Reprise du message précédent :
tu nous envois tes confs quand ça marche hein?

Au passage comme ça je dirais qu'il faut que tu reste sur une auth ldap pour chaque user (sinon comment peux tu savoir qui tente de se connecter? ).
Cependant avec ntml (ca fait quoi ce truc en fait?), on dirait que tu peux faire de l'auth windows (dans ma tête ca devient windows + ntml = kerberos + single sign on, donc l'auth est bien la, mais transparente puisque faites avec le token de la session sur le domaine).

salut les gens !
me voici de retour !!
 
J'ai pu mettre en place l'ACL externe IP_User de squid !!
Trés intéréssant comme sécurité !!
 
Je vous explik vite fais :
 
Lorsque l'utilisateur ouvre sa page web, l'identité de l'utilisateur est envoyé au proxy (IP + Identifiant)
 
Le proxy match l'ip de la machine avec tout les ip déclarées précédemment dans un fichier de squid. S'il le trouve et que le nom de l'utiliseur qui a ouvert sa session et aussi déclaré à coté, alors il peut afficher la page demandée.
 
Autrement dit, on peut autoriser une seul et unique personne a utiliser un seul poste, ou alors un groupe d'utilisateur déclaré dans l'annuaire à utiliser ce poste!
 
voili voilou !!

Voilà vite fais une explication :    
 
Le protocole NTLM, necessite au préalable d'installer samba. Samba installera en meme temp winbind.
 
Winbind est l’application qui permet de mapper autrement dit de « discuter » avec l’annuaire Active Directory.
 
Tu configures le tout !! "dans smb.conf"
Ensuite tu rattaches ton serveur proxy linux dans l'annuaire AD afin qu'il soit membre. Ceci necessite la configuration du fichier client "kerberos"
 
Lorsque'un utilisateur tentera d'afficher une page web, il passera par le proxy, le proxy utilisera le protocol NTLM et "bindera" avec winbind et a travers un login administretaur l'AD pour verifier que l'utilisateur qui a fait la requete est bien inscrit.  
 
HA OUI ne pas oublier de compiler squid pour qu'il prenne en charge le protocol NTLM. Et ne perdais pas de temps comme moi, toutes les versions antérieures a la 2.5STABLE3 prenne en compte NTLM (au dessus, que dalle )
 
 
 
Tu parle de, "single sign on" qu'est ce donc ceci ?
 

 
Du coté Linux, utiliser le protocol auth LDAP, necessite OBLIGATOIREMENT une fentre d'authentification !! OUI ??? NON ???  
Est ce que quelqu'un a déjà mis ca en place ! et qu'il me reponde franchement     lol !!
 
merci les gens

salut les gens !!
J'ai une colle a vous poser !! héhéhé çà va etre chooo
 
Lorsque j'éxecute cette commande :
 
/usr/local/squid/libexec/squid_ldap_group -b "ou=profils, dc=test" -f "(login=%v)" -B "ou=produits, dc=test" -F "((&(uid=%s)(NOMProduit=%a)" -h ipserveurldap -d 255
 
Il attend que je lui rentre un login et un NOMProduit, du genre :
 
moumouss produit_internet
 
 
Ce qui signifie qu'il va chercher le login (%v) que je lui est rentré dans la branche de l'annuaire "ou=profils, dc=test" que j'ai sépcifié dans ma ligen de commande.
Jusque là tout va bien et ca fonctionne car il trouve l'utilisateur (si bien évidement il est bien déclaré dans l'annuaire en question   )
 
 
Ensuite dans ma branche "ou=profils, dc=test" il y a un uid qui correpsond au login et grace à çà "(uid=%s)" il associe le login avec l'uid  
yahoooooo c'est cool!!!   Et c'est ce que je voulais faire dans un premier temp  
 
 
MAIS MAINTENANT GROS PROBLEME
 
Il va chercher le nom du produit gràce à çà (NOMProduit=%a) avec ce que je lui est rentré au début, c'est à dire "produit_internet", mais il continue à chercher dans la branche "ou=profils, dc=test" au lieu de chercher dans l'autre branche que je lui est indiqué "ou=produits, dc=test"
 
Car dans l'autre branche il y a un uid qui est associé à un NOMProduit.
 
