TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

labiloute · Le 04/05/2012, à 14:51

Nous souhaiterions mettre en ligne notre documentation en français pour notre projet de remplacement d'Active Directory par un PDC Samba/Ldap.
Je n'ai pas trouvé d'endroit particulièrement adapté, et je n'ai pas le temps pour l'instant de le traduire et de le corriger au micro-poil.

De même, si quelqu'un a une idée de site "collaboratif", ou ça puisse être corrigé, étoffé, traduit, etc, je suis preneur.

Ce document traite du remplacement d'un contrôleur de domaine Active Directory par un PDC Samba3 / OpenLdap 2.4 dans un environnement hétérogène Windows Xp/Seven et client Debian 6 / Ubuntu 10.04 / Ubuntu 12.04.

Les thèmes abordés sont vastes, de l'installation du serveur Samba/OpenLdap en tant que contrôleur de domaine, serveur de fichiers et d'imprimantes, jusqu'à la configuration des clients, etc.
Nous avons aussi écrit des scripts BASH et VBS pour faire des actions diverses comme exécuter des commandes au démarrage, monter les partages auquel les utilisateurs ont droit, créer des icônes sur le bureau, et même scripter la jonction d'un client Linux au PDC Ldap.

Si jamais ça peut intéresser quelqu'un, la version du jour est disponible en suivant ce lien.

Le 24 mai 2012 : mise à jour du document : nouvelle version ici
Le 25 juillet 2012 : mise à jour du document : nouvelle version ainsi que la source au format odt

Dernière modification par labiloute (Le 25/07/2012, à 08:58)

hayou · Le 11/05/2012, à 12:49

Hello,
ça à l'air intéressant tout ça... je vais jeter un coup d’œil sur votre site.
Pourquoi ne pas installer un mediaWiki pour la documentation ? Tu pourras gérer les modifs et pouvoir revenir au anciennes versions....

labiloute · Le 11/05/2012, à 14:37

Je n'ai pas le temps pour l'instant de taper ce tutoriel dans un wysiwyg. Il fait 40 pages et évolue encore régulièrement. Cette version en ligne est un export html d'un document libreoffice.
Mais dès que nous aurons un peu de temps et un document un peu plus fini j'y penserais ! En attendant je diffuse le lien pour les intéressés et d'éventuels commentaires.

Guiver · Le 11/05/2012, à 22:28

Magnifique.
Merci pour ce partage d'information très précieux.

En plus, c'est simple, bien expliqué et étrangement pas très long. Jolie travail

labiloute · Le 14/05/2012, à 14:07

Je vois encore pas mal de modifications à apporter. Il y a des choses qui ne me paraissaient pas très clair à la rédaction du doc et qui se sont éclaircies par la suite. Il a aussi des choses pas très bien formulées et par très explicites.
Actuellement nous travaillons sur du Kerberos/Ldap, mais je posterais d'autres version dès que possible.
En espérant que ça puisse profiter à quelqu'un, nous aurions bien aimé trouver quelque chose du genre il y a 1 an.
a+

raumin · Le 24/07/2012, à 21:16

Bonjour,

D'abord merci pour ce petit howto très clair.

J'ai suivi à la lettre votre tuto et voici mes 2/3 petites remarques sur certaines commandes/modifications qui pourraient être plus précises.

[*]Partie SSL apache2 :[/*]
- le /etc/ldap/ssl/srvusers.pem n'existe pas à moins de l'avoir créer au préalable. Pourquoi ne pas utiliser celui fourni par défaut ?

SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

le a2enmod ssl active bien le SSL mais vous avez oublié de préciser qu'il faut également activer le fichier de conf default-ssl avec a2ensite default-ssl

[*]Partie SSL/TLS sur Openldap depuis l'extérieur[/*]
- Vous avez oublié -W et le -x ne fonctionne pas ici, le -W pour avoir le prompt du mot de passe sans quoi on a :

ldap_bind: Server is unwilling to perform (53)
        additional info: unauthenticated bind (DN with no password) disallowed

ldapmodify -f tls_ldap.ldif -D cn=admin,dc=invited,dc=math -W -H ldap://10.1.1.117

Voilou pour le moment et encore merci pour ce super guide !

