Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails)

#1 Le 30/05/2012, à 11:49

FlakeFr

Politique Samba et LDAP

Bonjour,

J'ai mis en place sur un serveur en Debian, un controleur de domaine grâce à LDAP et Samba. J'ai également mis en place une politique de mot de passe, grâce à un fichier .ldif. Cette politique est reconnue par LDAP mais pas par samba, j'ai essaier de jouer avec les lignes "unix password sync" "pam password" "ldap password sync" mais rien n'y fait sad

J'ai bien essaier de googler mais rien n'y fait... A croire que je suis le seul a avoir ce problème hmm

Si quelqu'un a déjà eu ce problème peut-il m'aider afin de comprendre pourquoi samba ne détecte pas la politique ??

Voici mes fichiers :

smb.conf

[global]
        workgroup = DOMAIN3DDUOTEST
        server string = Controleur de domaine
        netbios name = Alderaan
        unix password sync = no
        pam password change = yes
        domain master = yes
        local master = yes
        domain logons = yes
        client lanman auth = no
        client ntlmv2 auth = Yes
        lanman auth = yes
        ntlm auth = yes
        security = user
        os level = 40
        ldap ssl = off
        ldap passwd sync = no
        passdb backend = ldapsam:ldap://192.168.3.111/
        ldap admin dn = cn=samba,dc=ma,dc=base
        ldap suffix = dc=ma,dc=base
        ldap group suffix = ou=Groups
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Machines
        add user script = /usr/sbin/smbldap-useradd -m "%u"
        ldap delete dn = yes
        encrypt passwords = yes
        delete user script = /usr/sbin/smbldap-userdel "%u"
        add machine script = /usr/sbin/smbldap-useradd -w "%u"
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
        set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
        logon path = \\%L\profiles\%U
        logon drive = P:
        logon home = \\%L\%U
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        case sensitive = No
        default case = lower
        preserve case = yes
        short preserve case = Yes
        #character set = iso8859-1
        #domain admin group = @admin
        dns proxy = No
        wins support = Yes
        winbind use default domain = Yes
        nt acl support = Yes
        msdfs root = Yes
        hide files = /desktop.ini/ntuser.ini/NTUSER.*/
        passwd program = /usr/sbin/smbldap-passwd "%u"
        passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
        unix charset = iso-8859-15
        display charset = iso-8859-15
        dos charset = 850
        obey pam restrictions = yes

Mon slapd.conf :

[global]
        workgroup = DOMAIN3DDUOTEST
        server string = Controleur de domaine
        netbios name = Alderaan
        unix password sync = no
        pam password change = yes
        domain master = yes
        local master = yes
        domain logons = yes
        client lanman auth = no
        client ntlmv2 auth = Yes
        lanman auth = yes
        ntlm auth = yes
        security = user
        os level = 40
        ldap ssl = off
        ldap passwd sync = no
        passdb backend = ldapsam:ldap://192.168.3.111/
        ldap admin dn = cn=samba,dc=ma,dc=base
        ldap suffix = dc=3dduo,dc=lan
        ldap group suffix = ou=Groups
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Machines
        add user script = /usr/sbin/smbldap-useradd -m "%u"
        ldap delete dn = yes
        encrypt passwords = yes
        delete user script = /usr/sbin/smbldap-userdel "%u"
        add machine script = /usr/sbin/smbldap-useradd -w "%u"
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
        set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
        logon path = \\%L\profiles\%U
        logon drive = P:
        logon home = \\%L\%U
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        case sensitive = No
        default case = lower
        preserve case = yes
        short preserve case = Yes
        #character set = iso8859-1
        #domain admin group = @admin
        dns proxy = No
        wins support = Yes
        winbind use default domain = Yes
        nt acl support = Yes
        msdfs root = Yes
        hide files = /desktop.ini/ntuser.ini/NTUSER.*/
        passwd program = /usr/sbin/smbldap-passwd "%u"
        passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
        unix charset = iso-8859-15
        display charset = iso-8859-15
        dos charset = 850
        obey pam restrictions = yes