EVIDEMMENT le plus simple aurait été d'associer le login avec le NOMProduitn, mais hélas ce n'est pas le cas.
 
Que faut il que je change dans ma ligne de commande ?!!
 
plizzzz
merci

 
SANS BLAGUE !!
 
t'es pas obligé de crier
 
faut lire sur cette page, tu auras ta réponse

 
Bah d'après ta commande tu le fais chercher dans une base "ou=profils, dc=test" (-b) donc c'est absolument normal. Set ta base sur ta nouvelle ou, ou sur dc=test et adapte le filtre.

reponse a "black_lord"  
 
ok ok c'est cool !!
 
J'ai beau avoir lu ce qui a de marqué, je ne vois pas comment procéder ?
ya pas bcp d'explication!! Alors si ta la réponse ca serait gentile que tu en fasse profiter tout le monde
 
Et conclusion je ne sais toujours pas si ya un moyen d'authentifier les utilisateur du coté openLDAP sans fenêtre !!  
donc si ouiiii comment ?  
Si nooooon, tanpis j'authentifirai coté microsoft !!
 
merci

 
désolé mais je n'y arrive pas !!
 
tu dis que ma "base" déclaré ici
 -b "ou=profils, dc=test"  
est ossi ma base sur mon filtre je pige pas trop, peux tu reformuler plizz    
merci
 
et sinon quel ligne metterai tu !!
 
j'essaye, j'essaye mais il me renvoie toujours "ERR"      
 

Je ne comprend pas la signification de %s et %v
A ce que j'ai pu lire %s = login et %v=uid
 
voila une ligne de commande :  
 
[root@serveur root]# /usr/local/squid/libexec/squid_ldap_group -F "(login=%s)" -b "ou=profils, dc=test" -f "(%u)" -h serveurldap -d 255    
 
moumouss bidul
 
Connected OK
user filter '(login=moumouss)', searchbase 'ou=profils, dc=test'
group filter '(uid=E56874,ou=profils,dc=test)', searchbase 'ou=profils, dc=test'
ERR
 
 
il retrouve bien mon UID, mais il rajoute le DN du login lorsqu'il cherche dans le chemin de l'UID , ce qui est absurde ??
c'est peut etre un peu mal expliker
 
en clair :
çà "(%u)" c'est transformé en çà "(uid=E56874,ou=profils,dc=test)"
et ensuite il cherche çà "(uid=E56874,ou=profils,dc=test)" dans le chemin searchbase 'ou=profils, dc=test'
 
d'ou l'erreur obligatoire !!
 
qqun peut m'aider ?

Personne s'y connais en squid_ldap_group ??? snnif
je cherche je cherche... je test je test...mais ca ne fonctionne pas.
Je pense etre tout prés du but en plus !!
 
En clair,
Je veux verifier dans un premier le login, si le login est bien declaré dans l'annuaire, il associe le login à l'uid. Et enfin il verifie a quel "produit" (c'est à dire un autre "attribut" dans l'annuaire) l'uid est associé.
 
+-------+
|ETAPE 1|
+-------+
 
Verification login
si ok : on continue
si non ok : on bloque
 
+-------+
|ETAPE 2|
+-------+
 
ASSOCIATION login => UID
 
+-------+
|ETAPE 3|
+-------+
 
Vérification uid avec l'attribut "produit"
si ok on affiche enfin la page
si non on bloque  
 
Ce que j'arrive pas à faire c'est l'étape 2 :-(  
 

 
Ce qui est c** c'est qu'apparement il trouve bien l'uid associé au login, mais il ne me renvoie pas ok !  
 
