| View previous topic :: View next topic |
| Author |
Message |
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
 Posted: Thu Mar 01, 2007 9:59 am Post subject: [LDAP - SAMBA] Conseils mise en place et interaction |
 |
|
Salut,
Je cherche à mettre en place pour mon asso une authentification sécurisée leurs permettant d'accéder à leurs comptes depuis n'importe quel ordinateur, quel que soit le système.
De même, j'aimerais que les applications qu'ils utilisent puissent vérifier leur droit à partir d'un annuaire. (Si l'appli le permet bien sur  )
Quels sont vos idées pour la mise en place, comment vous y prendriez-vous ?
Voici ce que j'ai fait pour le moment (qui a dit pas grand chose :p) :
J'ai 2 serveurs de disponible.
* L'un a OpenLDAP et BIND installés dessus (Plus de ldapdns dans portage), ainsi que postgreSQL avec sa BDD pour plus tard :
On l'appellera SERVEUR_LDAP,
* L'autre SAMBA avec smbldap, et aura plus tard d'autres outils/logiciels comme jabberd, ClamAV, postfix, ... :
Idem, son nom sera SERVEUR_SAMBA,
Cela marche plus ou moins.
En fait pas terrible 
Mais j'arrive à faire quelques trucs
1) Sur le SERVEUR_SAMBA, je crée des comptes/groupes unix/windows en passant par les outils smbldap.
Ils sont bien enregistrés dans l'annuaire sur SERVEUR_LDAP.
Par contre, les comptes unix ne marchent pas, même si les répertoires persos se créent sur SERVEUR_SAMBA.
Je dois donc avoir un problème du coté de l'identification unix (pam_ldap et nss_ldap sont installés, mes fichiers de conf de /etc/pam.d/ sont surement mal adaptés ^^ )
(Je ne sais pas d'où cela provient, j'ai retourné tous mes fichiers de conf, mais pour l'authentification Unix, il cherche toujours le serveur LDAP sur localhost ...)
2) Je n'arrive pas à faire enregistrer une machine sur le domaine, un message m'avertit que l'admin ou son mot de passe ne sont pas valide.
Je vous posterai dès que je le peux les fichiers de conf, ainsi que les messages d'erreur que j'obtiens.
Ce qui m'intéresse le plus c'est de savoir comment vous auriez organisé les serveurs et si vous connaissez une autre méthode que les outils smbldap pour faire les liens entre SAMBA et OpenLDAP.
Merci,
@+,
Guile. |
|
| Back to top |
|
 |
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Thu Mar 01, 2007 10:21 am Post subject: |
|
|
Fichiers de conf du Serveur LDAP
| Quote: |
/etc/openldap/ldap.conf
BASE dc=NOMDOMAIN, dc=FR
URI ldaps://SERVEUR_LDAP.NOMDOMAIN.FR:636/
TLS_REQCERT allow
bind_policy soft
nss_reconnect_tries 3
nss_reconnect_sleeptime 1
nss_reconnect_maxconntries 3
|
| Quote: |
/etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
password-hash {SMD5}
allow bind_v2
database bdb
suffix "dc=NOMDOMAIN,dc=FR"
rootdn "cn=Manager,dc=NOMDOMAIN,dc=FR"
rootpw {SMD5}Truc crypté
directory /var/lib/openldap-data
access to attrs="userPassword"
by dn="uid=root,ou=people,dc=NOMDOMAIN,dc=FR" write
by anonymous auth
by self write
by * none
access to *
by dn="uid=root,ou=People,dc=NOMDOMAIN,dc=FR" write
by * search
// Plus d'autre qui ne fonctionne pas
|
Last edited by X-Guardian on Tue Mar 20, 2007 2:04 pm; edited 2 times in total |
|
| Back to top |
|
|
Leander256
l33t
Joined: 05 Jul 2003
Posts: 910
Location: Singapour
|
| Posted: Fri Mar 02, 2007 6:03 am Post subject: |
|
|
Il se fait tard (ou tôt), alors je n'ai pas de solution miracle à te proposer. Autant que je sache il n'y a que les outils smbldap fournis par idealx pour gérer un serveur Samba avec OpenLDAP, et je suppose que tu t'es basé sur leur Howto pour mettre en place tes serveurs.
Pour ton premier problème, est-ce que lors de la création du compte utilisateur tu fais bien un smbldap-useradd -a -c monutilisateur. Mais il est en effet plus probable que NSS ait un problème. As-tu précisé l'adresse IP du serveur grâce à la variable host du fichier /etc/ldap.conf?
Pour ton deuxième problème là ça se complique, il faudrait les logs (si possible détaillés, il y a plusieurs niveaux de "verbosité" pour Samba et OpenLDAP) pour savoir plus précisément lequel se plaint de quoi.
Voilà j'ai franchement pas l'impression d'aider beaucoup, mais je crois qu'il va falloir plus d'informations, c'est-à-dire tous les fichiers de config complets (mets-les dans des balises code si possible) et les logs de Samba et OpenLDAP pour que l'on puisse vraiment t'aider. Et pour avoir bataillé des semaines contre une telle config pour la faire marcher comme je le voulais, je te souhaite bon courage (n'aies pas peur, je dois être tout simplement pas doué  ) |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 02, 2007 8:00 am Post subject: |
|
|
Salut,
Ne t'en fait pas, j'ai pas peur, cela va faire un mois que je suis dessus ... heu ... pas à temps plein hein ... et je n'ai pas eu de net pendant 3 semaines
(Merci FT/Orange au passage pour faire passer les gens en 8Mb/s sans vérifier si leur ligne peut supporter, et ne rien faire ensuite en pretextant àprès des expertises bidons que cela est de la faute du client ...)
Bon, je m'en vais chercher mes fichiers de conf et mes logs sur le serveur
@+,
Guile. |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 02, 2007 8:12 am Post subject: |
|
|
Fichiers de conf du Serveur SAMBA
| Quote: |
/etc/samba/smb.conf
###################################################
# Section Global #
###################################################
[global]
# Identification du serveur
###################################################
netbios name = SERVEUR_SAMBA
workgroup = NOMDOMAIN.FR
server string = Controleur de Domaine
# Parametre de connexion
###################################################
unix charset = ISO8859-15
security = user
enable privileges = yes
encrypt passwords = yes
hosts allow = "LOCAL"/24 127.0.0.0/8
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = lo eth0
bind interfaces only = yes
# Activation en tant que PDC
###################################################
local master = yes
os level = 65
domain master = yes
preferred master = yes
# Impression
###################################################
#printcap name = cups
#printing = cups
#load printers = yes
# Sécurité des données
###################################################
null passwords = no
hide unreadable = yes
hide dot files = yes
# Scripts de connexion
# (%u = nom de l'utilisateur, %l = nom du serveur)
###################################################
domain logons = yes
logon script = login.bat OR %U.bat
logon drive = H:
username map = /etc/samba/smbusers
logon home = \\%L\%U\.9xprofile
# Support de wins pour l'identification NetBIOS
###################################################
wins support = yes
name resolve order = wins lmhosts host bcast
dns proxy = no
# Journalisation
####################################################
log level = 255
log file = /var/log/samba/%m.log
time server = yes
max log size = 50
####################################################
# Interaction avec ClamAV #
####################################################
#vfs object = vscan-clamav
#vscan-clamav: config-file = /etc/samba/vscan-clamav.conf
####################################################
# Interaction avec OpenLDAP #
####################################################
# Identification du serveur LDAP
####################################################
ldap passwd sync = yes
passdb backend = ldapsam:ldap://"IP_SERVEUR_LDAP"/
ldap admin dn = cn=samba,ou=DSA,dc=NOMDOMAIN,dc=FR
ldap suffix = dc=NOMDOMAIN,dc=FR
ldap idmap suffix = ou=Users
idmap gid = 15000-20000
idmap uid = 15000-20000
ldap delete dn = Yes
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap group suffix = ou=Groups
# Connexion
####################################################
#ldap ssl = start tls
# Ajout/supression d'utilisateur
####################################################
add user script = /usr/sbin/smbldap-useradd -m "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
# Ajout/suppression de machine
####################################################
add machine script = /usr/sbin/smbldap-useradd -w "%u"
# Ajout/suppression de groupe
####################################################
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
####################################################
# Définission des partages #
####################################################
# Logon
####################################################
[netlogon]
comment = NetLogon Service
path = /var/lib/samba/netlogon
guest ok = no
read only = yes
browseable = no
# Profiles utilisateurs
####################################################
[profiles]
comment = Profiles utilisateurs
path = /var/lib/samba/profiles
browseable = no
guest ok = Yes
force user = %U
valid users = %U "Domain Admins"
read only = No
profile acls = Yes
writeable = yes
default case = lower
preserve case = no
short preserve case = no
case sensitive = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
write list = @smbusers @root
create mask = 0600
directory mask = 0700
# Répertoires utilisateurs
####################################################
[homes]
comment = Repertoires utilisateurs
path = /home/%U
browseable = no
valid users = %S
read only = no
guest ok = no
inherit permissions = yes
root preexec = /etc/samba/scripts/create_home.sh "/home/%u" "%u" "%g"
|
Last edited by X-Guardian on Fri Mar 02, 2007 8:31 am; edited 1 time in total |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 02, 2007 8:20 am Post subject: |
|
|
| Quote: |
/etc/ldap.conf
HOST "IP_SERVEUR_LDAP"
BASE dc=NOMDOMAIN, dc=FR
URI ldaps://"IP_SERVEUR_LDAP":636/
rootbindn cn=nssldap,ou=DSA,dc=NOMDOMAIN,dc=FR
nss_base_passwd ou=Users,dc=NOMDOMAIN,dc=FR?one
nss_base_passwd ou=Computers,dc=NOMDOMAIN,dc=FR?one
nss_base_shadow ou=Users,dc=NOMDOMAIN,dc=FR?one
nss_base_group ou=Groups,dc=NOMDOMAIN,dc=FR?one
ssl no
pam_password md5
bind_policy soft
nss_reconnect_tries 3
nss_reconnect_sleeptime 1
nss_reconnect_maxconntries 3
|
|
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 02, 2007 8:31 am Post subject: |
|
|
| Quote: |
/etc/nsswitch.conf
passwd: compat ldap
shadow: compat ldap
group: compat ldap
# passwd: db files nis
# shadow: db files nis
# group: db files nis
hosts: files dns
networks: files dns
services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
|
| Quote: |
/etc/nsswitch.ldap
passwd: files ldap
group: files ldap
hosts: files dns ldap
services: ldap [NOTFOUND=return] files
networks: ldap [NOTFOUND=return] files
protocols: ldap [NOTFOUND=return] files
rpc: ldap [NOTFOUND=return] files
ethers: ldap [NOTFOUND=return] files
netmasks: files
bootparams: files
publickey: files
automount: files
aliases: files
sendmailvars: files
netgroup: ldap [NOTFOUND=return] files
|
|
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 02, 2007 8:37 am Post subject: |
|
|
| Quote: |
/etc/pam.d/system-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient /lib/security/pam_ldap.so
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient /lib/security/pam_ldap.so use_authtok
password required pam_deny.so
session required pam_limits.so
session required pam_unix.so
session optional /lib/security/pam_ldap.so
|
|
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 02, 2007 8:45 am Post subject: |
|
|
| Quote: |
/etc/smbldap/smbldap.conf
##############################################################################
#
# General Configuration
#
##############################################################################
SID="S-XXXXXXXXXXXXXXXXXXXXXXXXXX"
sambaDomain="NOMDOMAIN.FR"
##############################################################################
#
# LDAP Configuration
#
##############################################################################
slaveLDAP=""IP_SERVEUR_LDAP""
slavePort="389"
masterLDAP=""IP_SERVEUR_LDAP""
masterPort="389"
ldapTLS="0"
verify="none"
suffix="dc=NOMDOMAIN,dc=FR"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=NOMDOMAIN.FR,${suffix}"
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="SSHA"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
userLoginShell="/bin/bash"
userHome="/home/%U"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="513"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
##############################################################################
#
# SAMBA Configuration
#
##############################################################################
userSmbHome=""
userProfile=""
userHomeDrive=""
userScript=""
mailDomain="NOMDOMAIN.FR"
##############################################################################
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
##############################################################################
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
|
| Quote: |
/etc/smbldap/smbldap_bind.conf
slaveDN="cn=Manager,dc=NOMDOMAIN,dc=fr"
slavePw="MonPassword"
masterDN="cn=Manager,dc=NOMDOMAIN,dc=FR"
masterPw="MonPassword"
|
|
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Sat Mar 03, 2007 12:19 am Post subject: |
|
|
As-tu modifié la base des registres des postes windows pour joindre ton PDC samba ?
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Sat Mar 03, 2007 12:32 am Post subject: |
|
|
Et sur les postes linux, est-ce que les commandes "ldapsearch" et "getent passwd" semblent fonctionner ?
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Fri Mar 16, 2007 9:02 am Post subject: |
|
|
Salut,
J'ai fait quelques modifications :
- Pour les postes sous XP, j'ai changé l'une des valeurs indiqués, mais je n'arrive toujours pas à me connecter : "le chemin réseau est introuvable" ou quelque chose dans le genre.
- Pour les postes sous Linux, "getent passwd root" ne me donne qu'une seule ligne, et "ldapsearch" marche si je lui donne tous les paramètres de recherche.
Sinon, comment avez-vous mis en place votre mécanisme d'authentification ?
@+,
Guile. |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Fri Mar 16, 2007 10:52 am Post subject: |
|
|
| X-Guardian wrote: | | - Pour les postes sous XP, j'ai changé l'une des valeurs indiqués, mais je n'arrive toujours pas à me connecter : "le chemin réseau est introuvable" ou quelque chose dans le genre. |
Bah il n'y en a qu'une à modifier (enfin si mes souvenirs sont bons), c'est requiresignorseal qu'il faut mettre à 0 (toujours si mes souvenirs sont bon  ).
Essaye la config suivante :
Stoppe le serveur LDAP :
| Code: | | /etc/init.d/slapd stop |
| /etc/openldap/slapd.conf wrote: | include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
#Assure-toi d'avoir bien créé les certificats SSL
TLSCertificateFile /etc/ssl/ldap.pem
TLSCertificateKeyFile /etc/openldap/ssl/ldap.pem
TLSCACertificateFile /etc/ssl/ldap.pem
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
access to attrs="userPassword"
by dn="uid=root,ou=Users,dc=PACTHAINAUT,dc=FR" write
by anonymous auth
by self write
by * none
access to *
by dn="uid=root,ou=Users,dc=PACTHAINAUT,dc=FR" write
by * read
database ldbm
suffix "dc=PACTHAINAUT,dc=FR"
rootdn "cn=Manager,dc=PACTHAINAUT,dc=FR"
rootpw {SMD5}Truc crypté
directory /var/lib/openldap-ldbm
index objectClass eq |
Lance le serveur LDAP :
| Code: | | /etc/init.d/slapd start |
Normalement le ldapsearch (tout court) devrait donné un résultat (sans afficher les mots de passe)
Tu me dis si c'est ok et on continue
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Tue Mar 20, 2007 9:39 am Post subject: |
|
|
Salut,
Désolé pour la réponse tardive ... toujours autant de problème avec notre ligne adsl ...
Bon, j'ai réussi à connecter les clients sur mon domaine.
Mon erreur était assez simple, ne pas mettre de "." pour le WORKGROUP ...
Pour le moment, c'est encore inutilisable, je n'arrive pas à créer de profil itinérant pour les utilisateurs.
- Soit le client m'indique que le profil existant n'est pas sécurisé.
Pourtant, le profil est créé à partir du poste client, avec les droits de l'utilisateur cible.
Le tout est déposé sur un partage du serveur, dont le repertoire est créé avec les droits de cet utilisateur.
- Soit, pour un nouvel utilisateur, il me répond qu'il ne peux accéder au partage (problème de droit), mais me créait bien le dossier utilisateur dans le partage, et je peux en tant que cet utilisateur créer/supprimer/modifier ...
Concernant ldapsearch :
Sans activer le SSL, il me répond :
| Quote: | | ldap_bind: Can't contact LDAP server (-1) |
En "activant" le SSL, j'ai le droit à :
| Quote: |
ldap_bind: Can't contact LDAP server (-1)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
|
J'ai du soucis avec le certificat, du notament au fait que certaines lignes du PDF de IDEALX sont tronqués, du coup je n'arrivais pas à trouver comment il créait le .pem.
Au début, j'ai utilisé cette méthode, trouvé sur le net, mais j'obtiens le message d'erreur ci-dessus.
| Quote: | | cd /etc/ssl && openssl req -config /etc/ssl/openssl.cnf -new -x509 -nodes -out ldap.pem -keyout /etc/openldap/ssl/ldap.pem -days 999999 |
Bon, là comme j'ai récupéré le net depuis 20 minutes, je vais y jeter un oeil dès que je le pourrais.
@+,
Guile. |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Tue Mar 20, 2007 1:55 pm Post subject: |
|
|
Pour les certificats SSL c'est bon.
As-tu remplacé tes fichiers de configuration par ceux que je t'es suggéré ?
EDIT : quelles sont les droits sur les certificats ?
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Tue Mar 20, 2007 2:17 pm Post subject: |
|
|
Salut,
Les fichiers de conf me semblent bon.
(Heu ... En fait, je voulais éviter de mettre le vrai domaine, c'est pour cela que j'avais mis "NOMDOMAIN" dans les exemples ... désolé)
Les certificats sont en mode lecture/écriture pour root, et lecture pour les autres.
Voilà.
@+,
Guile. |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Tue Mar 20, 2007 3:48 pm Post subject: |
|
|
| X-Guardian wrote: | | Les fichiers de conf me semblent bon. |
Si tu as conservé les fichiers que tu as posté, c'est normal que ça ne marche pas, car il y a plusieurs erreurs !
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Tue Mar 27, 2007 7:40 am Post subject: |
|
|
Salut,
Heu ... zarb, il me semblait avoir répondu il y a déjà quelques jours ... zut, j'ai du oublier "d'envoyer" et j'ai fais autre chose ensuite ...
Enfin ...
Tony Clifton -> J'ai modifié pas mal les fichiers de conf depuis lors (en fait, je ne fais que cela ^^)
Je galère pas mal avec ssl, même si je ne vois pas toujours pourquoi ...
Les "ldapsearch" marchent très bien sur toutes les machines.
Par contre, Samba/smbldap ralent toujours autant pour la connexion due au SSL/TLS.
Pas de soucis dès que je désactive la fonction des 2 cotés. (Mais ce n'est pas le but non plus)
Je vais voir pour poster logs/messages d'erreur/fichiers de conf dans la journée. Si on m'en laisse le temps ...
Edit : Voilà à titre d'exemple l'erreur que me retourne smbldap-populate :
| Quote: |
erreur LDAP: Can't contact master ldap server (IO::Socket::INET: connect: Connexion refusée) at /usr/sbin//smbldap_tools.pm line 270.
|
Je précise bien que si je fais "ldapsearch" seul ou avec des options, cela marche sans problème.
Par contre si je force la connexion sécurisée avec les options "-zZ", alors il me répond :
| Quote: |
ldap_start_tls: Can't contact LDAP server (-1)
|
@+,
Guile. |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Tue Mar 27, 2007 8:06 am Post subject: |
|
|
As-tu bien mis : "passdb backend = ldapsam:ldaps://"IP_SERVEUR_LDAP"/"
Vérifie que tu as bien compilé samba avec ldapsam (normalement oui puisqu'il marche sans SSL, mais j'avais eu des soucis avec certains ebuilds qui ne proposaient plus ce flag).
Et dernière vérif, as-tu bien fait le "smbpasswd -w passwd" ?
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Tue Mar 27, 2007 8:35 am Post subject: |
|
|
Salut,
Exact, je n'avais pas mis le "s".
