Reprise du message précédent :
bon bon bon, j'ai tenté une nouvelle réinstallation en suivant pas à pas, copiant tel quel les fichiers de dam, et au final il me donne toujours le mauvais SID via la commande "net getlocalsid". Il me renvoie en faite le nom netbios de la machine.
 
Ni une, ni deux, je me décide a désinstaller slapd et samba, et reconfigurer uniquement ces deux la. NSS et PAM reste donc intacte.
Slapd et Samba n'on été démarrer qu'avant la commande "net getlocalsid". Ceci a peut être eu une incidence sur la suite.
 
Au final, j'ai toujours le mauvais SID de renvoyé, mais la commande smbldap-populate ne me fait plus qu'une seule erreur !  
"adding new entry: cn=NextFreeUnixId,dc=domaine,dc=local
failed to add entry: attribute 'sambaNextRid' not allowed at /usr/sbin/smbldap-populate line 499, <GEN1> line 235."
 
De plus, je ne peux toujours pas créer d'user, l'erreur précédante m'en empêche !
"Error looking for next uid in cn=NextFreeUnixId,dc=domaine,dc=local:No such object
 at /usr/share/perl5/smbldap_tools.pm line 1071."
 
Cela s'explique surement par le fait que je n'ai copié la ligne suivante :
sambaDomainName=domaine,dc=domaine,dc=local
 
L'ennui c'est que je ne sais pas quel fichier la mettre.
 
Ce que je trouve bizarre, lors d'un testparm, tout est ok, mais il ne m'affiche pas la ligne : netbios name nom_du_serveur.
 
Edit :
J'ai mis en commentaire dans le fichier smbldap.conf le champ contenant NextFreeUnixId, et avec un redémarrage c'est passé.
 
Maintenant, j'aimerais savoir si on peut changer de nom domaine en cours de route !
Pour l'instant, après avoir changé mon nom de domaine, je recois un beau message d'erreur quand j'essaye de créer un user : "smbldap-useradd -a -c "Kurt Kobain" -m -P kkobain
Could not find base dn, to get next uidNumber at /usr/share/perl5/smbldap_tools.pm line 1073."
 
Si quelqu'un a des infos a ce sujet ??? (ca permettrait de rompre mon monologue au passage).
 
Pour les anglophones : http://howtoforge.com/openldap-sam [...] ubuntu7.10

Alors du nouveau !
 
Pour l'instant le changement de nom de domaine va rester en stand by.
J'aimerais tout d'abord que mes utilisateurs puissent changer leur mot de passe lors de leur première connexion. Je zieute un peu partout sans trop de succès pour l'instant.
 
Au passage, Hiko-Sama, merci pour ton astuce ! Je l'avais vu sur le forum d'ubuntu (y'avait pas besoin d'aller chercher plus loin que ce topic, suis je bête ).
 
Sinon, bah 1000ème posts
 
Si je trouve pas d'ici demain (ou avec votre aide !), je pense m'attaquer à la réplication, via le logiciel DRBD.

Replication d'annuaire ldap ?

Oui et les données des utilisateurs, avec une sauvegarde journalière.
 
Pour ce faire, les 2 serveurs doivent avoir 2 cartes réseaux.
- 1 carte réseau standard
- la seconde carte avec une ip "commune", de sorte que lorsqu'une donnée est créé/mise a jour elle le soit sur les 2 serveurs.
 
Evidemment si le primaire tombe, le secondaire prend le relais (c'est un peu le but )
 
http://wapiti.telecom-lille1.eu/co [...] /howto.htm
 
Pour l'instant j'en suis pas la. J'ai un soucis au niveau des mots de passe. Lorsque je modifie un mot de passe utilisateur avec phpldapadmin, je n'arrive pas a me connecter avec ce même utilisateur. Il ne me prend pas en compte la modification du mot de passe.
 
Par contre, si je modifie le mot de passe en étant logguer avec l'utilisateur (via la manip alt+ctrl+suppr, modification de mot de passe) cela fonctionne.
 
Ensuite quand je crée un utilisateur en ligne de commande :
Exemple : smbldap -a -c "Maman canard" -m -P mcanard -B 1
 
Lors de l'ouverture de session de l'utilisateur mcanard, on ne me propose pas de changer mon mot de passe...
(-B 1 : signifie que mon utilisateur doit changer de mot de passe a la première ouverture de session, autrement c'est -B 0).
 