Le login et l'uid sont dans la meme branche dans l'annuaire. L'uid est aussi déclaré dans une autre branche et cette fois ci avec le "produit"
 
plizzzzz

voila pourquoi il remplace cette ligne  
-f "(%u)"
par ceci
(uid=E56874,ou=profils,dc=test)
Il remplace %u par le DN si on utilise -F dans notre commande
 
---------------------------------------------------------------------
L'info est là : http://osr600doc.sco.com/cgi-bin/m [...] nsection=8
---------------------------------------------------------------------
 
LDAP search filter used to search the  LDAP  directory  for  any matching  group memberships.In the filter %u will be replaced by the user name (or DN if the -F or -u options are used) and %g by the requested group name.
---------------------------------------------------------------------
---------------------------------------------------------------------
 
 
mais quelle est l'utilitée de cette chose ?!

mouahahahhaa j'ai trouvé p*tain que c'est bon !!
 
je vous fais un dossier comme promis ce w-e ou dans les prochains jours, merci de m'avoir écouté en tout cas
biz

merci

Bonjour,
 
J'ai un petit soucis.
 
J'ai installé Samba 3 comme controleur de domaine.
 
Mais lorsque j'essaye depuis un client sous Windows XP SP2 de rejoindre le domaine, j'ai l'erreur suivante :

 
J'ai bien vérifié l'utilisateur root possède bien un UID=0 donc il devrait être capable d'autoriser un client Windows à rejoindre le domaine.
 
Mercie d'avance.

salut !!
Désolé moi je pourrais pas t'aider !! Je n'ai fais qu'installé samba pour que ma machine soit membre de l'annuaire AD.  
Mais donne nous plus d'indication, l'erreur tu la vois ou ? dans un log ?
 
Moi j'ai une autre question qui n'a rien avoir avec tout çà
Peut ton limiter le temps de connexion d'un utilisateur avec squid ?!!
Genre l'utilisateur ki fous rien, na le droit ka 2minutes de connexion par jour    
 
oui ?? non ??

Ca vient la doc ?

lol laisse moi le temps de la compléter NON MAIS OH

Bonjour à tous.
 
Je suis actuellement en stage et j'ai mis en place un controleur de domaine Samba couplé à un annuaire LDAP. Apres avoir 'ramé' pdt plusieurs jours, j'ai finalement réussi a obtenir un résultat plutôt satisfaisant : Les utilisateurs peuvent se loguer sur une station win98-2000-XP (but recherché Laughing).
 
Je suis confronté à 2 problemes :
1: Les profils itinérant uniquement sur Win98 : le profil est bien uploadé sur le serveur, mais il incomplet. Je m'explique, si je créé un repertoire sur le bureau, y ajoute un fichier texte quelconque (ou tout autre type de fichier), change le fond d'écran, lors de la déconnexion, seul le repertoire sera sauvegardé sur le serveur. Les autres modifications sont sauvegardé en local. Au final je perd le 'confort' qu'apporte les profils itinérants.
2: Le lecteur "Home" monté sur une station NT est /home/nomUtilisateur/.Profile Sad . J'aimerai que ce soit simplement /home/nomUtilisateur. Le probleme vient que je dois absolument mixer les profile win98 et winNT, donc définir un 'logon home' spécifique.
 
Si vous avez déjà été confronté à ce genre de problemes, je suis preneur de toute solution ^^.  

 
J'espère avoir été assez clair. Merci.

hola, tu fais dans le rustique ... Désolé moins je m'approche des Win 98 mieux je me porte.
 
Par contre j'aimerai savoir si quelqu'un a essayé d'intégrer un Vista dans un domaine Samba ?

Bonjour
 
Désolé de ne pas avoir donner de signe de vie depuis mon dernier post. J'ai des empechement personnel
 
J'ai réussi a régler mon problème d'utilisateur CT juste une question de groupe mon utilisateur que j'utilisais pour joindre un client Windows n'avais pas les droits "administrateur" dans samba.
 
