[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: samba ldap: passdb/pdb_get_set.c:212(pdb_get_group_sid) [solved]

Le 15/03/2013 09:50, admini a écrit :

Le 15/03/2013 09:03, admini a écrit :

Le 15/03/2013 08:57, admini a écrit :

Le 15/03/2013 08:48, Bzzz a écrit :

On Fri, 15 Mar 2013 08:35:02 +0100
admini <admini@freeatome.com> wrote:


après distupgrade, le domaine a disparu.

Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.

Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.

J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.


oui, j'ai remarqué ca.

dans /etc/default/slapd, j'ai rajouté

# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap 
ca ne change rien ... pam ldap ne contacte pas l'annuaire.


bon, j'ai avancé.
pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux spécificité de l'annuaire( après un restart de nscd bien entendu). mais, samba est toujours dans les choux, le domaine n'est pas disponible, et il veut toujours checker les comptes locaux, pourtant les fichiers de /etc/smbldap-tools/ ont l'air bon 
###############smbldap.conf
#SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2
SID="S-1-5-21-196694722-3910447200-2855222568"
#SID="S-1-5-21-3285739382-3344124192-1710572844"
sambaDomain="HGXLX"
masterLDAP="ldap.toto.fr"
masterPort="389"
slaveLDAP="ldap2.toto.fr"
slavePort="389"
ldapTLS="0"
verify="allow"
suffix="dc=toto,dc=fr"
usersdn="ou=users,${suffix}"
computersdn="ou=computers,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=idmap,${suffix}"
# La ligne ci-dessous est commentee pour eviter une erreur lors de
# l'execution de la commande smbldap-populate.
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
#Nom d'affichage - utiliser smbldap-useradd -c
userGecos="User"
defaultUserGid="513"
defaultComputerGid="1120"
skeletonDir="/etc/skel"
#Les mots de passe expirent dans 10ans
defaultMaxPasswordAge="3650"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# mk_ntpasswd="/usr/local/sbin/mkntpwd"

#############smbldap_bind.conf

masterDN="cn=admin,dc=toto,dc=fr"
masterPw="mot de passe"
bon, ca marche. en gros, il faut laisser la config nouvelle façon de ldap. j'ai qd meme importé tous les schémas sous forme ldif, mais cela n'était pas la solution. puis, coté samba, il faut savoir qu'il y a des années, les admin ont voulu faire le malin et mettre le serveur sur un subnet à part, routé par un firewall.
depuis, pas mal de gens ont des lenteur de connexion le matin, voir impossible d'ouvrir sa session avant 4 tentatives.
J'ai alors rajouté une patte eth sur le samba, et l'ai taggé au vlan bureautique. et bingo, ca marche! tout le monde se log très vite. je pense que la nouvelle version de samba a un timout plus court ...
ca, il faut fouiller dans les codes. moralité, ne jouez pas au plus malin avec $M$, et mettez bien le pdc dans le meme segment eth que les clients.
Reply to: