Skip to Content

Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

sam, 01/09/2007 - 14:15 — Tony

But de ce document

Ce document me sert de mémo pour mettre en place un contrôleur de domaine avec Samba et une authentification des comptes Linux/Samba avec LDAP.

J’ai testé ce mémo sur une Debian ETCH.

Installation d’OpenLDAP

# aptitude install slapd ldap-utils

Questions posées lors de l’installation de slapd

Questions Réponses
Nom de votre organisation mondomaine.net
Mot de passe de l’administrateur monmotdepasse
Module de base de données à utiliser BDB
Faut-il supprimer la base de données à la purge du paquet ? NON
Faut-il déplacer l’ancienne base de données ? OUI
Faut-il autoriser le protocole LDAPv2 ? OUI

Lors de l’installation du paquet slapd, le domaine à gérer (ex : mondomaine.net) et le mot de passe de l’administrateur sont demandés. Ce dernier est stocké directement dans la base LDAP.

Remarque : Après la configuration du paquet slapd, la base de données sera initialisée dans « /var/lib/ldap ». Si vous souhaitez changer la racine de votre arbre ldap, il est conseillé d’arrêter le serveur ldap, supprimer le dossier « /var/lib/ldap » et de re-configurer le paquet avec la commande :

# dpkg-reconfigure slapd

Ensuite, il faut ajouter la ligne suivante dans « /etc/ldap/slapd.conf » :

include         /etc/ldap/schema/samba.schema

Remarque  : Le paquet suivant permet de récupérer le schéma ldap pour samba :

# aptitude install samba-doc
# cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/
# gunzip /etc/ldap/schema/samba.schema.gz

Pour finir, il faut démarrer ou re-démarrer le serveur :

# /etc/init.d/slapd start

Une fois le serveur ldap initialisé et démarré la base doit contenir les deux entrées suivantes :

- dc=mondomaine,dc=net

-- cn=admin

Attention : si ce n’est pas le cas, il faut recommencer l’installation et purger la base avant de continuer. Vous pouvez le vérifier avec cette commande ou en passant par phpldapadmin :

ldapsearch -x -b "dc=mondomaine,dc=net"

Installation de phpldapadmin pour consulter et modifier l’annuaire LDAP

Le paquet «  phpldapadmin  » permet de consulter et de modifier la base de données LDAP en mode Web. Cette installation n’est pas obligatoire, mais phpldapadmin permet de consulter la base ldap et de vérifier que tout se passe correctement :

# aptitude install phpldapadmin

Ensuite, l’accès se fait à cette adresse depuis un navigateur :

http://VotreServeurLDAP/phpldapadmin/

Installation de Samba

# aptitude install samba-doc samba samba-client

Voici un exemple de fichier de configuration de Samba « /etc/samba/smb.conf » avec l’authentification LDAP et un simple partage :

[global]

  workgroup = VotreDomaine

  dns proxy = no

  log file = /var/log/samba/log.%m

  max log size = 1000

  syslog = 0

  panic action = /usr/share/samba/panic-action %d

  security = user

  ldap passwd sync = Yes

  passdb backend = ldapsam:ldap://127.0.0.1/

  ldap admin dn = cn=admin,dc=votredomaine,dc=com

  ldap suffix = dc=votredomaine,dc=com

  ldap group suffix = ou=Groups

  ldap user suffix = ou=Users

  ldap machine suffix = ou=Computers

  add user script = /usr/sbin/smbldap-useradd -m "%u"

  ldap delete dn = Yes

  delete user script = /usr/sbin/smbldap-userdel "%u"

  add machine script = /usr/sbin/smbldap-useradd -w "%u"

  add group script = /usr/sbin/smbldap-groupadd -p "%g"

  add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"

  delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

  set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

  logon path =

  logon home =

  socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

  case sensitive = No

  default case = lower

  preserve case = yes

  short preserve case = Yes

  socket options = TCP_NODELAY

#======================= Share Definitions =======================

[samba]

       path = /Samba

       browseable = yes

       writable = yes

       valid users = tony

Connecter Samba et LDAP

La commande suivante permet d’indiquer le mot de passe de l’admin de l’annuaire LDAP à Samba :

smbpasswd -w votremotdepasse

En cas de modification de mot de passe, vous pouvez le changer avec cette commande :

etch:/home/tony# smbpasswd
New SMB password:
Retype new SMB password:

Une fois que Samba connaît le mot de passe de l’admin LDAP, le redémarrage de Samba doit être instantané :

# /etc/init.d/samba restart

Lors du démarrage, la clé « sambaDomainName=VotreDomaineSamba » est automatiquement créée dans l’annuaire LDAP.

Pour information, ce mot de passe est stocké dans « /var/lib/samba/secrets.tdb »

Installation et configuration de smbldap-tools

Installation :

# aptitude install smbldap-tools

Le paquet « smbldap-tools » n’étant pas directement opérationnel, il faut le configurer comme c’est indiqué dans le « README.Debian » :

$ zless /usr/share/doc/smbldap-tools/README.Debian.gz
Dans ce document, il est indiqué de mettre en place deux fichiers de configuration :
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf

Récupération du SID du serveur Samba actif :

# net getlocalsid
SID for domain TTLINUX1 is: S-1-5-21-1823372447-3251260116-3214873863

Remarque 1  : Aucun message d’erreur ne doit apparaître avec la commande précédente.

Configuration des fichiers suivants dans « /etc/smbldap-tools/smbldap.conf » :

Remarque 2 : Le paquet « smbldap-tools » est approprié pour récupérer les comptes d’un serveur Windows pour les intégrer dans LDAP. De son coté, le paquet «  migrationtools  » est approprié pour récupérer les comptes d’une machine Linux (ex : un serveur NIS) pour les intégrer dans LDAP.

Configuration de smbldap_bind.conf

Indiquer dans le fichier « /etc/smbldap-tools/smbldap_bind.conf » le nom et le mot de passe de l’administrateur ldap.

ATTENTION : Dans ce fichier, le mot de passe est indiqué en clair. Il faut donc changer les droits de celui-ci par mesure de sécurité :

# chmod 600 /etc/smbldap-tools/smbldap_bind.conf

Configuration de smbldap.conf

Dans le fichier « /etc/smbldap-tools/smbldap.conf », il faut indiquer le bon domaine sur les lignes concernées et il faut également indiquer le SID trouvé précédemment :

SID="S-1-5-21-1823372447-3251260116-3214873863"
...
suffix="dc=votredomaine,dc=net"
...
sambaUnixIdPooldn="sambaDomainName=VotreDomaineSamba,${suffix}"
...
mailDomain="votredomaine.net"

Initialisation de la base de données LDAP

La commande suivante permet d’initialiser la base de données LDAP :

# smbldap-populate

Attention : aucune erreur ne doit apparaître. En cas d’erreur, il est possible de corriger le problème de configuration et de relancer cette commande.

Créer un nouvel utilisateur

La commande suivante permet de créer un nouvel utilisateur (sur Testing) :

# smbldap-useradd -a -P -c "toto DUPONT" toto

Sous Sarge, le paramètre « -c » n’est pas reconnu :

# smbldap-useradd -a -P toto

Remarque  : Après la création du compte et pour éviter que le mot de passe expire au bout de 3 semaines, il faut supprimer manuellement l’attribut «  SambaPwdMustChange  » avec par exemple «  phpldapadmin  ».

La commande suivante permet de vérifier que cet utilisateur arrive bien à se connecter aux partages samba :

# smbclient -L \\ServeurSamba -U toto  

La commande suivante permet de supprimer un utilisateur :

# smbldap-userdel toto

Remarque 1 : Vous trouverez plus d’informations sur les commandes précédentes dans les pages de man.