Avec la derniere version de samba, j'ai pu joindre une station sous windows Vista Ultimate au domaine sans le moindre problème et sans rien modifier dans la base de registre.
 

Oui sur notre LDS, et ça fonctionne.

aucun probleme.

Bonsoir à tous,
au secours, je m'arrache les cheveux, il est 1h24 du mat', je suis sur mon problème depuis 3 heures maintenant :
j'ai tout bien paramétré comme dans le tuto mon LDAP + SAMBA
populate marche bien
tous les comptes (root, nobody) sont créés dans l'ou users
le compte admin à la racine de mon dc est créé
lam voit tout bien
 
Seulement, quand je veux ajouter un XP Pro à mon domaine avec le compte root, bein j'ai une erreur "nom d'utilisateur introuvable"
 
Après, quand je regarde dans LAM, je vois bien mon pc, mais je n'arrive pas à le changer de domaine.
 
Voici mes fichiers de conf :
smb.conf :

smbldap-tools.conf :

 
ldap.conf :

 
Merci à tous pour votre aide...
 

change la ligne
add machine script = /usr/sbin/smbldap-useradd -w "%u"  
par  
add machine script = /usr/sbin/smbldap-useradd -w "%m"  
 
ça ira mieux ;-)

Merci pour ton aide, j'ai changé le smb.conf, mais le problème reste le même
l'ordinateur s'ajoute bien dans le ldap, mais j'ai une erreur nom d'utilisateur introuvable sous XP, voici ce que me donne le syslog au démarrage de samba et lorsque je veux ajouter la machine dans le domaine :

 
A savoir que la machine faisant office de serveur SAMBA possède deux cartes réseaux, car elle fait aussi office de FW...
Merci à tous pour votre aide.

hello.
 
j'ai trouvé une solution pour créer automatiquement des répertoires perso pour les nouveaux utilisateurs samba:
 
Dans la section [homes] de smb.conf
 
on ajoute:  
/usr/local/sbin/mkhomedir.sh %U
 
Ca doit donner ca donc:
[homes]
comment = Home Directories
path = /home/%U
root preexec = /usr/local/sbin/mkhomedir.sh %U
browseable = No
writeable= yes
 
 
Ensuite on créé le fichier /usr/local/sbin/mkhomedir.sh
 
#!/bin/bash
 
if [ ! -e /home/$1 ]; then
mkdir /home/$1
chown $1:"Domain Users" /home/$1
chmod 700 /home/$1
fi
exit 0
 
 
On donne ensuite les droits:
 
 
chown root:root /usr/local/sbin/mkhomedir.sh
chmod +x /usr/local/sbin/mkhomedir.sh

hello
 
voila une nouvelle astuce: Déployer Firefox (par exemple) sur les machines du domaine sans que les utilisateurs ni administrateurs n'aient a intervenir sur les machines.
 
Problematique:
Pour installer une application il faut etre administrateur.  
 
Solution:
 
J'ai trouvé une alternative à la commande windows "runas" qui permet de renseigner le mot de passe dans un fichier batch, ce qui n'est pas le cas avec l'original.
Mais mieux encore, on peut crypter toutes les info du runas ! du coup l'utilisateur ne sait pas ce qu'il se passe, meme en affichant le script dans netlogon il ne dispose pas d'info critiques.
 
On rend le partage netlogon temporairement browseable
[netlogon]
path = /home/netlogon
writable = Yes
browseable = Yes
write list = Administrateur
 
Avec Windows
 
On va sur le site de firefox et on telecharge firefox pour WINDOWS (exe)
Avec winrar (pas essayé avec autre chose) on décompresse l'exe
On otient un répertoire Firefox Setup 2.X
avec  
\Localized
\Nonlocalized
\Optional
\setup.exe
 
On renomme le dossier extrait en "firefox"
On le copie dans \\serveur\netlogon
 
On telecharge l'appli
http://robotronic.de/runasspc/runasspcEn.zip
On dézippe
On copie runasspc et runasspcadmin sur le serveur dans le partage netlogon que l'on aura temporairement rendu browseable
\\serveur\netlogon
 
On execute runasspcadmin  
Path\Application.exe : \\serveur\netlogon\firefox\setup.exe -ms -ma
Authentification: domain
Username: root
Password: vote mot de passe root
 
On clique sur save cryptfile
 
normalement vous avez deja un .bat dans netlogon, créez le si besoin (sous windows sinon probleme de caracteres retour a la ligne)
on ajoute:
\\serveur\netlogon\runasspc /cryptfile:"\\serveur\netlogon\crypt.spc" /quiet
 
voila on interdire le parcours de netlogon, on relance samba, on se loggue avec n'importe quel utilisateur sous windows, firefox s'installe tout seul sans rien demander.
 
PROBLEME: On réinstalle firefox a chaque log ....
 
Enfin ca ne gene rien, peut etre un peu les perfs

 
+1
 
j'ai le même problème: j'ai suivi à la lettre le tuto et j'ai "tou ki è bien partout" et la même erreur.
Par contre, de mon côté, je fais le smbldap-populate avant d'avoir démarré samba car sinon ce dernier refuse de démarrer.
 
Merci beaucoup à ceux qui tenteront de nous aider et encore félicitation pour cette doc qui est extrêmement utile.
 
++
 
[EDIT] Juste une remarque n'ayant rien à voir avec mon problème: avez-vous remarqué que le mot de passe que l'on rentre par
# smbpasswd -w <votre_mot_de_passe>
apparaît en clair dans le fichier secrets.tdb ?
[/EDIT]

 
 
Essaye dans ton script de vérifier la présence d'un fichier post-install de Firefox. Comme celà tu ne réinstalleras pas deux fois l'application.

Je ne comprends pas le rapport avec Firefox ?

salut, est ce que tu as trouvé la solution au "user not found" lorsque tu essaies de joindre une station au domaine?
 

tu as regardé du côté du fichier nsswitch.conf ?
Et as tu activé le débug dans le LDAP pour voir la requête lancée ?

 
Pourquoi du côté de nsswitch.conf? je ne veux pas paramétrer l'authentification linux via ldap mais samba via ldap.
Sinon tu as raison, je devrais investiguer du côté des logs mais en ayant suivi le tuto à la lettre je m'étonnais que chez moi ça ne marche pas..
 
+

sans un fichier nsswitch bien configuré, tu feras pas grand chose...

 
tu dis que as suivi la doc mais tu ne configures fait pas NSSWITCH et les fichiers qui vont avec .....
 

Ca y'est ca fonctionne
enfin, ... pfuuu... j'ai réinstallé from scratch une bonne debian qui va bien sur mon nouveau serveur mini-itx j'ai tout suivi le tuto et ca fonctionne enfin...  
Je crois avoir compris mon erreur : je n'avais pas suivi les chapitres consacrés à PAM et Nsswitch, je croyais que ce n'était pas utile, mea culpa maxima.
Par contre, pour le net getlocalsid cela ne fonctionnait pas, alors :
 - j'ai déactivé le backend ldap pour le mettre sur smbpasswd
 - puis j'ai stoppé samba
 - fait le smbpasswd -w
 - supprimé tous les tlb dans /var/lib/samba
 - relancé samba
 - fait le net getlocalsid = ca marche
 - stoppé samba
 - remis le backend sur ldap
 - relancé samba
 - et le net getlocalsid fonctionne ...
 
Merci pour ce superbe wiki.

c'est quoi le message d'erreur ?
- nmbd est lancé ?
- samba est bien PDC du domaine ?
- le réseau est activé ?