Dernière modification par raumin (Le 25/07/2012, à 08:27)

labiloute · Le 25/07/2012, à 08:56

Salut raumin, et merci pour les corrections.

J'ai corrigé le tuto et mis le nouveau lien dans le post d'origine. Je fournis aussi la version .odt d'origine, car nous n'allons plus faire évoluer cette documentation. En effet, depuis la version "beta" de samba 4, nos efforts se sont portés sur cette version.

N'hésitez pas à faire vivre ce travail si vous le souhaitez.

Bon courage.

raumin · Le 25/07/2012, à 14:16

avec plaisir

Au cas ou, Il manque aussi les droits approprié sur le certificat server.pem :

chgrp openldap /etc/ldap/ssl/server.pem
chmod g+r /etc/ldap/ssl/server.pem

Sans quoi on ne peut pas accéder en ldaps.

Vous avez prévu de faire un petit howto sur samba4 ?

Dernière modification par raumin (Le 25/07/2012, à 14:17)

labiloute · Le 25/07/2012, à 16:47

Pas de tuto samba4 prévu pour l'instant, nous n'avons pas assez de recul.
Mais je peut vous dire qu'on le fait tourner en prod à partir du tuto officiel, avec une dizaine de postes/utilisateurs, des clients windows/linux avec windows seven 32/64, windows xp 32, des scripts de login, des gpo, une serveur d'impression cups et un serveur de fichiers samba 3, et que pour l'instant, ça tient largement ses promesses.
En tout cas si on écrit une doc un jour, nous la publierons, c'est notre manière de contribuer à la communauté.

Tuxmouraille · Le 22/08/2012, à 09:42

Bonjour,
Est ce que le changement des deux clés de registre suffit bien à intégrer Windows 7 dans une domaine Samba 3?
Je suis en stage et on ma demandé de mettre à jour le serveur de domaine vers Debian 6 et de trouver comment intégrer les nouvelles machines Windows 7, avant c'était du XP dans le domaine Samba 3.
Merci d'avance.

Tuxmouraille · Le 23/08/2012, à 08:53

Bonjour,
J'ai suivit votre guide. Pour le moment je n'ai pas encore finit l'installation de OpenLDAP. La commande:

smbldap-useradd -a -P -c "toto DUPONT" toto

renvoit:

Could not find base dn, to get next uidNumber at /usr/share/perl5/smbldap_tools.pm line 1179.

Je suis en train de chercher la solution.
Au fur et à mesure que je suis le tuto je le complète. Comment puis je le faire parvenir?

Tuxmouraille · Le 23/08/2012, à 10:12

L'erreur:

Could not find base dn, to get next uidNumber at /usr/share/perl5/smbldap_tools.pm line 1179.

Vient d'une erreur de population; smbldap.populate:

failed to modify entry: structural object class modification from 'sambaDomain' to 'inetOrgPerson' not allowed at /usr/sbin/smbldap-populate line 491, <GEN1> line 234.

Tout ça dû à un espace en trop, après DOMAIN à la ligne du fichier /etc/samba/smb.conf:

workgroup = GRAM2

dans /etc/smbldap-tools/smbldap.conf:

sambaUnixIdPooldn="sambaDomainName=DOMAIN,${suffix}"

Trouvé ici:
http://linuxnj.com/system-administratio … a-and-ldap

thyami · Le 23/08/2012, à 14:39

Bonjour et merci pour le TUTO.

J ajouterais 1 remarque est une question :
[*]Dans les prérequis, il manque un b dans la ligne de commande dpkg-reconfigure debconf. C est peut être idiot mais j ai passe du temps sur cette erreur car c'est ma première manipulation de cette distribution (avant j étais surtout mandriva et Centos)[/*]

[*]Ma question : Est ce normal que dans phpldapadmin, apres avoir intégré cn=config je vois sous mon nom de domaine la ligne cn=config avec devant une icone contenant un point d'interrogation ? Est ce que cela veut dire que l'instruction a mal été implémentée ?[/*]

Merci de vos reponses.