Remarque 2 : Pour modifier les valeurs par défaut, il faut modifier le fichier « /etc/smbldap-tools/smbldap.conf ». Personnellement, j’ai commenté dans ce fichier, les lignes «  userSmbHome  », «  userProfile  » et «  userHomeDrive  » et j’ai modifié la ligne « userScript="%U.cmd" » en « userScript="logon.bat" »

Remarque 3 : Pour ajouter un nouvel attribut à l’utilisateur (adresse mail, numéro de téléphone,..) il faut passer par «  phpldapadmin  »

Changer le mot de passe d’un utilisateur

La commande suivante permet de changer en même temps les différents mots de passe stockés dans la base LDAP :

# smbldap-passwd toto

Remarque  : Il est possible de changer les mots de passe de manière individuelle avec «  phpldapadmin  »

Interroger la base de données LDAP

La commande suivante permet d’interroger la base de données LDAP :

$ ldapsearch -x -W -D "cn=admin,dc=votredomaine,dc=net" -h AdresseIPServeurLDAP

Mais le plus simple est encore de passer par «  phpldapadmin  »

Configuration du système NSS (Name Service Switch)

NSS (ou nssiwtch) permet aux applications de savoir où sont stockées les bases de données systèmes pour pouvoir exploiter les informations qu’elles contiennent (Mot de passe, nom de la personne ou de l’ordinateur,..)

Paquet à installer :

# aptitude install libnss-ldap

Remarque : Le paquet « libnss-ldap » permet de faire le lien entre le système «  nssiwtch  » et le système LDAP. Pour cela il utilise le fichier de configuration « /etc/libnss-ldap » et il stocke le mot de passe du serveur ldap dans le fichier « /etc/libnss-ldap.secret ». Pour des raisons de sécurité, il est possible de ne pas stocker le mot de passe (en clair) dans « libnss-ldap.secret  », mais dans ce cas, l’utilisateur root local ne pourra pas changer de mot de passe dans la base LDAP.

Lors de l’installation de ces paquets, il est nécessaire d’indiquer le domaine géré et le mot de passe administrateur de la base LDAP.

Questions Réponses
Hôte du serveur LDAP 127.0.0.1 ou l’adresse IP du serveur LDAP
Nom distinctif de la base dc=mondaine,dc=net
LDAP version to use 3
La base de données demande-t-elle une identification ? Non
special LDAP privileges for root Oui
Le fichier de configuration doit-il être lisible et modifiable uniquement par son propriétaire ? Non
LDAP account for root cn=admin,dc=mondomaine,dc=net
LDAP root account password Pour info, ce mot de passe est stocké dans /etc/libnss-ldap.secret
Modifier nssiwtch manuellement OK
Faut-il créer une base de données locale pour l’administrateur ? Oui

Ensuite, dans le fichier « /etc/nsswitch.conf », il faut ajouter «  ldap  » sur 3 lignes, ce qui donne :

passwd:         compat  ldap
group:          compat  ldap
shadow:         compat  ldap

Remarque  : Certains mémo placent « ldap » avant « compat » pour que la base ldap soit interrogée avant la base locale, mais cela ne change pas grand chose.

La commande suivante permet de vérifier que les utilisateurs de la base LDAP sont correctement ajoutés aux utilisateurs locaux :

# getent passwd
Ces commandes permettent d'interroger les groupes et les machines
# getent group
# getent hosts

La commande suivante permet de vérifier qu’un utilisateur de la base LDAP est bien reconnu :

# id toto

Un bon test consiste également à affecter un utilisateur de la base LDAP sur un fichier

# touch test
# chown toto test
# ls -la test
-rw-r--r-- 1 toto Domain Users 0 2006-07-11 12:52 test

Remarque : Certains mémos indiquent que la configuration de nsswitch est suffisante pour gérer l’authentification et qu’il n’est pas nécessaire de passer par PAM. Personnellement, je n’ai pas compris comment. De plus, ces mémos indiquent que la commande suivante doit retourner le mot de passe crypté, mais dans mon cas, ça ne marche pas ce qui explique peut-être pourquoi l’authentification uniquement avec nsswitch ne fonctionne pas dans mon cas :