Mon ppolicy.ldif :

dn: ou=policies,dc=ma,dc=base
ou: policies
objectClass: top
objectClass: organizationalUnit

# default, policies, example.com
dn: cn=default,ou=policies,dc=ma,dc=base
objectClass: pwdPolicyChecker
objectClass: top
objectClass: person
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 14688
pwdExpireWarning: 5000
pwdInHistory: 3
pwdCheckQuality: 2
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 60
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
pwdCheckModule: check_password.so
sn: dummy value

Dernière modification par FlakeFr (Le 31/05/2012, à 16:09)

Hors ligne

#2 Le 30/05/2012, à 19:31

labiloute

Re : Politique Samba et LDAP

Salut,
Si tu travailles sur une debian 6, alors ton slapd.conf ne doit rien contenir. Toute la conf d'openldap est contenue dans la base elle-même (depuis openldap 2.4). Il faut charger les schémas de base à l'aide de fichiers ldif.
Ensuite, il faut charger le schéma samba qui va bien, qui contiendra ta politique de mot de passe, et bien d'autres choses.
Il faut adapter ton smb.conf pour lui dire de passer par un backend ldap, ce qui semble pas trop mal à la vue de ton post.

Tu peut jeter un coup d'oeil à notre doc sur le sujet située ici , afin de comprendre (le plus possible) le fonctionnement de samba3 avec un backend openldap.

PS : Ton post contient un smb.conf à la place d'un slapd.conf

Bon courage

Dernière modification par labiloute (Le 30/05/2012, à 19:33)

Hors ligne

#3 Le 31/05/2012, à 10:04

FlakeFr

Re : Politique Samba et LDAP

J'ai bien essaier de faire comme indiquer dans le document que tu m'as filé, or ceci ne change pas le problème, le mot de passe n'est toujours pas reconnu par samba mais bien par LDAP.

Voici mon slapd.conf :

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/samba.schema
include         /etc/ldap/schema/ppolicy.schema

pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd/slapd.args

loglevel        256

modulepath      /usr/lib/ldap
moduleload      back_bdb
moduleload      ppolicy.la
moduleload      smbk5pwd.la

sizelimit 500

tool-threads 1

backend         bdb

database bdb

suffix          "dc=mon,dc=exemple"

overlay ppolicy
ppolicy_default "ou=default,ou=policies,dc=ma,dc=base"
ppolicy_use_lockout
ppolicy_hash_cleartext
overlay smbk5pwd
smbk5pwd-enable samba

rootdn          "cn=samba,dc=mon,dc=exemple"
rootpw          d6JnF9034LS4XHjV

directory       "/var/lib/ldap"
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

index   objectClass                                     eq
lastmod         on
checkpoint      512 30

access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
        by anonymous auth
        by self =xw
        by * none

access to dn.base="" by * read

access to *
        by * read

J'ai bien essaier de faire un slapd.conf vide, d'y inclure les schema et de convertir. Premierement il me demande le fichier pidfile, ensuite la politique est toujorus invisible pour samba hmm

Dernière modification par FlakeFr (Le 31/05/2012, à 16:09)

Hors ligne

#4 Le 03/06/2012, à 12:54

hayou

Re : Politique Samba et LDAP

peux-tu faire un :
dpkg -l | grep slapd
stp ?

Hors ligne

#5 Le 04/06/2012, à 09:50

FlakeFr

Re : Politique Samba et LDAP

Voici le retour du dpkg :


ii  slapd                               2.4.23-7.2                          OpenLDAP server (slapd)
ii  slapd-smbk5pwd                      2.4.23-7.2                          Keeps Samba and Kerberos passwords in sync within slapd.

Hors ligne

#6 Le 06/06/2012, à 18:06

FlakeFr

Re : Politique Samba et LDAP

Petit up ?

Hors ligne

Haut de page ↑