-tools) doit transmettre le mot de passe en clair au serveur LDAP qui lui se charge de le hasher puis de le comparer avec la valeur hashée dans sa base.
Autrement dit, il lui faut transmettre une valeur non hashée ce qui implique de conserver la valeur non hashée du mot de passe car, bien évidemment, impossible de revenir en arrière avec un hash (c'est là même son principe).
 
la solution serait peut-être, à défaut de pouvoir crypter la valeur seule, de crypter le fichier... c'est ce que j'essaierai de faire quand j'aurai un peu plus de temps et achevé mon projet smbldap
 
++
 
 

 
 
Bonjour,
 
Merci pour ton tuto qui est super. Malheureusement, quand je lance la commande smbldap-populate, je ne reçois que des messages d'erreurs de type 'failed to add entry: invalide DN at /usr/sbin/smbldap-populate line 344, <GEN1> line 5.
As tu une idée d'où cela peut venir?
Merci

Moi aussi j'ai des problème avec phpldapadmin.
Je ne sais pas où trouver le pakage afin de faire le apt-get

mauvaise configuration de openldap sans doute.

 
J'ai le même problème que sweetchou. Mon fichier syslog me dit:  daemon: IPv6 socket() failed errno=97 (Address family not supported by protocol)  
Quelqu'un pourrait nous donner un coup de main.

En plus quand je suis sous windows XP SP2 à la jointure au domaine il me dit:Erreur d'ouverture de session: nom d'utilisateur inconnu ou mot de passe incorrect

Vérifies tes étapes du howto.  

C'est quoi ces étapes ????

Mon problème provient peut être d'ici:
Quand je fais un net getlocalsid Voici le resultat
[2007/06/16 09:10:00, 0] lib/smbldap.c:smbldap_search_domain_info(1418)
  Got too many (2) domain info entries for domain SUCOIRE
SID for domain DEBIAN1 is: S-1-5-21-149840987-1524995896-2894980935

Quelqu'un aurait-il un chemin à me montrer ?

pour sauvegarder mon annuaire LDAP
 
slapcat > save.ldif
 
ca suffit ?

Tout marche bien maintenant avec le ldap.j'arrive à joindre des users au domain. Mon objectif est de mettre en place un serveur proxy avec authentification LDAP.  
J'ai configuré squid et tout semble bien marché mais quand je vais sur un poste client et que je lance mon navigateur, je n'arrive pas à m'authentifier. aucun mot de passe ne marche.
Que peut être le problème ?
Excusez moi pour ce second topic
Merci