Reprise du message précédent :
Voila le message d'erreur du smbldap-populate que me retourne le bash.
je ne comprends pas ou il va chercher ces "dc" qui ne sont pas les miens !
 
# smbldap-populate
Populating LDAP directory for domain mygroup (S-1-5-21-xxxxxx-xxxx-xxxx)
(using builtin directory structure)
 
adding new entry: dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 2.
adding new entry: ou=People,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 3.
adding new entry: ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 4.
adding new entry: ou=Computers,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 5.
adding new entry: ou=Idmap,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 6.
adding new entry: uid=root,ou=People,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 7.
adding new entry: uid=nobody,ou=People,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 8.
adding new entry: cn=Domain Admins,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 9.
adding new entry: cn=Domain Users,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 10.
adding new entry: cn=Domain Guests,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 11.
adding new entry: cn=Domain Computers,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 12.
adding new entry: cn=Administrators,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 16.
adding new entry: cn=Account Operators,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 18.
adding new entry: cn=Print Operators,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 19.
adding new entry: cn=Backup Operators,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 20.
adding new entry: cn=Replicators,ou=Group,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 21.
adding new entry: sambaDomainName=IDEALX-NT,dc=idealx,dc=org
failed to add entry: no global superior knowledge at /usr/sbin/smbldap-populate line 495, <GEN1> line 21.
 
Please provide a password for the domain root:
No such object at /usr/lib/perl5/vendor_perl/5.8.8/smbldap_tools.pm line 353
 
******EDIT
Tout simplement é-no-rme ! J'ai plusieurs copies de mon smbldpa_bind.conf et j'éditais la mauvaise... C'est pour cela que j'avais des erreurs de "crédentials" et cette mauvaise base en idealx.org...

Salut, je suis confronté à un autre probleme :
Lors du smb-populate, j'ai l'erreur suivante :
"Use of uninitialized value in string at /usr/lib/perl5/vendor_perl/5.8.8/smbldap_tools.pm line 291"
 
Quelqu'un à eu cette erreur ou à une idée de comment la résoudre ? Il paraît que ça pourrait venir du samba.schema (probleme de STRUCTURAL-chépakoi), mais j'ai la bonne version (la 3) prise sur le site de dam...

ok.. Bon je refais le tuto de A-Z avec les fichiers de conf fraichement retéléchargé sur le site de dam. Je vous tiens au courant.
Mais je trouve un peu frustrant de ne pas comprendre une erreur... si seulement j'avais plus de connaissances en programmation, je pourrais peut-être mieux analyser les ces scripts de smbldap-tools

j'ai mis le fichier en ligne il y a quelques mois deja, je suis en debian sid, ya peut etre eu des mis a jour entre temps.
 
le mieux c'est de recupérer le fichier du paquet samba-doc

tiens j'ai un probleme:
 
la commande getent password marche tres bien depuis root, ca m'affiche les users de ldap, je peux faire des su userldap.
 
avec un utilisateur lambda, je vois pas les user ldap et je ne peux pas faire de su

Bonjour à tous,
 
Je suis peut être pas au bon endroit mais je profite vite de ce sujet pour poster une petite question en rapport avec LDAP... Si quelqu'un peut m'aider ça serait le top...
 
Bon j'ai un PC qui tourne sous Debian et je viens d'installer Samba dessus, je voudrais l'utiliser comme serveur de fichier pour les personnes de mon labo. Je bosse dans une Ecole Polytechnique et nous avons un annuaire LDAP ou logiquement figure tous les comptes. J'aurais voulu savoir si c'est simple d'utiliser LDAP comme serveur d'authentification pour mon Samba, ceci afin de ne pas devoir créer une centaine de comptes et aussi afin que tout le monde garde son login et passwd actuel pour aller déposer des fichiers....
 
Je sais pas si je me suis bien fais comprendre et si c'est possible.
 
Merci d'avance pour vos réponses.
_____________________________
un petit novice de Linux ...

Tu peux te baser sur ce tuto je pense (pour la partie samba). Il faut juste que tu saches que samba va se connecter à ton serveur LDAP (donc ip/port correspondant) plutôt qu'à la même machine ce qui est le cas de ce tuto ;-)

Merci pour ta réponse, mais le seul problème c'est que moi j'aimerai pas que mon serveur samba soit un PDC, je veux juste qu'il utilise LDAP pour authentifier mes users ... Actuellement nous avons déjà un domaine Windows (Active Directory).