Cordialement

Mr Patate · Le 14/05/2013, à 09:16

Merci beaucoup pour votre contribution à la communauté, 4 jours de galères résolues, thx

rdr · Le 30/05/2013, à 14:50

Bonjour à tous,

Merci à vous pour avoir partagé ce tuto qui répond à pas mal de mes attentes ! Par contre je rencontre un soucis que je n'arrive pas à solutionner... J'espere que vous pourrez m'aider, j'ai beau chercher je ne trouve pas...

il concerne la partie: Activation du SSL/TLS sur OpenLdap depuis l' extérieur

- Après avoir généré le certificat et déplacé le server.pem dans le répertoire /etc/ldap/ssl/
- J'ai créé le fichier tls_ldap.ldif comme indiqué
- J'ajoute la configuration au serveur ldap avec la commande:

ldapmodify -f tls_ldap.ldif -D cn=admin,dc=toto,dc=net -W -H ldap://172.16.1.20

- Et la ! C'est le drame ^^ :

Enter LDAP Password: XXXXX
modifying entry "cn=config"
ldap_modify: Insufficient access (50)

A la lecture des différents forums, j'ai compris que mon utilisateur admin n'avait pas les droits nécessaires à la modif du cn=config.... alors comment faire ?

Dans l'attente de vous lire, merci

Rdr

labiloute · Le 30/05/2013, à 16:19

rdr a écrit :

Bonjour à tous,
[...]
Rdr

Désolé, bien que ce soit moi qui ait écrit cette doc il y a un ans maintenant, je ne l'ai finalement pas exploitée et donc je ne vois pas du tout ou se situe ton problème.
Je serait ravi que cette doc soit reprise par quelqu'un qui la corrige et l'entretienne. Pour ma part je ne vais plus le faire.
Je pense que dans grand nombre de cas, il est désormais intéressant de se tourner vers samba4, qui contient un serveur ldap, un serveur samba et un serveur kerberos, et qui est dans sa conception même est compatible avec microsoft active directory.

Bon courage dans vos recherches.

francky_35 · Le 25/03/2014, à 16:42

rdr a écrit :

Bonjour à tous,
Merci à vous pour avoir partagé ce tuto qui répond à pas mal de mes attentes ! Par contre je rencontre un soucis que je n'arrive pas à solutionner... J'espere que vous pourrez m'aider, j'ai beau chercher je ne trouve pas...
il concerne la partie: Activation du SSL/TLS sur OpenLdap depuis l' extérieur
- Après avoir généré le certificat et déplacé le server.pem dans le répertoire /etc/ldap/ssl/
- J'ai créé le fichier tls_ldap.ldif comme indiqué
- J'ajoute la configuration au serveur ldap avec la commande:

ldapmodify -f tls_ldap.ldif -D cn=admin,dc=toto,dc=net -W -H ldap://172.16.1.20
- Et la ! C'est le drame ^^ :
Enter LDAP Password: XXXXX
modifying entry "cn=config"
ldap_modify: Insufficient access (50)
A la lecture des différents forums, j'ai compris que mon utilisateur admin n'avait pas les droits nécessaires à la modif du cn=config.... alors comment faire ?
Dans l'attente de vous lire, merci
Rdr

J'ai exactement le même problème . L'as-tu résolu ?
merci d'avance

MyL0 · Le 28/03/2014, à 17:44

Juste pour aider je vous donne des liens tuto (tester il y a une semaine) pour une installation fonctionnelle.
Serveur Samba/LDAP : http://progenvrac.com/spip.php?article19
Coté client : https://www.digitalocean.com/community/ … -12-04-vps

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/05/2012, à 14:51

TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#2 Le 11/05/2012, à 12:49

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#3 Le 11/05/2012, à 14:37

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#4 Le 11/05/2012, à 22:28

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#5 Le 14/05/2012, à 14:07

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#6 Le 24/07/2012, à 21:16

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#7 Le 25/07/2012, à 08:56

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#8 Le 25/07/2012, à 14:16

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#9 Le 25/07/2012, à 16:47

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#10 Le 22/08/2012, à 09:42

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#11 Le 23/08/2012, à 08:53

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#12 Le 23/08/2012, à 10:12

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#13 Le 23/08/2012, à 14:39

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#14 Le 14/05/2013, à 09:16

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#15 Le 30/05/2013, à 14:50

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#16 Le 30/05/2013, à 16:19

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#17 Le 25/03/2014, à 16:42

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

#18 Le 28/03/2014, à 17:44

Re : TUTO-PDC Samba/OpenLdap-Debian6 avec clients Windows et Linux

Pied de page des forums