VOILA ca marche !!!!
 
creation d'un pdc samba avec LDAP:
 
Vous pouvez donc administrer un controleur de domaine samba3 avec une interface web LAM.
Les utilisateurs, groupes et ordinateurs sont dans un annuaire LDAP.
 
L'installation semble plus facile à installer avec une debian SID ou ETCH
 
 
EDIT du 13 mai:
 
 
Toute la documentation nécessaire est maintenant entierement disponible sur le wiki
 
http://damstux.free.fr/wiki/
 
http://damstux.free.fr/wiki/index. [...] Samba_LDAP
 
pour l'instant j'ai bloqué la création des comptes et la modification des anonymes, si vous voulez un compte dites le moi par MP

Ben moi ça m'intéresse !
J'y ai passé un peu de temps sans trouver une solution pour tous mes problèmes...
 
Ma problématique est simple : J'ai 70 petit PDC avec chaqu'un leur domaine Windows. LE pbl c'est que mes utilisateurs demande de la mobilité, logique !
donc pour cela auth sur une base unique (UID/GID unix et SID/RID Windows)  
--> donc LDAP
 
Mon problème c'est que je dois stocker les infos d'autentification dans LDAP pour Linux et samba !
Bah oui, coté Linux je gère des droits, ACL et quotas sur mes FileSystem (ReiserFS) et quitte a avoir un homogénéité, autant quelle y soit aiss pour les droits/quotas des utilisateurs !
 
 

 
Qu'est ce que tu veux faire exactement ?  Gérer des droits sur des dossiers ? des partages ? mettre des quotas ?  
T'as un seul serveur ? tes utilisateurs sont connectés dessus ?

j'ai un seul serveur, pour l'instant ya juste l'authentifaction pour les postes linux, j'ai pas encore mis en place samba+ldap.
 
pour info tu geres comment ton annuaire ldap ? ca doit etre enorme avec 70pdc

jaii un message d'erreur quand je veux connaitre le sid du domaine meme si je l'obtiens quand meme
 
root@shuttle:~# net getlocalsid
[2005/10/19 21:02:57, 0] lib/smbldap.c:smbldap_connect_system(852)
  failed to bind to server ldap://127.0.0.1/ with dn="cn=admin,dc=shuttle,dc=com" Error: Invalid credentials
 
[2005/10/19 21:03:13, 0] lib/smbldap.c:smbldap_search_suffix(1176)
  smbldap_search_suffix: Problem during the LDAP search: (unknown) (Timed out)
SID for domain SHUTTLE is: ...............................................

 
 
Pour le moment chaque PDC a ses propres compte Unix et samba dans ons domaine. C'est pour ça que c'est le bronx. Mon but est de recréé tous les utilisateurs sur un LDAP qui authentifiera aussi bien coté samba qu'Unix !
En parallèle, en cas de coupure du seerveur LDAP (ou de la liaison WAN) je pense répliquer la branche des users "fixe" du domaine sur chque serveur samba de chque site.
En d'autre terme, si le LDAP primaire avec tous les compte n'est pas dispo, on pass en fallback sur le réplique local qui est sur le site.
 
Pour le moment ce n'est qu'au stade de projet. A terme, je pense qu'il vaut mieux que je mette tous les utiliateurs dans 1 seul domaine donc migration avec relation d'approbation entre le site à migrer et le site central pour faire site par site. Au final un seul LDAP avec tous les comptes de la boite
+ flexible, +  mobile et surtout + administrable !
 
Pour le SID, t'es sur il est dans ton LDAP ? il est pas encore dans les tdb ? Si t'as pas d'auth samba dans LDAP, il est probable que le SID soit encore dans un tdb

quotas sur mes FileSystem (ReiserFS)
 
Je croyais que l'on ne pouvait pas avec du ReiserFS ca a changé non ???

Sur les SuSE, les quotas sur du reiserFS ça roule.
SuSE 9.2 --> kernel 2.6.8 dans mon cas
 

 
 
bein en fait dans lam, il me demande le sid quand je veux creer mon domaine samba.
 
mais bon je peux pas tester si mon samba marche car je rentre chez moi que ce week-end, je suis juste en ssh

bon je suis de  retour, je n'ai pas trop progressé:
voici mon smb.conf
[global]
workgroup = shuttle
netbios name = shuttle
server string = Samba-LDAP PDC Server
domain master = yes
domain logons = yes
os level = 40
#unix password sync = Yes
passwd program = /usr/sbin/smbldap-passwd ?u %u
passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1:389/
ldap admin dn = cn=admin,dc=shuttle,dc=com
ldap suffix = dc=shuttle,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = yes
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-groupadd -p "%g"
ldap ssl = No
restrict anonymous = no
preferred master = no
max protocol = NT
server signing = Auto
 
 
sous windows, quand je veux me connecter au domaine:
je  mets shuttle, il me demande un mot de passe, je mets ceuli de root, tout est bon: "bienvenue dans le domaine shuttle"
 
donc je me dis tout est bon, sauf que quand  je reboote pour valider, au login de la session je dis ouverture sur le domaine shuttle, et il me dit, "nom double sur le reseau" et je ne peux pas me logguer, j'ai "le domaine shuttle n'est pas disponible"
 
 

bien que tout le monde s'en moque je signale que j'y suis arrivé, que tout fonctionne apparement bien, je mets mon smb.conf. je dois faire une doc dessus donc je la mettrais en ligne quand j'aurai fini
#### Debut du fichier #####
[global]
workgroup = domaine
netbios name = shuttle
server string = Samba-LDAP PDC Server
domain master = Yes
local master = Yes
domain logons = Yes
os level = 40
#unix password sync = Yes
#passwd program = /usr/sbin/smbldap-passwd ?u %u
#passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=admin,dc=shuttle,dc=com
ldap suffix = dc=shuttle,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=People
ldap machine suffix = ou=Machines
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"  
logon path = \\%L\profile\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
#character set = iso8859-1
#domain admin group = @admin
dns proxy = No
wins support = Yes
hosts allow = 192.168.0. 127.
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
 
 
 
#
[netlogon]
path = /home/netlogon
writable = No
browseable = No
write list = Administrateur
#
[profile]
path = /home/export/profile
browseable = No
writeable = Yes        
profile acls = yes  
create mask = 0700    
directory mask = 0700
 
#
[homes]
comment = Repertoire Personnel
browseable = No
writeable = Yes
#
[partage]
comment = Repertoire commun
browseable = No
writeable = Yes
public = No
path = /home/partage
#### Fin du fichier ####  
 

Beau boulot Si tu peux faire une doc su la mise en place d'un LDAP + Authentification + Samba, tu seras genial

oui je vais le faire, pas de souci, juste 1 ou 2 truc a regler:
toutes les machines peuvent se connecter a mon domaine, je comprends pas pourquoi, normalement seules les machines que j'ai mis dans mon ldap devraient pouvoir (pc1$ ....)
 
enfait mes machines se rajoutent automatiquement dans mon ldap

flag pour plus tard

salut dam1330,
 
meme si pas beaucoup de personnes ne repond , ce topic reste tres interessant.
je me suis interessé a LDAP ( et j'ai re-essayé avant-hier ), et c'est toujours la misere en fait  
j'ai toujours du "ldap_sasl_interactive_bind_s : qqchose" , tu semble avoir eu des erreurs du meme style , qu'as tu fait pour depasser ça ??
 
merci d'avance.  

enfait il je ne me sers pas des outils ldapadd .....
 
la commande slapcat te retourne quoi ?  
et celle la (remplace mondomaine.com) ?
ldapsearch -x -b "dc=mondomaine,dc=com" "objectclass=*"

oula... va falloir que je reinstalle tout , parce  qu'en fait actuellement , j'ai tout viré !
 
j'avais contruit mon fichier LDIF d'utilisateurs ( LDAP pour authentification ) créé avec les migrationtools
et impossible ensuite avec un truc du genre "ldapadd -D "cn=admin,dc=chezmoi,dc=fr" -w toto -f test.ldif" avec toute les options possibles et inimaginabes
toujours un ldap_sasl_interactive_bind_s.
 
je vais remettre ca en place, et je te tien sau courant ( meme si cela ne fera pas avancer ton serveur LDAP )
 

Well done !
Je vais essayer de m'y attaquer d'ici le mois prochain sur une SuSE 9.2.
Le temps de monter une maquette car j'ai un PDC avec 400 comptes qui est éligible pour ce type de migration

Merci, j'essaye ca ce week end

drapalized

Merci pour le topic, drapal

flag, je vais tester

flag, je vais étudier ça apres les vac'

Documentation
 
http://damstux.free.fr/wiki/index. [...] Samba_LDAP

Meric pour la doc. Juste une petite remarque, quand tu met  

 
En fait cette commande permet de stocker dans le secret.tdb le mot de passe de l'utilisateur admin qui a les droits de mises à jour dans LDAP.
Le but étant de ne pas laisser les mots de passes en clair dans les fichier de conf je suppose.
 