Alors il ne peut pas être PDC dans ton domaine windows. Par contre il peut-être member server. Mais si vous avez un AD pourquoi authentifier les utilisateurs via samba? Migration en vue?

Au fait je suis parti sur l'idée d'authentifier mes users par LDAP, mais je viens de voir qu'il serait plus simple d'en faire un serveur membre et ainsi de s'authentifier auprès de l'AD. Je sais pas si je me plante, mais je viens de trouver une doc relative à ceci et cela me semble plus logique. Mon seul but est de permettre à des personnes désireuses de backuper des données de le faire sur un serveur de fichier, en l'occurence Linux. Pour cela étant donné que je ne voulais pas crée user pour chaque personne je me suis dis qu'il serait plus simple d'utiliser un annuaire ou figurait tous les users. Dans notre école, nous avons un domaine MS + les sous domaines ainsi qu'un annuaire LDAP d'après ce qu'on m'a dis. J'espère ne pas me planter.

Bonjour, j'avais posté ici y'a quelques temps pour un problème lors du smbldap-populate, en fait le problème a été réglé en utlisant les dernière sources de smbldap-tools au lieu du paquet debian.
 
Maintenant tout marche, mais je veux utiliser la couche TLS pour crypter les données, si vous pensez pouvoir m'aider, j'ai fais un topic exprès : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0

 
Oui le mettre en member server est assez simple. Il faut utiliser winbind. Les personnes pourront s'identifier sur ton serveur linux avec les users de l'AD. ;-)
J'ai pas de doc sous la main sur le sujet mais je dois avoir cela dans un coin. Je chercherai...
 

 
 
dans samba, tu mets security = ADS
 
ensuite doit y avoir kerberos a configurer.

 
 
Ok je vais déjà regarder dans ce sens là ... Par contre je suis effectivement intéressé par ta doc du coin , si tu arrives à la retrouver...  
 
Merci d'avance et bonne journée !

 
OK merci ... Et ... des pistes concernant la config de Kerberos ? Par hasard ...
 
Merci @+

Voilà ce que j'ai trouvé, je vous en fais part si cela présente un intérêt pour quelqu'un ...?
 
The first step is to add the Samba server to the domain by creating a computer account for it on the primary domain controller. You can do this using the smbpasswd command, as follows:
 
# smbpasswd -j DOMAIN -r PDCNAME -Uadmin_acct%password
In this command, DOMAIN is replaced by the name of the domain the Samba host is joining, PDCNAME is replaced by the computer name of the primary domain controller, admin_acct is replaced by the username of an administrative account on the domain controller (either Administrator—or another user in the Administrators group—on Windows NT/2000, and root on Samba), and password is replaced with the password of that user. To give a more concrete example, on our domain that has a Windows NT 4 Server primary domain controller or a Windows 2000 Active Directory domain controller named SINAGUA, the command would be:
 
# smbpasswd -j METRAN -r SINAGUA -UAdministrator%hup8ter
and if the PDC is a Samba system, we would use the command:
 
# smbpasswd -j METRAN -r toltec -Uroot%jwun83jb
where jwun83jb is the password for the root user that is contained in the smbpasswd file, as we explained earlier in this chapter.
 
If you did it right, smbpasswd will respond with a message saying the domain has been joined. The security identifier[5] returned to Samba from the PDC is kept in the file /usr/local/samba/private/secrets.tdb. The information in secrets.tdb is security-sensitive, so make sure to protect secrets.tdb in the same way you would treat Samba's password file.
 
The next step is to modify the smb.conf file. Assuming you are starting with a valid smb.conf file that correctly configures Samba to function in a workgroup, such as the one we used in Chapter 2, it is simply a matter of adding the following three lines to the [global] section:
 
workgroup = METRAN
security = domain
password server = *
The first line establishes the name of the domain (even though it says "workgroup" ). Instead of METRAN, use the name of the domain you are joining. Setting security to "domain" causes Samba to hand off authentication to a domain controller, and the password server = * line tells Samba to find the domain controller for authentication (which could be the primary domain controller or a backup domain controller) by querying the WINS server or using broadcast packets if a WINS server is not available.
 
