Reprise du message précédent :
Tout d'abord, merci dam1330 pour ton tuto, ca m'a bcp aide pour mettre en place mon Samba/LDAP.
 
Je commence a en voir le bout, mais un probleme subsiste: je ne peux joindre mon domaine qu'en tant que "root".
 
Lorsque je tente avec les logins d'un user standard, j'ai le message d'erreur suivant:
 

 
Les utilisateurs semblent pourtant bien pris en compte depuis LDAP, puisque j'ai un message d'erreur different si j'entre un mauvais mot de passe:
"blablabla wrong login or password blablabla".
 
Mon smb.conf est identique a celui du tuto, aux modifications de DN pres.
 
Une idee ?
 
Edit: apres un soigneux epluchage des logs, ca semble etre un probleme de SID... Je vais etudier la question.
 

tu as bien créé des users appartenant au groupe "Domain Users" ? car j'ai ce message d'erreur quand je créé des "Account operator" qui le groupe par defaut a la création d'users dans LAM
 
essaye de creer des users avec les smbldap-useradd

Oui,oui, domain user. Jai essaye de les ajouter a la main en smbldap-useradd, mais ca n'arrangeait pas le schmilblick il me semble.
 
La je me retape le tuto en version sarge (j'avais pas vu l'update wiki, honte a moi, j'etais toujours sur le pdf). On va voir ce que ca donne
 
Petit soucis sur le "net getlocalsid" (smbldap_search_suffix : No such object) toujours, j'avais populate quand meme la derniere fois, je vais essayer de la jouer plus propre la. Merci
 
EDIT: bon au final l'installation s'est mieux passe que la premiere fois, utilisateur root present dans la base, tout ca, tout ca, mais j'ai du laisser trainer des traces de la premiere installation, du coup au login de XP apres reboot j'ai un "a duplicate name exist on the network" juste apres le message de recherche des domaines. Jai tente de modifier le nom de mes machines, etc, mais rien n'y fait. Du coup le domaine n'est plus available

il faut que tu supprime la machine du compte ldap, car qd une machine est jointe au domaine il y a une correspondance entre le nom/SID donc si tu change rejoint une machien au domaine avec le même nom mais unSID différents ca coince.

Merci pour le coup du NSCD ca marche au poil    ! mais tu pourrais expliquer plus en détail d'ou venait le problème ?

Salut à tous
ce tuto est vraiment excellent!!
j'arrive a me connecter depuis un poste linux sur le server
Mais sur un poste windows sa se complique..
J'ai fait la manip clic droit poste de travail etc...
mais il me dit que mon nom de domaine n'existe pas, bref il trouve rien
coment pourrais-je faire pour voir si ce pc voit le serveur, bref si samba fonctionne bien?
Parce que au niveau du populate et net getlocalsid , il n'y a aucun message d'erreur, tout fonctionne bien, ma base LDAP est bien peuplée.
avez vous une idee?
 
le server est sous debian sarge
et les poste windows sont 2000 et xp (la j'ai tester sur du 2000)
merci de m'aider

dans les favoris reseaux tu vois meme pas le nouveu domaine ?

 
essai : \\ip-samba\profiles pour voir si tu as acces au partage

dans les favoris reseaux apparemment non mais j'ai tester sur un poste xp et la il me demande login et pass (donc apparemeent il reconnaitrait) mais par contre il ne prend pas les login et pass...
edit: je viens de regarder sur le poste 2000 et je vois mon domaine dans favori reseau par contre ya rien dedan (peut etre est-ce normal, surement meme) mais par contre la je n'accede pas a login et pass il me dis erreur DNS blabla
 
et \\ip\profile
me donne rien
mais je n'ai rien dans profile en meme temps dans mon /home/export/profile

 
Ca venait peut etre de la oui. Dans le doute, j'ai fais un nettoyage de printemps de mon serveur qui commencait a patir de tous mes tests un peu degueux (comprendre format puis reinstallation complete du systeme). J'ai suivi le tuto du wiki a la lettre, et tout s'est deroule sans probleme. Mes utilisateurs joignent a present le domaine sans soucis. Du bonheur.
 
Comme quoi... Merci de votre aide en tt cas

Bonjour à tous,
 
je suis le topic avec attention depuis quelques jours et est donc essayé de l'appliquer chez moi mais je rencontre deux problèmes :  
 
- lorsque que je veux utiliser la commande smbldap-useradd je rencontre l'erreur suivante
 
Use of uninitialized value in substitution (s///) at /usr/share/perl5/smbldap_tools.pm line 140, <CONFIGFILE> line 1.
Could not find base dn, to get next uidNumber at /usr/share/perl5/smbldap_tools.pm line 1046, <DATA> line 283.
 
Soit la même erreur qu'une personne plus haut dans ce topic ...
Je précise que je peux malgré tout ajouter des user avec phplddapadmin.
 