Donc quand Samba veut attaquer LDAP, il utilise la variable "ldap admin dn = cn=toto,dc=doamin,dc=tld" du smb.conf + le password contenu dans secret.tdb.
 
De mon coté j'ai réussi aussi sur une SuSE 9.2 grace à cette doc : http://www.opensuse.org/Howto_setu [...] S_and_CLAM
J'ai pas mise en place le coté DynDNS et Dhcp, mais la partie LDAP fonctionne nikelle !

ok, quand j'essaye de me connecter a LDAP avec JXplorer_LDAP_Browser par exemple avec anonymous ca marche,mais quand je mets admin + mot de passe je me fais ejecter:
javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN]

c'est surprenant je n'arrive a me connecter en admin qu'avec LAM, je me fais jeter avec tous les autres clients, ca ne  marche qu'en anonyme ...

Perso j'ai juste mis mon serveur samba en member serveur de l'AD. Je m'authentifie tant sous linux que sous windows via l'AD.
L'intéret de ceci serait de migrer les serveurs linux vers des serveurs windows, pas d'intégrer les deux si j'ai bien pigé?
 
Sinon c'est très intéresant!

heu l'inverse plutot !!
la chez moi ya qu'un serveur linux tout seul, pas d'AD

OK c'est bien ca, virer les serveurs microsoft pour mettre un serveur linux. Une petite question, est-ce que ta démarche permettrais de répliquer avec un serveur 2003 par exemple?

heu aucune idee, mais ldap ne propose pas les meme fonctionnalités que AD:  j'ai trouvé ces topic:
 
http://forum.hardware.fr/hardwaref [...] 0059-1.htm
http://forum.hardware.fr/hardwaref [...] 7965-1.htm
http://forum.hardware.fr/hardwaref [...] 2144-1.htm
 
je connais pas tellement win2003

Perso je sui tombé la dessus et je pense que ca répond assez à ma question. Il faudra probablement attendre samba4 avant d'avoir une intégration plus poussée.
 
http://ftp.easynet.be/samba/devel/roadmap-4.0.html

je pense aussi, samba3 se comporte comme un nt4 et c'est deja pas mal.
 
y a pas une date (juste une idee) pour samba4 ? quelques mois ? 2ans ? plus ?

 
Pas de date encore. C'est prometteur en tout cas

y a pas un volontaire pour la svn ?
 
j'essaierai bien mais comme il doit rien avoir de documenté je vais etre perdu

rox topic !

 
Est ce que t'as mis des ACL dans ton slapd.conf ?
Afin de debugger, tu peux tenter un  

Pour tester, histoire de donner les droits en lecture sur l'annuaire.
Même si c'est du read, il faut ensuite protéger un mini les accès.

ok,  j'ai pas mal triffouillé dans tous les sens, maintenant ca marche.
 
j'ai trouvé un logiciel bien: luma
c'est une application en QT, elle permet de creer facilement plein d'utilisateurs d'un coup en gérant automount.
 
 
je vais me pencher sur l'automount, pour que mes clients linux disposent d'un home sur le serveur qui soit moné au login

pour ceux qui veulent gerer les authentifications avec LDAP pour leur site web, voici le contenu dans .htaccess qui fonctionne:
 

 
le module est deja installé pour apache2 sur ma debian, il n'y a qu'a creer un lien pour l'activer:
 ln -s /etc/apache2/mods-available/auth_ldap.load /etc/apache2/mods-enabled/  
 
puis on relance le serveur /etc/init.d/apache2 restart
 
si quelqu'un sait comment on se sert d'autofs qu'il me fasse signe:
pour l'instant j'ai:
- mis le schema autofs
- créé des utilisateurs avec LUMA (cf post + haut)
- essayé de parametrer /etc/export
- essayé de paramétrer /etc/autofs.master
 
mais ca ne marche pas du tout: si vous avez de la doc ...

Arf, ca m'interesse ca, j'avais essaye de me lancer (avec le howto de idealx) : mais le truc etait base sur redhat et je tournais sous debian