controleur domaine samba Fermé

Question

Bonjour à tous.

J'ai déjà posté un message à ce sujet mais comme il y a eu pas mal d'évolution depuis, je préfère tout reprendre à zéro.
J'ai un serveur ldap/samba.
Je veux y connecter un pc windows.

Mon fichier smb.conf est le suivant :

[global]
workgroup = domaine_Info
netbios name = ldap
server string = Samba Server LDAP
hosts allow = adresse IP du PC windows
log file = /var/log/samba/%m.log
max log size = 50
security = user
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
admin users = @administrateur
local master = yes
os level = 64
domain master = yes 
preferred master = yes
domain logons = yes
logon script = %m.bat
logon script = %U.bat
logon path = \%L\Profiles\%U
name resolve order = wins lmhosts bcast
wins support = yes
dns proxy = no 
passdb backend = ldapsam:ldap://adresse IP serveur ldap
ldap admin dn = cn=root,dc=entreprise,dc=fr
ldap suffix = dc=entreprise,dc=fr
ldap machine suffix = ou=machines
ldap user suffix = ou=utilisateurs
ldap ssl = no
ldap passwd sync = yes

[homes]
   comment = Repertoire personnel
   browseable = no
   writable = yes

[LDAP]
   path = /var/lib/ldap
   comment = base de donnÃ©es de l'annuaire LDAP
   browseable = yes
   read only = yes
   valid users = emilie
   allow hosts = adresse IP pc windows


[partage]
   path = /home/share/
   public = no
   writable = yes
   browseable = yes
   valid users = emilie,inf-15,administrateur

# Un-comment the following and create the netlogon directory for Domain Logons
 [netlogon]
   comment = Network Logon Service
   path = /home/netlogon
   guest ok = yes
   writable = no
   share modes = no


# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
[Profiles]
    path = /home/profiles
    browseable = no
    guest ok = yes


Dans mon annuaire ldap, j'ai un compte machine pour mon pc windows, un compte utilisateur administrateur du domaine, 2 sambadomainname (???).


Lorsque j'essaye de me connecter depuis mon PC windows au domaine, j'ai le message d'erreur suivant :
impossible de se connecter au domaine, un périphérique attaché au domaine ne fonctionne pas correctement.

Pouvez-vous m'aider?
Si vous avez la moindre question complémentaire, n'hésitez pas, je me ferai un plaisir de vous donner d'autres informations.

Je vous remercie d'avance.

Emilie

poumiZ · Answer

As-tu joint ton windows au domaine: sous Win2000,  propriétés système, identification réseau: ajouter l'ordinateur comme membre du domaine.
Je pense qu'il faut faire la même manip sous WinXP.

poumiZ · Answer

tu devrais peut-être enlever ta machine du domaine sur le serveur (je ne connais pas la commande sous smb/ldap), et  recommencer ta manip d'ajout de membre au domaine.

poumiZ · Answer

je compulse un peu de doc.
est-il normal de ne pas trouver la ligne ldap server dans smb.conf ?

emilie · Answer

Je suis maintenant parvenue depuis mon pc windows à me connecter à mon serveur ldap/samba
(j'ai créé un nouvel utilisateur admin du domaine et ça a fonctionné. J'avoue ne pas comprendre pourquoi car d'après moi, mes deux admins du domaine ont été créés de la même façon...)

J'ai donc voulu changer le mot de passe de mon utilisateur pour voir si la synchronisation se faisait correctement avec ldap.

A ce moment-là, j'ai le message d'erreur suivant :
le système ne peut changer votre mot de passe maintenant car le domaine DOMAINE_INFO n'est pas disponible.

Quelqu'un a-t-il déjà eu ce pb?

Merci d'avance pour vos aides.

Emilie

emilie · Answer

Je me suis aperçue que le message du post ci-dessus n'était pas bloquant (le mot de passe est tout de même modifié) mais j'aimerais ne pas voir apparaître ce message d'erreur.
Quelqu'un a-t-il une idée?
Merci.

Emilie

emilie · Answer

Il y a encore un problème.
Je reprends.
J'ai créé un utilisateur grâce à la commande useradd sur mon serveur samba/openldap.
J'ai migré cet utilisateur en utilisant les outils migrate_passwd et migrate_group dans mon annuaire ldap.
J'ai donc deux entrées dans mon annuaire ldap correspondant à cet utilisateur.
J'ai supprimé cet utilisateur des fichiers etc/ passwd, shadow, group sur mon serveur.
J'ai tapé la commande smbpasswd pour ajouter un mot de passe samba à cet utilisateur (c'est le même que celui de l'ancien compte unix)

Je souhaite maintenant me connecter depuis une machine windows à mon partage samba en utilisant cet utilisateur répertoré dans ldap.

Ca fonctionne après avoir au préalable joint la machine windows au domaine.

Je veux maintenant changer le mot de passe depuis le pc windows.

La première fois que je change le mot de passe, j'ai un message d'erreur disant :
"le système ne peut changer votre mot de passe maintenant car le domaine DOMAINE_INFO n'est pas disponible." 

cependant le mot de passe est tout de même modifié.

La deuxième fois que je souhaite changer de mot de passe, j'ai le même message d'erreur sauf que cette fois le mot de passe n'est pas modifié.

En revanche si la deuxième fois je mets comme nouveau mot de passe celui utilisé lors de la création de mon compte utilisateur (= mon premier mot de passe), ça fonctionne (j'ai toujours le message d'erreur mais le mot de passe change et redevient ce qu'il était initialement).

Avez-vous une idée de l'origine du problème?
Surtout si vous avez des questions, n'hésitez pas, je suis à votre disposition.


Merci.

Emilie

emilie · Answer

Aidez-moi SVP.
Si vous ne connaissez pas ldap, peut-être connaissez-vous un forum spécifique à LDAP (pour l'instant je n'en ai pas trouvé) ou un bon URL concernant les problèmes ldap.
Merci.

Emilie

emilie · Answer

J'ai pensé que le problème pouvait venir de la gestion des ACLs dans openldap.
En effet, dans mon fichier slapd.conf, seul l'administrateur ldap avait des droits de modifications or je pense qu'il faut donner à chaque utilisateur de l'annuaire le droit de changer son mot de passe.
J'ai donc dans mon fichier slapd.conf mis les droits suivants :

access to attrs=userPassword
              by self write
              by anonymous auth
              by dn="cn=root,dc=entreprise,dc=fr" write
              by * none

access to attrs=sambaLMPassword
              by self write
              by anonymous auth
              by dn="cn=root,dc=entreprise,dc=fr" write
              by * none

access to attrs=sambaNTPassword
              by self write
              by anonymous auth
              by dn="cn=root,dc=entreprise,dc=fr" write
              by * none

access to dn.base="dc=entreprise,dc=fr" 
              by dn="cn=root,dc=entreprise,dc=fr" write
              by * read

Or lorsque je fais ça, je ne peux plus me connecter à mon domaine samba dont l'authentification est basée sur ldap.
Ces droits ne doivent donc pas être corrects.
Quelqu'un pourrait-il me dire où est l'erreur?

Merci.

Emilie

emilie · Answer

J'ai modifié le dernier acl,
j'ai mis à la place
access to *
by dn="cn=root,dc=entreprise,dc=fr" write 
by * read 

J'arrive de nouveau à me connecter à mon domaine.
En revanche, j'ai toujours le même message d'erreur lorsque je tente de modifier mon mot de passe...
Je ne sais plus quoi faire...

Emilie

Controleur domaine samba

9 réponses

Discussions similaires