Donc je ne peux pas aller plus loin avant d'avoir compris ce mécanisme.
 
Merci de m'avoir sorti de ce monologue

Pour la replication d'annuaire ldap je te conseille d'utiliser syncrepl et de programmer un export slapcat chaque soir.
 
Ensuite il suffit dans ton samba et dans les fichiers pam.d (si tu en as besoin) d'ajouter l'adresse de ton replica. Si un ldap tombe, le replica prend le relais !
 
Drdb c'est très lourd et je ne sais pas si c'est vraiment adapté à ton besoin... (haute dispo nécessare?)

Je suis actuellement en stage (qui se finit le 23 d'ailleurs).
 
L'annuaire ldap va contenir une 100aine de compte, avec un parc d'environ 120 machines.  
 
Je souhaite vraiment avoir 2 serveurs identiques.

Ce n'est rien 100 comptes
 
Tu n'as pas besoin de haute dispo pour un si petit parc imho. De toute facon tu n'auras pas le temps de mettre çà en place car çà ne s'improvise pas !
 
A la place, check bien ton serveur maitre, que tout marche parfaitement bien, vérifie que le raid 5 (ou 6) marche correctement, que tu peux le monitorer et que tu as un scénario de reprise sur incidents (sauvegarde du serveur, etc).
 
Mets en place un replica syncrepl sur un serveur de sauvegarde et met en place les sav des utilisateurs avec un lecteur de bande par exemple (ou un rsync, bacula, etc...). Bref, blinde bien ton infrascture et ne t'embarque pas dans le HA ! my 0.02$ !

La haute dispo m'est imposé
 
Ce sera un raid 5 sur les serveurs.
 
Pour la partie réplication, ca ne se fera que s'il me reste du temps !
Pour l'instant mon serveur en "carton" n'est pas très en forme !
 
Je bloque toujours sur ces passwords. En attendant, ce soir je suis en train de monter le serveur secondaire !
A ce sujet, le root sur le secondaire doit être le même sur le principale ?
J'ai fait exprès de l'appeller autrement...

Bon ben bon courage Je ne pense pas que c'est une bonne solution la haute dispo (drdb + hearthbeat) étant donnée les problèmes que tu rencontres déjà... Tu vas tout droit dans le mur selon moi. Mais bon...

 
Le mur j'y suis déjà
 
Pour la réplication, ca ne sera que du "bonus". L'essentiel est d'installer correctement le serveur principal, qui pourra être mise en place par le responsable informatique de la boite.
Après, a titre personnel, je dois être capable d'expliquer pourquoi j'ai modifié certaines lignes dans les fichiers de configuration. (c'est loin d'être le cas pour l'instant !)
 
Pour l'instant, j'essaye de comprendre la gestion des mots de passe.
 
Dans le fichier : smbldap.conf, j'ai modifié la ligne "FreeNextuid..." par :
sambaUnixIdPooldn="sambaDomainName=LE_NOM_DE_TON_DOMAINE_SAMBA,${suffix}"  (comme proposé a la précédente page).
 
En testant pour créer un user : smbldap-useradd -a -c "Marvin Gaye" -m -P mgaye -B
On me demande bien les 2 mdp (comme le suggère l'argmuent -P). Maintenant je vais voir, si lors de la première connexion du compte au domaine, on me propose bien un changement de mot de passe.
 
Lorsque je lance la commande suivante :net getlocalsid
Je recois : SID for domain "Nom NetBios de ma machine" is: S-1-5-21-2772691906-2557575426-4875036942
 
C'est dû a une nouvelle version de debian ou c'est normal ? (je pensais que je devais avoir le nom du Domaine Samba).
 
Je te remercie encore une fois pour tes précieux conseils
 
Edit :  
Pour ceux qui utilise phpldapadmin, vous avez aussi en regardant les infos d'un utilisateur (créer en ligne de commande), dans la zone bleu : uid=kkobain,ou=Users,dc=domaine,dc=local Modèle: No Template    ???
 
Ce Modèle : No Template, me semble bizarre ! J'ai pourtant bien le schéma "samba.schema" dans /etc/ldap/schema/.

Le replica ldap ce n'est pas du bonus. C'est essentiel.
 