# getent shadow

Configuration de PAM

ATTENTION : PAM permet de configurer l’authentification sous Linux. Il n’y a rien à redémarrer après avoir modifié un fichier de configuration de PAM, mais toute erreur peut rendre impossible toute connexion même sous root. Il est donc fortement conseillé d’ouvrir une deuxième session sous root (ex : ALT+F1) avant de toucher à la configuration de PAM et de bien vérifier que les les connexions fonctionnent avant de se déconnecter.

Paquet à installer :

# aptitude install libpam-ldap

Nous allons retrouver les mêmes questions que lors de l’installation du paquet « libnss-ldap »

Questions Réponses
La base de données demande-t-elle une identification Non
Compte du superutilisateur cn=admin,dc=mondomaine,dc=net
Mot de passe
Méthode de chiffrement pour les changements de mots de passe crypt

ATTENTION : Le mot de passe indiqué précédemment est stocké dans le fichier « pam_ldap.conf » mais ce fichier est lisible par tout le monde. Il faut donc changer ses droits pour des raisons de sécurité :

# chmod 600 /etc/pam_ldap.conf

Dans le dossier « /etc/pam.d »,’on retrouve un fichier de configuration pour chaque service (programme) ayant besoin d’une authentification. Il y a également des fichiers commençants par « common-* » qui sont inclus dans les autres fichiers à l’aide de la directive « @include-* ».

Voici un exemple de contenu valable pour « /etc/pam.d/ssh » ou « /etc/pam.d/kdm »

auth       required     pam_env.so
auth       sufficient   pam_ldap.so
auth       required     pam_unix_auth.so use_first_pass
account    sufficient   pam_ldap.so
account    required     pam_unix_acct.so
password   required     pam_cracklib.so
password   sufficient   pam_ldap.so
password   required     pam_pwdb.so use_first_pass
session    required     pam_unix_session.so
session    optional     pam_mkhomedir.so

Remarque  : Concernant la configuration de PAM avec LDAP, des exemples de configuration sont fournis par le paquet « libpam-ldap » dans le dossier « /usr/share/doc/libpam-ldap/examples/pam.d »

Installation d’un cache local avec NSCD pour accélérer les requêtes

Pour éviter que le poste client interroge le serveur LDAP en permanence, il est conseillé d’installer un cache local.

Paquet à installer :

# aptitude install nscd

Remarque  : Le ficher de configuration est « /etc/nscd.conf »

ATTENTION : Sans l’installation de NSCD, je n’ai pas pu faire fonctionner Thunderbird et OpenOffice.org (cf chapitre « Problèmes rencontrés »)

Comment ajouter un nouvel utilisateur à un groupe

Avec phpldapadmin  :

  •  Sélectionner le groupe
  •  Regarder si l’entrée «  memberUID  » est déjà créée
  •  Si elle n’est pas créée il faut la créer en cliquant sur « Ajouter un nouvel attribut »
  •  Si elle est créée, il faut cliquer sur « Ajouter une valeur »
  •  Ensuite, il faut saisir le login de l’utilisateur

    Autoriser un utilisateur du LDAP à ajouter des ordinateurs au domaine

    Par défaut, aucun utilisateur du LDAP n’est autorisé a ajouter ou supprimer des ordinateurs du domaine. En effet, il ne suffit pas d’ajouter un utilisateur au groupe « Administrateur » ou « Administrateur du domaine pour que ça fonctionne. Pour donner ces droits spéciaux à un utilisateur, il faut utiliser cette commande :

    # net -U adminLDAP rpc rights grant 'VotreDomaine\VotreUser' SeMachineAccountPrivilege

    Commentaires :

  •  adminLDAP : Un des membres du groupe « Administrateur du domaine » du LDAP
  •  VotreDomaine : Le nom de votre domaine contenant l’utilisateur à ajouter
  •  VotreUser : Le login de l’utilisateur à ajouter

    Sécurisation du système LDAP

    Pour sécuriser les échanges de mots de passe sur un réseau géré par LDAP, il faut activer le support de SSL dans LDAP. Pour le moment, je n’ai pas encore testé et activé ce système.

    Script ouverture de session

    Voici comment mettre en place les scripts d’ouvertures de sessions pour les clients Windows se connectant au contrôleur de domaine « Samba » :

    Il faut commencer par créer le dossier devant contenir les scripts d’ouvertures de sessions :

    # mkdir /home/netlogon

    Il faut créer le fichier « logon.bat » et le placer dans le dossier « /home/netlogon  ». Voici un exemple :

    net time \\cielinux1 /set /yes
    net use u: \\cielinux1\Utilisateurs

    Problèmes rencontrés

    Problème avec Thunderbird et OpenOffice.org

    Sans l’installation de NSCD, je n’ai pas plus faire fonctionner Thunderbird, car j’obtenais systématiquement une erreur de segmentation. Alors qu’il fonctionnait très bien avec un utilisateur local non créé dans la base LDAP :

    $ /opt/thunderbird/thunderbird
    /opt/thunderbird/run-mozilla.sh: line 131:  5029 Erreur de segmentation  "$prog" ${1+"$@"}

    J’obtenais également un blocage de OpenOffice.org dés que celui-ci avait besoin de Java. Alors qu’il fonctionnait très bien avec un utilisateur local non créé dans la base LDAP.

    Il est donc important d’installer le cache local « nscd » pour faire fonctionner OpenOffice.org et Thunderbird

    Problème de connexion en root quand le serveur LDAP n’est pas joignable

    Quand le serveur LDAP n’est pas joignable, et avec une configuration par défaut, il faut attendre environ 5mn (exactement (1+2+4+8+16+32+64)x2=254s) pour que le mot de passe root soit accepté. En effet, le système recherche le mot de passe sur le serveur LDAP et au bout de nombreuses tentatives finit par rechercher en local.

    Pour info, voici un extrait des messages de « /var/log/auth.log » :

    Jul 10 12:25:04 pgtest su[5052]: nss_ldap: could not connect to any LDAP server as
    cn=admin,dc=tetras,dc=net - Can't contact LDAP server
    Jul 10 12:25:04 pgtest su[5052]: nss_ldap: failed to bind to LDAP server ldap://192.0.0.3: Can't
    contact LDAP server
    Jul 10 12:25:04 pgtest su[5052]: nss_ldap: reconnecting to LDAP server (sleeping 64 seconds)...

    Pour éviter cette attente, et pour un ordinateur portable, il est conseillé de modifier la ligne suivante dans « /etc/libnss-ldap.conf » :

  •  Mettre « bind_policy soft » en dessous de « #bind_policy hard »

    Problème de déverrouillage avec des comptes LDAP

    Avec les utilisateurs LDAP, il était impossible de les déconnecter. J’avais le message d’erreur suivant :

    Jul 10 17:01:13 pgtest kcheckpass: (pam_unix) authentication failure; logname= uid=1000 euid=0
    tty=:0 ruser= rhost=  user=tony
    Jul 10 17:01:13 pgtest kcheckpass[11077]: Authentication failure for tony (invoked by uid 1000)

    J’ai essayé de paramétrer sans succès le fichier « /etc/pam.d/kcheckpass ».

    Mais contrairement à ce que le message laisse penser, il ne faut pas paramétrer le fichier « /etc/pam.d/kcheckpass », mais le fichier « /etc/pam.d/kscreensaver ».

    Problème avec les ACL et Konqueror

    Si les ACL sont activées, elles fonctionnement parfaitement même avec les utilisateurs de la base LDAP .

    Cependant, j’ai rencontré le bug suivant en modifiant les ACL avec Konqueror  :

  •  Clic droit sur un fichier ou un dossier et «  Propriétés  » pour modifier ses ACL
  •  Onglet « Droits d’accès » et bouton « Droits d’accès avancés »
  •  La modification des ACL fonctionne parfaitement et est correctement réenregistrée si on fait des modifications dans les droits.
  •  Cependant, si on ne fait aucune modification, le champ mask, passe de « rwx » à « --- »

    Problème avec les profils itinérants

    Par défaut le système samba-ldap est configuré pour gérer les profils itinérants. Si vous voulez désactiver cette fonctionnalité pour les utilisateurs, il faut supprimer l’entrée « sambaProfilePath » en utilisant par exemple «  phpldapadmin  »

    Problème avec les profils itinérants

    Par défaut, samba tente de fournir aux clients Windows un profil itinérant.

    Pour éviter ce problème, il faut mettre ces deux lignes dans « smb.conf »

    logon path =
    logon home =

    Problème avec le script de démarrage

    Lors de la création d’un nouvel utilisateur, je n’arrive pas à forcer par défaut le nom du script de démarrage. J’aimerais mettre par défaut « logon.bat » sur l’attribut «  sambaLogonScript  »

    Problème pour rejoindre le domaine

    Je n’arrivais pas à rejoindre le domaine, car le pare feu sur le serveur était mal configuré.

    Problème pour rejoindre le domaine à cause du cache Wins

    Après avoir changé l’adresse IP du serveur, j’ai eu un problème dans le fonctionnement de Wins avec NMBD. Il continuait à vouloir utiliser l’ancienne adresse « 192.0.0.209 » alors qu’il fallait utiliser la nouvelle « 10.2.2.2 »

    A cause de ce problème, je n’arrivais plus à configurer des postes sous Win 2000 ou Won NT pour les faire rejoindre le domaine.

    [2006/06/20 11:59:17, 0] nmbd/nmbd_browsesync.c:domain_master_node_status_fail(250)
    Jun 20 11:59:17 cielinux1 nmbd[6223]:   domain_master_node_status_fail:
    Jun 20 11:59:17 cielinux1 nmbd[6223]:   Doing a node status request to the domain master browser
    Jun 20 11:59:17 cielinux1 nmbd[6223]:   for workgroup ELOYES at IP 192.0.0.209 failed.
    Jun 20 11:59:17 cielinux1 nmbd[6223]:   Cannot sync browser lists.
    Jun 20 12:03:43 cielinux1 nmbd[6223]: [2006/06/20 12:03:43, 0]
    nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(327)
    Jun 20 12:03:43 cielinux1 nmbd[6223]:   become_domain_master_browser_wins:
    Jun 20 12:03:43 cielinux1 nmbd[6223]:   Attempting to become domain master browser on workgroup
    ELOYES, subnet UNICAST_SUBNET.
    Jun 20 12:03:43 cielinux1 nmbd[6223]: [2006/06/20 12:03:43, 0]
    nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(341)
    Jun 20 12:03:43 cielinux1 nmbd[6223]:   become_domain_master_browser_wins: querying WINS server
    from IP 10.2.2.2 for domain
    master browser name ELOYES<1b> on workgroup ELOYES

    Pour régler ce problème, j’ai supprimé le fichier « /var/lib/samba/wins.dat » qui contenait en cache l’ancienne adresse IP.

    Problème de gestion de profils suite à la mise en place du nouveau domaine

    Pour chaque ordinateur et chaque profil devant se connecter au nouveau domaine, j’ai du recopier les profils. Voici les opérations à faire :

  •  Renommer le profil
  •  Se connecter sur ce profil
  •  Se connecter en admin et recopier les données du profil renommé sur le nouveau profil
  •  Il faut également revoir la gestion des utilisateurs pour mettre les utilisateurs du nouveau domaine

    Création manuelle des ordinateurs pour Windows NT

    Pour les postes sous Windows NT, il est nécessaire de créer manuellement les ordinateurs dans LDAP pour pouvoir les joindre au domaine

    Le compte expire au bout de 3 semaines

    Lors de la création d’un nouveau compte avec la commande « smbldap-useradd », l’attribut «  SambaPwdMustChange  » est ajouté au compte. Cet attribut indique qu’il faut changer le mot de passe avant le temps indiqué (3 semaines). J’ai donc supprimé cet attribut manuellement avec «  phpldapadmin  » pour ne pas être obligé de changer de mot de passe.

    Les droits des fichiers par défaut sont fixés à 755 au lieu de 770 avec ssh/FreeNX

    Avec un accès Windows / Samba, le masque de création est fixé dans le fichier de configuration de Samba, mais avec un accès SSH/Freenx, il est fixé dans le dossier « /etc/profile ».

    Il faut donc mettre « umask 007 » au lieu de « umask 022 » dans « /etc/profile »

    Autres sources de documentations :

    Ces documents m’ont beaucoup aidés pour installer mon premier serveur :

  •  http://damstux.free.fr/wiki/index.php ?title=PDC_Samba_et_LDAP
  •  http://damstux.free.fr/wiki/index.php ?title=Authentification_LDAP

    Historique des modifications

    Version Date Commentaire
    0.1 19/06/06 Création par Tony GALMICHE
    0.2 28/06/06 Mise à jour suite à installation TTLINUX1
    0.3 13/07/06 Mise à jour
    0.4 23/08/06 Mise à jour
    0.5 01/12/06 Ajout « Changer le mot de passe d’un utilisateur »
    0.6 26/08/07 Mise à jour suite à installation serveurs Freedom et mise en ligne
    0.7 10/09/08 Mise à jour

    • Commentaires

    Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Anonyme - 30/08/2008 - 12:55

    Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Anonyme - 30/08/2008 - 12:46

    Bonjour,

    je suis en train de suivre le tuto et je rencontre le probleme suivant lors Récupération du SID du serveur Samba actif.

    [2008/08/30 11:35:57, 0] lib/smbldap_util.c:smbldap_search_domain_info(249) smbldap_search_domain_info : Adding domain into for SERVEUR failed with NT_STATUS_UNSUCCESSFUL

    SID for domain SERVEUR is : S-1-5-21-171667252-3448614376-2778465165

    Apparemment ceci peut arriver quand l’annuaire maître est sur le Lcs mais je n’arrive pas a résoudre le problème.

    Merci d’avance pour votre aide

    Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Anonyme - 21/03/2008 - 20:07

    A priori, il faut utiliser cette commande :
    smbpasswd  -w mot_de_passe_ldap

    et pas seulement :
    smbpasswd

    Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Anonyme - 21/03/2008 - 15:48

    Bonjours,
    en suivant trait pour trait le tuto pour debian, tous ce passe bien jusqu’a ce que j’arrive à ’smbpasswd’ après avoir tappé la commande, ce message d’erreur vin s’inscrire :

  •  "fetch_ldap_pw : neither ldap secret retrieved ! ldap_connect_systeme : Failed to retrieve password from secrets.tdb Connection to LDAP server failed for the 1 try"
    je ne sais trop quoi faire,
    S’il-vous-plais si quelqu’un peu m’aider
    D’avance Merci

    • Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Anonyme - 06/11/2007 - 03:42

    > Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Tony - 27/08/2007 - 13:34

    Comme prévu, j’ai testé ce matin et j’adopte immédiatement :-)

    Je ferai certainement (mais plus tard) un article complémentaire sur LAM.

    > Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    Tony - 26/08/2007 - 18:33

    Merci pour l’info, je ne connaissais pas.

    Je vais installer et tester cette interface dès demain.

    > Contrôleur de domaine avec Samba et LDAP sous Debian ETCH

    gnunux - 26/08/2007 - 16:56

    On utilise lam ( http://lam.sourceforge.net/ ) pour la gestion des comptes/machines. Une fois configuré correctement, c’est le bonheur.