SAMBA en PDC , OpenLDAP etc ......

[KouKaVaniLLa]

Salut à tous ...

Je termine tout juste le montage d'une machine qui va me servir de serveur de test sous CentOS 5.2/64bits

Le but de se serveur de test est de mettre en place une machine comme si il s'agissait d'une machine de production destinée à une PME de 5-10 employés.

Actuellement cette machine est installée avec une CentOS 5.2 en RAID 1 et LVM2. j'ai également un accès SSH et c'est tout.

Je souhaite actuellement déployer l'équivalent d'une "active directory" sur ce serveur . Est ce OpenLDAP qui va faire cela ?

Cela sera t'il suffisant pour que mes clients-tests sous windows xp se connectent à ce domaine où dois je aussi configurer un serveur SAMBA qui de toute façon devra ce faire ?

Merci

[Dark26]

openldap + samba.

c'est ce que j'ai à la maison pour mon unique ordi sous windows pour le jeu

[KouKaVaniLLa]

Donc j'avais pas tout faux

J'ai souvent installé et configuré des services tels que Samba, Apache, FTP et j'ai donc beaucoup réfléchi à implémenter OpenLDAP car je n 'ai aucunes connaissances de cela et que j'ai peur que cela me pose des problèmes lorsque je devrais intégrer cela avec ces services que je connais comme Apache, SAMBA et autres.

En même temps je me suis dis un serveur de test destiné à une PME sans annuaire LDAP c'est un peu comme comme un serveur windows sans AD, donc je vais le faire mais je sent que ça va être rigolo ...

[KouKaVaniLLa]

Et bien le sujet n'attire pas la foule

J'ai fais quelques recherches et je remarque qu'effectivement dès que l'on monte un serveur avec SAMBA en PDC, la doc n'abonde pas.

Je dirai même que je n'ai pas trouvé deux tutos identiques et cela est vraiment pénible.

Il y a déjà des divergences entre les distros (ça a tjrs été ok) mais je m'attendais à trouver tout de même un tuto simple et efficace auquel on aurait pû ensuite durcir un peu la config, notamment au niveau de la sécurité

Si je ne me suis pas trompé ... lorsque l'on souhaite mettre en place un serveur Linux qui sera un gestionnaire de domaine auquel pourra venir se connecter des clients sous windows xp, je suis obligé de monter un serveur SAMBA en PDC.

Je pensais que le domaine c'était OpenLDAP qui s'en occupait et que une fois authentifié je pouvait profiter de partage de dossiers au travers de SAMBA.

Apparement ce n'est pas comme cela que ça fonctionne.

Si qq avait une explication clair du focntionnement d'un tel réseau (serveur linux, client windows) je suis preneur

Merci

[fabien29200]

Salut !

Euh, je pense que tu es obscurcit par la vision Microsoftienne du monde

Il n'y a pas d'histoire de domaine à proprement parler sous Linux. Enfin, tu peux spécifier un nom de domaine dans lequel se trouve le PC, mais bon, le reste est indépendant de ça.

OpenLDAP n'est qu'un annuaire dans lequel tu peux stocker des informations (comme le login / mot de passe).

[Dark26]

je reponds rapidement car pas trop le temps....

si je me souviens bien on peut peut être ce passer d'openladap ... pour monter un domaine.

par contre du coup les compte windows sont différencie des comptes linux de l'OS support.

mais pour résumé, samba , c'est pour la couche réseau "windows", et openldap c'est pour la partie actice directory, centralisation des mots de passe.

l'avnatage d'implanter openldap, c'ets que tout les clients utiliseront les "même" compte de ldap pour s'authentifier .

perso j'avais tester ça à la maison avec des clients windows, linux, et macos. et tout fonctionner parfaitement, même si c'et tsouvent galère sur les OS client pour activé l'aurhentification openldap.

mon smb.conf de mon serveur debian si cela peut t'aider

[global]
### A changer: pas d'espace, ni point === >
workgroup = domaine
### A changer, mettre le meme nom que le nom de votre machine === >
netbios name = serveur
server string = Samba-LDAP PDC Server
domain master = Yes
local master = Yes
domain logons = Yes
os level = 40
#passwd program = /usr/sbin/smbldap-passwd ?u %u
ldap passwd sync = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
### A changer === >
ldap admin dn = cn=admin,dc=domaine,dc=local
### A changer === >
ldap suffix = dc=domaine,dc=local
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
logon path = \\%L\profile\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
#character set = iso8859-1
#domain admin group = @admin
dns proxy = No
wins support = Yes
### A changer si vous n'utilisez pas ce réseau === >
hosts allow = 192.168.1. 127.
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
### FIN DE LA PARTIE GLOBALE #####
#### LES PARTAGES #####
[netlogon]
path = /home/netlogon
writable = No
browseable = No
write list = Administrateur
#
[profile]
path = /home/export/profile
browseable = No
writeable = Yes
profile acls = yes
create mask = 0700
directory mask = 0700
#
[homes]
comment = Repertoire Personnel
browseable = No
writeable = Yes 
# 
[partage]
comment = Repertoire commun
browseable = Yes
writeable = Yes
public = No
path = /home/partage

[KouKaVaniLLa]

@Dark : Merci beaucoup d'avoir tout de même pris le temps de me répondre. Si ce fichier fonctionnait pour toi , il me sera certainement d'un grand secours, d'autant que je sais qu'il fonctionne.

Après réflexion, c'est vrai qu'il me semble que l'on peut se passer de OpenLDAP. Je pensais que s'est lui qui allait authentifier tous mes clients windows mais à la lecture des tutos SAMBA + PDC, il semble plutôt que ce soit ce dernier qui se charge de cela, en plus du partage de dossiers.

@Fabien : Tu as raison, j'ai sans doute trop en vue l'AD M$, pourtant je t'assures que j'ai largement plus de connaissance sous linux (admin sys) que sous windows server. Je connais en revanche très bien windows xp et je travail sous mac.

Mon projet de serveur allait dans le sens de ce que pourrait avoir besoin une PME de 10-15 users et qui souhaitait monter un serveur linux pour réduire ses frais.

Je me suis donc tourné vers CentOS, bien que connaissant un peu plus Debian, et j'ai donc choisi de monter un serveur sur lequel tournerait SSH, Apache + MySQL, Bind et DHCP, Postfix+Dovecot+SpamAssassin+Clamav et enfin le partage de fichier avec SAMBA.

J'ai pensé aussi que tous les clients serait sous windows xp (afin de ne pas perturber les utilisateurs) d'où cette notion de OpenLDAP.

En définitive je souhaite "simplement" que mes clients Windows XP se connecte à un serveur linux qui partage des dossiers en fonction des "départements de la PME", et qui puisse s'échanger des mails, voir consulter leur agenda perso ou de leur collègue.

Vous me confirmez donc l'utilisation de SAMBA en PDC, et l'utilisation éventuel mais pas nécessaire de OpenLDAP.

[gehasia]

La logique se tient, mais je te conseil quand même de t'astreindre à l'utilisation d'un annuaire LDAP pour la gestion des comptes (c'est son boulot à lui) plutôt que des comptes système. OpenLDAP est un peu chiant, mais une fois que t'as les bons schemas et que ton architecture se tient, c'est du bonheur. Après je ne connais pas du tout AD...

Prends bien le temps de comprendre ce pourquoi chaque schema est fait, et comment Samba va s'en "nourrir"

Un tuto ici (pour debian) qui regroupe en condensé le processus : http://damstux.free.fr/wiki/index.php?title=PDC_Samba_LDAP

Moi pour l'annuaire LDAP d'un client, je lui ai fait un script php pour la gestion des comptes (qui exporte un service SOAP utilisable par d'autres outils de la boite), mais tu as des outils pour gérer ton annuaire (plus lourds par contre).

Un gars a fait un petit tuto (que je n'ai pas lu) sur samba en pdc sans ldap sinon (mais vraiment, passe par ldap, c'est mieux, tu pourras unifier pas mal de services autour (tu pourras gérer tes configs de DNS, tes configs apache, tes comptes ftps etc, directement dans l'annuaire...La plupart des services possède un connecteur LDAP natif maintenant) :

http://www.gcolpart.com/howto/samba.php4

Bonne chance :)

[KouKaVaniLLa]

En fait , pensant que que LDAP allait authentifier tous mes clients, je l'ai déjà installé, configuré et utilisé les outils de migrations de PADL (j'ai migré /etc/passwd ; /etc/groups).

Pas d'erreurs, cela semble s'être bien déroulé mais je n'ai pas encore essayé de m'authentifier en modifiant le nsswitch.

Merci pour ces tutos, celui avec l'authentification LDAP je l'avais trouvé et c'est précisement le "tête" du fichier qui me faisait un peu peur mais après tout je suis déjà à la moitié du travail.

J'ai pensé que faire fonctionner SAMBA en PDC sans LDAP me permettrait déjà d'être sûr que celui-ci fct bien et ensuite paufiner avec LDAP.

Dois-je migrer autres chose que passwd et group, sachant que j'ai un serveur apache, bind et postfix qui tourne ?

Je vais tester tout cela ce soir !

Merci à vous