- Le deuxième problème survient lorsque je veux me logger dans une console avec un des utilisateurs de mon annuaire :  
 
jai le messsage d'erreur suivant lorsque je veux me connecter (sachant que je n'ai pas mis de password pour l'utilisateur c'est peut être cela je veux essayer)
 
su: Authentication failure
 
Et lorsque je modifie le fichier common-auth avec les lignes suivantes de base :  
 
auth    required        pam_unix.so nullok_secure
 
J'ai ce message d'erreur :
su: Authentication service cannot retrieve authentication info.
 
Soit dans les deux cas des problème de paramètre pour pam je pense.
 
Je fonctionne sous la dernière sarge.
 
Merci d'avance

 
Dans le smbldap.conf tu as renseigné le SID et le sambaUnixIdPooldn ?

Alors déja merci de la rapidité de la réponse je viens de vérifier ce que j'ai dans le smbldap.conf et j'ai ces deux lignes :  
 
SID="xxxxxxx"
sambaUnixIdPooldn="sambaDomainName=lycee,${suffix}"
 
Donc cela doit être bon nan ?
 
Une autre chose qui me semble bizarre c'est que lorsque que je fais un getent passwd j'obtiens la liste de tout les utilisateurs de mon annuaire mais aussi les utilisateurs système. Est ce normal ?

Pour le getent passwd c est normale ca liste tout les users inscrit via les differents systèmes d'authentfications
 
poste tes fichiers sinon  
 
tu es sur quel plateforme ?

Alors la plateforme c'est la dernière debian sarge.  
 
Pour les fichiers dis moi exactement ce que vous avez besoin cela évitera de surcharger le topic.

j avais la même erreur que toi et je suis aussi avec la sarge mais il me semblait que je l'avais réglé avec le coup du SID et sambaUnixIdPooldn.
poste le smbldap.conf et le smb.conf déjà.

# smb.conf
 
 
[global]
workgroup = lycee  
netbios name = LYCEE  
server string = Samba-LDAP PDC Server
domain master = Yes
local master = Yes
domain logons = Yes
os level = 40
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=admin,dc=sult2,dc=fr  
ldap suffix = dc=sult2,dc=fr
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"  
logon path = \\%L\profile\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
dns proxy = No
wins support = Yes
hosts allow = 172.16.1. 127.
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
 
[netlogon]
path = /home/netlogon
writable = No
browseable = No
write list = Administrateur
 
[profile]
path = /home/export/profile
browseable = No
writeable = Yes        
profile acls = yes  
create mask = 0700    
directory mask = 0700
 
[homes]
comment = Repertoire Personnel
browseable = No
writeable = Yes
 
[partage]
comment = Repertoire commun
browseable = Yes
writeable = Yes
public = No
path = /home/partage
 
# smbldap.conf
SID="S-1-5-21-67659097-560477452-579302139"
sambaDomain="lycee"
 
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
 
ldapTLS="0"
verify="none"
 
suffix="dc=sult2,dc=fr"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=lycee,${suffix}"
 
scope="sub"
hash_encrypt="MD5"
crypt_salt_format="%s"
 
userLoginShell="/bin/bash"
userHome="/home/%G/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
 
 
userHomeDrive="J:"
mailDomain="sult2.fr"
 
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
 
Voila sans les commentaires  

j'ai pour les smbldap-tools moi j ai utilise le package de la sarge tu as utilisé quoi ?
sinon tu pourrais editer et enlever les lignes qui sont commentées  

j'ai vu qu'il y avait des problèmes pour les smbldap-tools dc j'ai utlisé ceux de la version test il me semble, comme indiqué dans un tuto, mais si tu penses que cela peux venir de la, je remet ceux de la sarge.  
 
Sinon pour les deux fichiers de conf plus haut cela te semble correct ?

Moi j'ai quelques différences au niveau du smbldap.conf :  
 

une petite question :  
 
cafile="/etc/opt/IDEALX/smbldap-tools/ca.pem"
clientcert="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.pem"
clientkey="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.key"  
 
Ces trois lignes ne sont pas indispensable et servent juste pour la sécurisation avec le TLS mais alors pourquoi cette ligne qui désactive le TLS :  
ldapTLS="0"  
 
Bon je me trompe peut être mais chez moi j'ai commenté ces 3 lignes.
 
Sinon je viens de mettre ton fichier à la place du mien en l'adaptant et je vous tiens au courant de ce qui se passe.
 
Enfin pour ta question
 

 
Donc je viens de désinstaller les smbldap-tools et d'installer ceux de la sarge smbldap-tools 0.8.7-4. Est-ce que ceux sont les bons ?
 
Merci d'avance

Pour ma part ça ne fonctionne toujours pas
pourtant en fesant smbclient ... sa fonctionne
mais des que je vais sur mon poste XP il me dit le nom réseau spécifié n'est plus disponible...
et aucun "machines" ne se creer dans LDAP, est-ce normal?  
PS pour visualiser le ldap j'utilise phpldapadmin

on peut virer ces 3 lignes
cafile="/etc/opt/IDEALX/smbldap-tools/ca.pem"
clientcert="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.pem"
clientkey="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.key"  
 
c'est pour la certif ssl, par contre faut bien mettre ldapTLS="0"  
 
Si vous etes sur sarge, il faut soit
- installer le paquet SID (ca marche apres un apt-get -f install)
- soit rajouter a la main dans smbldap.conf
SID="xxxxxxx"
sambaUnixIdPooldn="sambaDomainName=YYYYYYY,dc=....,dc=........"  
 