Seulement maintenant Samaba refuse de redémarrer, il n'arrive pas à correspondre avec LDAP :
| Quote: |
Failed to issue the StartTLS instruction: Can't contact LDAP server
[2007/03/27 10:36:46, 1] lib/smbldap.c:another_ldap_try(1150)
|
Edit :
autre problème lorsque je refais un "net getlocalsid" suite à une erreur vue dans le log : '/var/log/samba/smbd.log'
| Quote: |
2007/03/27 10:40:05, 0] lib/smbldap.c:smb_ldap_start_tls(612)
Failed to issue the StartTLS instruction: Operations error
[2007/03/27 10:40:06, 0] lib/smbldap_util.c:smbldap_search_domain_info(249)
smbldap_search_domain_info: Adding domain info for LOCAL failed with NT_STATUS_UNSUCCESSFUL
|
|
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Tue Mar 27, 2007 8:55 am Post subject: |
|
|
Re,
Bon, en fait Samba démarre un peu comme il veut, mais continue tout le temps a me mettre la même ereur dans les logs :
| Quote: |
Serv_Archives guardian # /etc/init.d/samba restart
* samba -> stop: smbd ... [ ok ]
* samba -> stop: nmbd ... [ ok ]
* samba -> start: smbd ... [ ok ]
* samba -> start: nmbd ... [ ok ]
Serv_Archives guardian # /etc/init.d/samba restart
* samba -> stop: smbd ... [ !! ]
* samba -> stop: nmbd ... [ ok ]
* samba -> start: smbd ... [ !! ]
* samba -> start: nmbd ... [ ok ]
* Error: stopping services (see system logs)
* samba -> stop: smbd ... [ !! ]
* samba -> stop: nmbd ... [ !! ]
Serv_Archives guardian # /etc/init.d/samba restart
* samba -> start: smbd ... [ !! ]
* samba -> start: nmbd ... [ ok ]
* Error: stopping services (see system logs)
* samba -> stop: smbd ... [ ok ]
* samba -> stop: nmbd ... [ !! ]
Serv_Archives guardian # /etc/init.d/samba restart
* samba -> start: smbd ... [ ok ]
* samba -> start: nmbd ... [ ok ]
|
Et ainsi de suite (je précise que je lance les commandes les unes à la suites des autres).
J'ai donc un soucis avec TLS (du moins c'est ce dont j'ai l'impression).
Même directement sur le serveur, la commande :
| Quote: |
ldappasswd -x -h localhost -D "cn=Manager,dc=pacthainaut,dc=fr" -s MonPassword;) -W cn=samba,ou=DSA,dc=pacthainaut,dc=fr -W -d 255
|
me retourne une erreur :
| Quote: |
Enter LDAP Password:
ldap_create
ldap_url_parse_ext(ldap://localhost)
ldap_bind
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_close_socket: 3
ldap_perror
ldap_bind: Can't contact LDAP server (-1)
|
Avec "localhost", ou l'IP, ou le nom complet du serveur, suffixe ou non.
@+,
Guile. |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Tue Mar 27, 2007 9:39 am Post subject: |
|
|
| X-Guardian wrote: | | Quote: |
ldappasswd -x -h localhost -D "cn=Manager,dc=pacthainaut,dc=fr" -s MonPassword;) -W cn=samba,ou=DSA,dc=pacthainaut,dc=fr -W -d 255
|
me retourne une erreur :
| Quote: |
Enter LDAP Password:
ldap_create
ldap_url_parse_ext(ldap://localhost)
ldap_bind
ldap_simple_bind
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_close_socket: 3
ldap_perror
ldap_bind: Can't contact LDAP server (-1)
|
|
Tu n'es pas en SSL !
envoie les fichiers de config suivant :
/etc/openldap/slapd.conf
/etc/openldap/ldap.conf
/etc/conf.d/slapd
/etc/ldap.conf
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
Leander256
l33t
Joined: 05 Jul 2003
Posts: 910
Location: Singapour
|
| Posted: Tue Mar 27, 2007 12:24 pm Post subject: |
|
|
| Jute une petite remarque, de mémoire il me semble qu'on peut aussi établir une connexion sécurisée par le port 389 en utilisant TLS, ce qui fait qu'en fonction des capacités du client, le serveur utilisera ou non l'encryption sur la communication. |
|
| Back to top |
|
|
Tony Clifton
l33t
Joined: 07 Jul 2004
Posts: 686
Location: Rennes
|
| Posted: Tue Mar 27, 2007 5:16 pm Post subject: |
|
|
J'ai jamais essayé, mais oui ça doit effectivement être possible (comme sur un serveur mail)
_________________
La seule certitude que j'ai, c'est d'être dans le doute ! P. Desproges |
|
| Back to top |
|
|
X-Guardian
Tux's lil' helper
Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France
|
| Posted: Wed Mar 28, 2007 8:04 am Post subject: |
|
|
Salut,
Merci de vos réponses
Je vous envoie tout cela dès que possible.
J'ai envie de finir ce projet, même si je compte bientôt quitter mon emploi :/
@+,
Guile. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
