Pages : 1
#1 Le 30/05/2012, à 10:49
- FlakeFr
Politique Samba et LDAP
Bonjour,
J'ai mis en place sur un serveur en Debian, un controleur de domaine grâce à LDAP et Samba. J'ai également mis en place une politique de mot de passe, grâce à un fichier .ldif. Cette politique est reconnue par LDAP mais pas par samba, j'ai essaier de jouer avec les lignes "unix password sync" "pam password" "ldap password sync" mais rien n'y fait 
J'ai bien essaier de googler mais rien n'y fait... A croire que je suis le seul a avoir ce problème 
Si quelqu'un a déjà eu ce problème peut-il m'aider afin de comprendre pourquoi samba ne détecte pas la politique ??
Voici mes fichiers :
smb.conf
[global]
workgroup = DOMAIN3DDUOTEST
server string = Controleur de domaine
netbios name = Alderaan
unix password sync = no
pam password change = yes
domain master = yes
local master = yes
domain logons = yes
client lanman auth = no
client ntlmv2 auth = Yes
lanman auth = yes
ntlm auth = yes
security = user
os level = 40
ldap ssl = off
ldap passwd sync = no
passdb backend = ldapsam:ldap://192.168.3.111/
ldap admin dn = cn=samba,dc=ma,dc=base
ldap suffix = dc=ma,dc=base
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = yes
encrypt passwords = yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
logon path = \\%L\profiles\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
#character set = iso8859-1
#domain admin group = @admin
dns proxy = No
wins support = Yes
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
passwd program = /usr/sbin/smbldap-passwd "%u"
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
unix charset = iso-8859-15
display charset = iso-8859-15
dos charset = 850
obey pam restrictions = yesMon slapd.conf :
[global]
workgroup = DOMAIN3DDUOTEST
server string = Controleur de domaine
netbios name = Alderaan
unix password sync = no
pam password change = yes
domain master = yes
local master = yes
domain logons = yes
client lanman auth = no
client ntlmv2 auth = Yes
lanman auth = yes
ntlm auth = yes
security = user
os level = 40
ldap ssl = off
ldap passwd sync = no
passdb backend = ldapsam:ldap://192.168.3.111/
ldap admin dn = cn=samba,dc=ma,dc=base
ldap suffix = dc=3dduo,dc=lan
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Machines
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = yes
encrypt passwords = yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
logon path = \\%L\profiles\%U
logon drive = P:
logon home = \\%L\%U
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
case sensitive = No
default case = lower
preserve case = yes
short preserve case = Yes
#character set = iso8859-1
#domain admin group = @admin
dns proxy = No
wins support = Yes
winbind use default domain = Yes
nt acl support = Yes
msdfs root = Yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
passwd program = /usr/sbin/smbldap-passwd "%u"
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
unix charset = iso-8859-15
display charset = iso-8859-15
dos charset = 850
obey pam restrictions = yesMon ppolicy.ldif :
dn: ou=policies,dc=ma,dc=base
ou: policies
objectClass: top
objectClass: organizationalUnit
# default, policies, example.com
dn: cn=default,ou=policies,dc=ma,dc=base
objectClass: pwdPolicyChecker
objectClass: top
objectClass: person
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 14688
pwdExpireWarning: 5000
pwdInHistory: 3
pwdCheckQuality: 2
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 60
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
pwdCheckModule: check_password.so
sn: dummy valueDernière modification par FlakeFr (Le 31/05/2012, à 15:09)
Hors ligne
#2 Le 30/05/2012, à 18:31
- labiloute
Re : Politique Samba et LDAP
Salut,
Si tu travailles sur une debian 6, alors ton slapd.conf ne doit rien contenir. Toute la conf d'openldap est contenue dans la base elle-même (depuis openldap 2.4). Il faut charger les schémas de base à l'aide de fichiers ldif.
Ensuite, il faut charger le schéma samba qui va bien, qui contiendra ta politique de mot de passe, et bien d'autres choses.
Il faut adapter ton smb.conf pour lui dire de passer par un backend ldap, ce qui semble pas trop mal à la vue de ton post.
Tu peut jeter un coup d'oeil à notre doc sur le sujet située ici , afin de comprendre (le plus possible) le fonctionnement de samba3 avec un backend openldap.
PS : Ton post contient un smb.conf à la place d'un slapd.conf
Bon courage
Dernière modification par labiloute (Le 30/05/2012, à 18:33)
Hors ligne
#3 Le 31/05/2012, à 09:04
- FlakeFr
Re : Politique Samba et LDAP
J'ai bien essaier de faire comme indiquer dans le document que tu m'as filé, or ceci ne change pas le problème, le mot de passe n'est toujours pas reconnu par samba mais bien par LDAP.
Voici mon slapd.conf :
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/ppolicy.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 256
modulepath /usr/lib/ldap
moduleload back_bdb
moduleload ppolicy.la
moduleload smbk5pwd.la
sizelimit 500
tool-threads 1
backend bdb
database bdb
suffix "dc=mon,dc=exemple"
overlay ppolicy
ppolicy_default "ou=default,ou=policies,dc=ma,dc=base"
ppolicy_use_lockout
ppolicy_hash_cleartext
overlay smbk5pwd
smbk5pwd-enable samba
rootdn "cn=samba,dc=mon,dc=exemple"
rootpw d6JnF9034LS4XHjV
directory "/var/lib/ldap"
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index objectClass eq
lastmod on
checkpoint 512 30
access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
by anonymous auth
by self =xw
by * none
access to dn.base="" by * read
access to *
by * readJ'ai bien essaier de faire un slapd.conf vide, d'y inclure les schema et de convertir. Premierement il me demande le fichier pidfile, ensuite la politique est toujorus invisible pour samba
Dernière modification par FlakeFr (Le 31/05/2012, à 15:09)
Hors ligne
#4 Le 03/06/2012, à 11:54
- hayou
Hors ligne
#5 Le 04/06/2012, à 08:50
- FlakeFr
Re : Politique Samba et LDAP
Voici le retour du dpkg :
ii slapd 2.4.23-7.2 OpenLDAP server (slapd)
ii slapd-smbk5pwd 2.4.23-7.2 Keeps Samba and Kerberos passwords in sync within slapd.
Hors ligne
#6 Le 06/06/2012, à 17:06
- FlakeFr
Re : Politique Samba et LDAP
Petit up ?
Hors ligne
Pages : 1