Tu utilises lenny ? Si vraiiiment tu galères avec lenny, repasse en etch, voir en etch n half et suis ce tutorial qui est complet :
http://damstux.free.fr/wiki/index.php?title=Accueil

C'est essentiel pour la mise en place en entreprise., dans mon cas c'est un projet, qui, s'il donne satisfaction dans la phase de test sera mise en place.
Donc oui, pour moi c'est du "bonus". Si j'arrive a faire fonctionner le serveur comme prévu, c'est déjà pas mal, même si j'aurais aimer aller au bout du projet initial.
 
Dans tous les cas, je ne peux pas passer a la suite tant qu'une étape n'est pas correctement configuré.
 
Passer en Etch, pourquoi pas. Cependant mes utilisateurs sont bien créés, c'est au niveau de leurs droits que ca coince.
 
Quand je crée un utilisateur :  
smbldap-useradd -a -m -P usertest 0 -A 0, je peux toujours changer le mot de passe sur windows. L'argument -A n'est donc pas pris en compte (-A : Can change password, 0 if no, 1 if yes).
 
Je peux tester Etch sur mon pc personnel que j'ai transformé en BDC (qui de toute façon attend sagement sa mise en place pour phase de test).
 
J'ai suivi ce tuto pour mettre en place mon PDC, j'avais déjà commencé par une source officielle... mais je n'y comprenais pas grand chose

Pour qu'il ne change pas le mot de passe, essaie -A0 -B0 comme parametres.  
 
Un replica d'annuaire c'est tout sauf du bonus

Bonne Pâques a tous en retard
 
J'avais déjà testé de coller les arguments avec les chiffres, de mettre entre " " la valeur 0 ou 1 mais ca ne veut pas
 
J'ai réinstallé le serveur chez moi, et j'ai toujours l'erreur lors de la commande net getlocalsid, et un problème avec le fichier secrets.tdb.
 
Merci hfrfc

Des news !
 
Alors donc, il y a du changement !
 
Hier j'ai fait la réinstallation complète du serveur, toujours sous lenny
Le problème principal se situe au niveau du schéma !!!
 
En suivant l'installation via le tutoriel, arrivé a l'installation de smbldap-tools, il ne faut pas installer la dernière version, mais la version suivante : smbldap-tools_0.9.2-3_all.deb.
 
Sachant que le schéma ne correspond pas, il faut enlever la ligne sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
et la remplacer par :
sambaUnixIdPooldn="sambaDomainName=le_nom_du_workgroup,${suffix}"
 
 
Je n'ai pas eu d'erreur a l'installation, on peut donc lancer la commande : smbldap-populate.
 
Auparavant, dans mon arborescence visible via phpldapadmin, j'avais un cn=admin (ldap administrator) qui n'apparait plus a présent.
 
L'interface graphique voit bien les changements de mot passe des utilisateurs.
 
 
Mais (oui il y a toujours un mais !), je n'arrive pas a bloquer le changement de mot de passe, ni a mettre une obligation de changement de mot de passe lors de la première connexion.
 
Par contre, je recois toujours le nom netbios de ma machine lors de la commande "net getlocalsid".

Encore des news !
 
Le serveur de test ldap fonctionne, reste simplement une erreur dans syslog concernant :  
SrvMaster slapd[2771]: <= bdb_equality_candidates: (gidNumber) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSID) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSID) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaGroupType) not indexed
SrvMasterslapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaGroupType) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSIDList) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSID) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSID) not indexed
SrvMaster slapd[2771]: <= bdb_equality_candidates: (sambaSID) not indexed
 
 
Mise a part ca, le serveur fonctionne, donc je me suis attaqué a la réplication via syncrepl.
 
Sur le serveur maître dans mon slapd.conf j'ai bien mis :
- moduleload syncprov
- limits dn.regex="cn=syncuser,dc=mondomaine,dc=quej'aime"
            size=unlimited
            time=unlimited
 
#overlay syncprov // pour une raison inconnue, cela génère une erreur avec slapdindex si je laisse cette ligne...
           syncprov-checkpoint 50 5
           syncprov-sessionlog 50
 
index objectclass,entryCSN,entryUUID eq
 
J'ai donné l'accès à un compte sur la base dans attrs=userPassword :
by dn.exact="cn=syncuser,dc=mondomaine,dc=quej'aime" read
 
et dans access to *  
by dn.exact="cn=syncuser,dc=mondomaine,dc=quej'aime" read
 
Sur l'esclave :  
L'entrée index entryUUID,entryCSN eq est bien présente
syncrepl rid=001
        provider=ldap://ipSrvMaster:389
        type=refreshOnly
        interval=00:00:01:00
        searchbase="dc=mondomaine,dc=quej'aime"
        filter="(objectClass=*)"
        scope=sub
        schemachecking=off
        bindmethod=simple
        binddn="cn=syncuser,dc=mondomaine,dc=quej'aime"
        credentials=monbeaumdp
updateref       ldap://ipSrvMaster:389
 