At this point, it would be prudent to run testparm to check that your smb.conf is free of errors. Then restart the Samba daemons

 
C'est brut, c'est ce que j'avais fait. Pas plus de temps pour détailler maintenant.

Parfait Koybe ! Le brut me conviens très bien ! Je te remercie pour tes infos ...
 
A+

Ceci peut servir c'est le même en graphique ;-)
http://sadms.sourceforge.net/

tu l'as testé cet outil ?

Non pas testé, quand je l'ai découvert j'avais déjà tout fait à la main ;-)

Salut,
 
Merci pour le tuto, il m'a bien servi.
 
Par contre j'ai eu un gros problème avec, l'ordi ne voulais plus booter
 
C'etait du a udev et au fichier nsswitch (celui du tuto)
 
Lors du boot udev tente de lire les host dans ldap alors qu'il n'est pas encore démarré
 
 
Pour résoudre le problème (en attendent mieux):
Remplacer

par

à adaper en fonction de votre nsswitch.conf
 
Bizard que je n'ai rien vu à ce sujet. Suis-je le seul à utiliser à avoir udev?

nan,  
 
j'ai oublié de mettre a jour mon tuto d'ailleurs j'en ai fait un mieux.
 
seules les 3 premieres lignes ont besoin d'avoir ldap pour l'authentification.
 
cependant, j'ai toujous des messages d'avertissement au boot de machine (au debut), ca defile trop vite et je ne les retrouvent pas dans les log

 
Des messages d'erreurs au moment de l'execution du demond udev?
J'en ai aussi me signalent que ldap n'a pas pu etre contacté ou quelque chose du genre,
 
Si c'est ca tu a divers paramètres que tu peux mettre apres ldap dans le nsswitch du genre [NOTFOUND=return]
 [NOTFOUND=continue], ...  
 
Sinon si tu veux voir ce que sont exactement les messages, je pense que stoper udev et ldap puis redemarer udev sans ldap devrai t'afficher les msg du boot (pas tester, je le ferai au prochain reboot) devrai te les afficher.
 
 
Edit: moi non plus je ne les ai pas dans le log, mon bootlog et le syslog ne sont pas encore démarer

d'ailleurs c'est bizarre, pourquoi udev veut interroger ldap ?
en plus meme quand la machine est juste cliente, elle peut pas interroger le serveur ldap car les services reseaux ne sont pas encore demarrés

Je ne sais pas, j'ai pas tout bien compris    Pq udev utilise nsswitch  
D'apres cd que je sais udev aurais besoin des users et groups avant de demarer quoi que ce soit jusque la ca va j'ai compris
Il aurais besoin des hosts pour ce connecter a ldap hors ils vas voir les host dans ldap <<< ca viens d'une de mes traduction foireuses
pour ne plus avoir le problème il faudais indiquer le serveur ldap dans /etc/hosts <<< problème c'est que mon ldap est sur la meme machine donc je devrais pas configurer de host looool
 
La plupart de mes info vienne de truc en anglais voir italien ou russe. mon anglais est 1 peux a l'arache et les autre j'en parle meme pas looool.
 
il y a divers raport de bug debian a ce sujet exemples:  
http://bugs.debian.org/cgi-bin/bug [...] bug=318622
http://bugs.debian.org/cgi-bin/bug [...] bug=339797

Hello,
 
J'ai moi même tenté de mettre en place ce type d'architecture. Cependant je me heurte à un problème pour l'intégration des clients.
Impossible de me logger avec XP SP2 ou 2k SP4. La jointure avec le domaine ce fait sans problème, mais au reboot il me dit qu'il existe un nom en double sur le réseau. Du coups le domaine est injoignable.
 
J'ai vue que je n'étais pas le seul, mais je n'ai pas vue sur ce thread une solution.
 
Je précise qu'il s'agit de Samba 3.
 