Dans le smbldap.conf j'ai les deux lignes :  
 
SID="S-1-5-21-67659097-560477452-579302139" sambaUnixIdPooldn="sambaDomainName=lycee,${suffix}"
 
Donc cela devrait être bon nan ?

Bon alors pour ceux que cela intéresse pour résoudre mon problème j'ai seulement rajouté les index dans slapd.conf et la cela marche tout seul

 
tu as rajouté quoi ?

Voila ce que j'ai rajouté dans /etc/ldap/slapd.conf :  
 
index   sambaSID                        eq
index   sambaDomainName                 eq
index   sambaPrimaryGroupSID            eq
index   cn,sn,uid                       pres,sub,eq
index   uidNumber,gidNumber,memberUID   pres,eq
 
Sinon je n'ai plus aucun message d'erreur je peux ajouter des utilisateurs comme dans le tuto.
 
Maintenant je voudrais tester si les comptes de mon annuaire fonctionne bien, j'ai donc installé ssh et utilisé la commande ssh [nom_user]@localhost mais j'ai l'erreur suivante :  
 
Permission denied (publickey,keyboard-interactive)
 
Je vois pas trop d'ou cela pourrait venir peut être un problème de droit je sais pas vous avez une idée ?

pour tester si les compte de user fonctionne, si tu connect avec depuis window c'est bon sinon un su - user suffi.
 
c est pour un utilisateur qui est dans LDAP ou ds /etc/passwd ?

Pour un utlisateur dans LDAP mais j'ai pas encore de machine sous windows sur le réseau donc c'est ma seule solution le ssh (le su je suis pas sur que ccela fonctionne).
 
Après vérif j'ai cette erreur pour le su - user :  
 
su: Authentication service cannot retrieve authentication info.

j'ai rencontré un probleme avec l'authentification LDAP depuis un SIMPLE utilisateur:
 
Vous etes root:
getent passwd: retourne bien les user ldap
su userldap: fonctionne
 
Vous etes un User simple:
getent passwd: retourne que les users Unix
su userldap: fonctionne pas
 
Alors vérifier les droits du fichier /etc/libnss-ldap.conf il doit etre en lecture et execution pour tout le monde:  
chmod 755 /etc/libnss-ldap.conf
 
 
Autrement dit quand vous installez le paquet libnss-ldap:
Le fichier de configuration doit-il être lisible et modifiable uniquement par son propriétaire ? NON
 
Pour plus d'info tout est dans le wiki (lire les 2 articles)

Effective dam1330, c'est exactement ce problème et maintenant que tu le dis je l'ai lu sur une de tes 2 pages. Mais mon problème c'est que même en changeant les droits de ce fichier cela ne fonctionne pas.

t'as modifié tes pam.d ?
 
fais aussi un chmod 755 sur /etc/pam_ldap.conf

Nop j'ai pas touché au pam.d sachant que pam utilise nss normalement les fichiers de pam.d pour moi n'avait pas besoin d'être modifié mais je le fais de suite avec tes modifs pour voir. Mais je ne suis pas un expert donc il se peut que je me trompe aussi

ah bien c'est normal que ca marche pas lol
 

Meme apres les avoir modifiés cela ne change rien ...

Je reviens un petit peu à la charge.
Personne n'a trouvé le moyen de créer le compte home lors de la création dans l'annuaire ldap?

salut dams  
je viens vers toi car j'ai suivi ton howto pour créer un serveur debian samba LDAP  
mais je but à la fin  
 
je fais le net getlocalsid  
il se déroule très bien et sans erreur  
 
et au moment ou je fais :  
smbldap-populate  
 
c'est là que j'ai ça :  
 
Unable to open /etc/opt/IDEALX/smbldap-tools/smbldap_bind.conf for reading !  
Compilation failed in require at /usr/sbin/smbldap-populate line 35.  
BEGIN failed--compilation aborted at /usr/sbin/smbldap-populate line 35.  
 
 
si tu peux m'aider ce serait gentil  merci

montre les droits sur smbldap_bind.conf

-rw-r--r--  1 root root 114 2006-05-24 12:53 /etc/opt/IDEALX/smbldap-tools/smbldap_blind.conf
-rwxrwxrwx  1 root root 115 2006-05-24 12:38 /etc/smbldap-tools/smbldap_blind.conf

bein voila, t'as fait une faute  !!!
smbldap_blind.conf  
 
c'est bind !!! du verbe joindre en anglais !!

j'ai copier mes deux fichiers smbldap_blind.conf et smbldap.conf dans /etc/opt/IDEALX/smbldap-tools
j'ai mis tous ces fichiers en 777
tjs la meme erreur sur le smbldap-populate