 
Le serveur esclave n'arrive pas a répliquer la base du maitre, dans syslog sur l'esclave j'ai :
SrvSlave slapd[2479]: bdb(dc=mondomaine,dc=quej'aime): entryCSN.bdb: unable to flush: Permission denied
SrvSlave slapd[2479]: bdb(dc=mondomaine,dc=quej'aime): entryUUID.bdb: unable to flush: Permission denied
SrvSlave slapd[2479]: bdb(dc=mondomaine,dc=quej'aime): txn_checkpoint: failed to flush the buffer cache Permission denied
 
Il y a donc apparement un problème de droits. De même quand j'essaye d'interroger la base via la commande :
ldapsearch -h "ipSrvMaitre" -b "dc=mondomaine,dc=quej'aime" '(objectclass=*)'
 
On me demande donc mon mdp, et je recois :  
ldap_sasl_interactive_bind_s: Invalid credentials (49)

Le paramètre overlay est passé en mettant simplement des interlignes entre les 3 valeurs :
overlay syncprov  
 
           syncprov-checkpoint 100 10
 
           syncprov-sessionlog 100
 
L'erreur Permission denied était présente car dans les fichiers de config, entryUUID et entryCSN appartenait a root.
Un chown openldap openldap entry* a permis de règler le problème.

salut a tous
 
J'ai un petit problème avec samba et les users.
 
Quand un user crée un dossier ou un fichier dans la partage commun les autres ne peuvent pas le supprimer ou le modifier car ils n'ont pas les droits d'écriture sur le nouveau dossier, si non dans le répertoire source il y a pas de problème.
Et fait quand il crée un dossier ou fichier il a juste les permissions pour sont propriétaire et je suis obligé de faire un 777 dessus pour que tous le monde puisent le modifier.
 
Comment faire pour plus avoir a faire ça? merci

Le dossier partage possède les droits 777 ?
Au niveau de la gestion des droits, je pense que le droit le plus restrictif doit s'appliquer.

undead > Dans la configuration de ton partage rajoute les deux lignes suivantes :
 
create mask = 0777
directory mask = 0777
 
Ca permet de forcer les droits lors de la creation des fichiers/dossiers.

J'ai refait un serveur ldap samba... sous lenny et tout roule, je n'ai pas le problème que tu as eu undead.
 
a+

Y'a eu pas mal de MAJ depuis, ceci explique surement cela.
 
Sinon, encore merci au créateur du topic et a tout ceux qui m'ont aidé dans mon projet.
 
Au final, j'ai pu monter mon projet, et cela m'a permit de faire donc ma soutenance dessus. Au final, tout s'est très bien passé, donc un GRAND merci.

Question : j'aimerais que l'utilisateur change sont mdp au 1er login.
 
J'ai crée l'user avec smbldap-useradd - B 1 -A 0  
 
Or ca ne marche pas. J'ai également essayé de position le sambapwdchange à  0 mais ce ne marche pas non plus.. une idée ?

 
 
de rien ^^
 
C'etait une soutenance de quoi ?? bts ?
 
J'ai peu de temps pour maintenir le wiki, il faudrait que je teste sur une lenny

moi je teste sur une debian 4.0r8 etch et ça marche pas... j'arrive pas a me connecter au serveur LDAP  
 
quand je fais un net getlocalsid j'obtiens un

Bonjour à tous,
 
J'ai une configuration ldap/samba qui marche parfaitement sous intrepid, vraiment au poil.
 
Mais comme j'aime pas avoir un truc trop stable, qui tourne trop bien, je me dis que je vais réinstaller mon serveur (bon en vrai je veux installer Zarafa sur hardy). Mais j'aimerais que ce soit transparent pour mon compte Vista, en gros, une fois le PDC réinstallé, que je puisse me logger sans changer mon profil, sans avoir à réinsérer la machine sur le domaine, etc.
 
Est-ce seulement possible ?

 
 
Tu peux peut être regarder là :
https://forum.debian-fr.org/viewtop [...] &sk=t&sd=a

 
Oui c'était pour mon BTS IG.

Bonjour,

J'ai installé LDAP+samba sur Xubuntu 9.10 et tout fonctionne parfaitement avec XP, Seven, 2008 Server et bien sûr linux. Un grand merci !

J'ai une question idiote (étant habitué à Active Directory), comment mettre un groupe dans un groupe ??
J'utilise LAM (pas la chanteuse) pour manager OpenLDAP et je n'ai que la possibilité d'ajouter des utilisateurs dans un groupe du domaine.
Je n'ai rien trouvé en ligne de commande.

Merci d'avance.
Jack

Message à double...

Tu peux faire un sorte qu'un utilisateur appartiennent à plusieurs groupes, mais pour le groupe de groupe, je ne sais pas si c supporté

Merci pour ta réponse.
Je ne vois pas comment faire quand tu as 2000 utilisateurs par exemple.
Si j'ai déjà un groupe que je veux ajouter à un autre groupe + d'autres utilisateurs, je ne vais pas me taper tous les utilisateurs à chaque fois. Imagine-toi avec 20'000 utilisateurs ou plus, c'est une secrétaire à plein temps qu'il faut

In Samba-3, the group management system is based on POSIX groups. This means that Samba makes use of the posixGroup ObjectClass. For now, there is no NT-like group system management (global and local groups). Samba-3 knows only about Domain Groups  and, unlike MS Windows 2000 and Active Directory, Samba-3 does not support nested groups.

 
http://www.samba.org/samba/docs/ma [...] assdb.html
 
DTC    
 
La solution que je vois, c'est de scripter. Que veux tu faire au juste ? Tu parles de goupes windows ou de groupe posix ?
 
Si tu veux ajouter un groupe à un utilisateur deja existant, c'est relativement simple en bash. Tu fais un ldapsearch, puis une boucle sur les résultats ou tu inseres un smbldap-usermod -G

Ok, merci.
 
C'est pour des groupes Windows.
Je vais le faire en suivant ton conseil.
 
Bonne soirée.
Jack

 
La doc dont tu fait reference date un peu, les choses ont bien changé. Il me semble que depuis les nested groups sont bien supportés dans samba.

C'est la doc officielle. Pour etre sur , tu devrais poster dans la mailing liste samba jackseg1980.

 
pitite question, ce topic est parfait pour ce que je cherche,
j ai actuellement un samba 3 avec openLdap ( un pdc+bdc ). Le tout sous debian Etch.
J ai lu que pour le moment on ne pouvait utilisé des win7 avec samba. Sauf si on upgradait en samba 3.4.
J ai testé rapidement sur une VM, mais dans les depots memes en Lenny il n y a pas encore la 3.4, j ai donc du récuperer le tar.gz et le compiler moi meme.
La question est :
Y en a t il qui ont samba + 7  ? quels manipent avez vous fait?
Dans le cas d'une migration samba, comment doit on procéder? Y a t il juste a updater le binaire, et pas besoin de refaire le conf ca roule? j ai pas trouvé grand chose la dessus.
 
 
Merci

http://wiki.samba.org/index.php/Windows7
 
Perso, je laisse mes 400 pc en XP, en esperant que tout soit corrigé d'ici peu.

Moi aussi mais tant qu a faire, je prefere mettre a jour le domaine au cas ou.
Passer de samba 2 à 3, c était long

 
 
Si on en croit ces quelques mots http://lists.samba.org/archive/sam [...] 86586.html, ca serait implanter depuis la version 3.0.3

Bonjour à tous,
J'ai bien vu que l'on pouvait tester windows 7 avec samba
pour XP j'utilisais poledit avec qques fichiers .adm
mais je vois que pas mal de choses ont changés pour windows 7
 
Après quelques recherches on trouve dans "C:\Windows\PolicyDefinitions\fr-FR" les fameux policy au format .adml .admx
(J'ai vu des termes comme GPMC qui pourrait gérer ces fichiers )
 
Je pense que ça pourrait en intéresser plus d'un, c'est pourquoi je préfère poser cette question ici  
 
Quels sont les logiciels à utiliser pour pouvoir gérer les policy, afin d'avoir un fichier xxx.pol, qui soit utilisable par samba dans le dossier netlogon. ?  
 
Merci d'avance pour vos réponses