Merci

Salut.
Je n'ai jamais eu ce message que ce soit dans une integration samba ou dans un réseau windows par contre tu a un message similaire quand il y a deux ip identique sur le reseau et dans ce cas l'interface réseau de la machine qui se connecte en dernier est dans les choux et donc domaine injoignable.
Verifie les nom netbios de tes machines, demare les sans te connecter au domaine (toute facon tu ne peux pas) et regarde ce qui ce passe avec au niveau des interface reso
Tu utilise un dhcp? celui du linux? t'aurais pas creer une règle globale avec une directive commune qui ne peux pas l'être?
 
En fait j vois pas trop    
 
Edit: bizard que tu arrive a rejoidnre le domaine et que c'est apres que ca foire.

Mon IP est fixe, en dehors de la plage fourni par mon DHCP.
 
Bon j'ai repris un peu les étapes de conf fournies en première page, parceque au redémarrage du serveur j'avais perdu toutes mes UO et mes utilisateurs... dans l'annuaire.
 
J'ai donc repris du départ, j'ai bien smbldap-populate. Ca ce passe correctement.
 
Je reprend espoir, je réessaye ensuite de réintégrer une machine et là il me dit que l'utilisateur est mauvais. J'utilise bien root comme suggéré.
Quels sont les fichiers de config sollicité lors de la jonction que je recheck éventuellement ?

Je sais pas trop pour les fichier y a le smb.conf biensur fo pas avoir oublier de donner un pass a root avec l'utilitaire samba aussi puis dois y avoir le nsswitch puis la bd biensur et donc tout les fichiers qui renseigne l'architecture ldap mais j'en oublie peux etre. me semble qu'il y a une commande sous nux si un utilisateur est bien présent (et donc si erreur de conf il te renvaira que non) mais j confond peux etre.
 
Par contre pour joindre le domaine tu a essayé NOMDEDOMAINE\root comme utilisateur?

Si ton smbpopulate marche normalement les fichier de conf de smb-tools doivent etre bons (ceux qui se trouvent dans /etc/opt/IDEALX/smbldap­tools/)
 
nsswitch ca dois être pour l'autentification avec lam donc ca dois pas être utile pour les client windows
 
t'aurais vraiment que le smb.conf qui peux avoir un prob ou le smbpasswd -w pour mettre le pass a root

Au temps pour moi ce n'était pas root qui était inconnu, mais le nom netbios de la machine qui voulait joindre le domaine.
Je l'ai ajouté à la main (j'ai tellement fait d'installe que je me souvenais pu si j'avais prévu l'ajout auto), et j'me suis joint au domaine.
 
Cependant, bis répétitas, j'me retrouve dans l'impossibilité au démarrage de me logger. "nom en double sur le réseau" et lorsque malgré tout je sélectionne le domaine, il me dit qu'il est indisponible au moment de valider le loggin.
 
Parcontre aucun soucis pour ce logger en local

J'ai di une grosse connerie dans mon post precedent je crois nsswitch c pas pour lam
 
En session local tu a biens a acces a tes partages réseau sur le pdc en utilisant le compte root?
 
T'a beaucoups de machine sur le reseau? essaye (ci c'est possible) juste le pdc et un windows
 
Le message "nom en double  sur le réseau" c'est le message exact que tu a?
Tu l'a quand exactement ce message?
- au boot de l'ordi juste avant la fenetre de login
- Quand tu entre un login et un pass et selectione le domaine
- Quelques secondes après avoir entré login et pass
- un autre moment?
 
Franchement j vois pas d'ou ca vient,  

Heuuu je ne sais pas comment procéder en local. Mais un smbclient -N -L DOMAINE me fourni bien les partages administratifs, excepté profile et compagnie.
 
Je ne sais pas si c'est normal. En tout cas niveau LDAP aucun soucis puisque que LAM ne pose aucun problème pour administrer l'annuaire.
 
Beaucoups de machine ? non deux virtuels sur VMWARE
 
Le message "Il existe un nom en double sur le réseau" apparait avant de ce logger.
Ensuite si je veux me logger sur le domaine il me dit qu'il n'est pas disponible.

Holla ton ordi avec linux et samba installé en pdc
tu a vmware et 2 windows installe
tu essaye de connecter tes windows sur le pdc qui est sur le meme ordi
 
C'est ca?
 
Tu avais reussi a faire marcher samba en pdc sans ldap avec la meme config?
 
Vmware c'est particulier au niveau des interface reseau sur l'install principal
 
envoi ton smb.conf

Non j'ai VMWare avec une Debian dessus et un Windows.
Enfin deux, j'ai mis aussi Xp pour tester.
 
Je n'ai jamais testé Samba seul sans LDAP.  
 
VMWare est bien configuré, intégré au reste du réseau.
 
Parcontre je m'étonne de ne pas avoir mes partages profiles et netlogon, quels sont les droits que je dois mettre sur ceux-ci et sur les dossier utilisateur ?
 

Les droit tu mets les même que dans le pdf  
Envoi ton smb.conf
 
J'ai testé samba4 avec des client vmware windows sous la meme machine et je me suis cassé les dents
 
Edit: Normale que tu ne vois pas profile et netlogon ils doivent etre caché, partage c'est toit qui vois tu peux le cacher ou pas suivant si tu le connecte a un lecteur reseau.
Tu peux acceder a tes partage meme si ils sont caché avec \\NETBIOSDUPDC\Nomdupartage

Les partages ne sont pas parcourables ce qui expliquent pourquoi je ne voyais pas. Voici le smb.conf :
 
[global]
### A changer === >
workgroup = FMR
### A changer, mettre le meme nom que le nom de votre machine === >
netbios name = FMR
server string = Samba-LDAP PDC Server
domain master = Yes
local master = Yes
domain logons = Yes
os level = 40
#passwd program = /usr/sbin/smbldap-passwd ?u %u
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
### A changer === >
ldap admin dn = cn=admin,dc=fmr,dc=local
### A changer === >
ldap suffix = dc=fmr,dc=local
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/local/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/local/smbldap-userdel "%u"
add machine script = /usr/sbin/local/smbldap-useradd -w "%u"
add group script = /usr/sbin/local/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/local/smbldap-groupdel "%g"
add user to group script = /usr/sbin/local/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/local/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
logon path = \\%L\profile\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
#character set = iso8859-1
#domain admin group = @admin
dns proxy = No
wins support = Yes
### A changer si vous n'utilisez pas ce réseau === >
#hosts allow = 192.168.0. 127.
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
### FIN DE LA PARTIE GLOBALE #####
#### LES PARTAGES #####
[netlogon]
path = /home/samba/netlogon
writable = No
browseable = no
write list = root
#
[profile]
path = /home/samba/profiles
browseable = No
writeable = Yes
profile acls = yes
create mask = 0700
directory mask = 0700
#
[homes]
comment = Repertoire Personnel
browseable = No
writeable = Yes

Je sais pas si t'a vu mon edit du post précedent.
 
Test partage c'est ok par contre tu n'a que ceux "neccesaire" tu n'a aucun partage a proprement dit ce sont ceux qui sont utiliser pour les ouverture de session et le repertoire home de l'utilisateur logué.
 
Yu a mis le même nom netbios et de groupe de travail a ton pdc je ne sais pas ci ca peux gener entk jamais testé, essaye en en changeant un genre"workgroup = FMR.com"
 
J'ai eu des problème dans le temps avec le %L sous samba depuis je met tjs le nom netbios a la place

 
Je n'ai jamais comenté ca mais je suppose que ca dois marcher sinon tu ne pourais pas joindre le domaine.

 
Le reste me semble bon, fodrai voir avec les pros
 
un testparm ne te renvoit rien de particulier?

Euh. J'ai redémarrer le client, il semblerait qu'il se logue correctement. Le profile est bien itinérant et stocké sur /home/samba/profiles.
 
Cependant, lorsqu'on ajoute un utilisateur il faut ensuite lui créer manuellement son homedir et le mettre owner du dossier.
 
Existe-t-il une solution pour pallier à ça ?
 
En tout cas mon logon.bat est correctement lu dans le répertoire.

Tu ne l'avais pas fait avant? il faut tjs redemarer apres un changement de groupe ou une integration à un domaine.

Avec la commande smbldap-useradd  l'argument -M cree le home dir si je ne me trompe pas et tu dois pouvoir le specifier
Avec lam il y a un endroit ou tu peux specifier le homedir
 
Je ne sais pas trop comme j'ai migre un samba sans ldap vers ldap et donc les utilisateur que j'ai ajouter avais deja un home