Modification de Samba : Monter un controleur de domaine avec OpenLDAP
La modification peut être annulée. Veuillez vérifier les différences ci-dessous pour voir si c’est bien ce que vous voulez faire, puis publier ces changements pour finaliser l’annulation de cette modification.
Version actuelle | Votre texte | ||
Ligne 1 : | Ligne 1 : | ||
Il y a de ça déjà quelques années j'avais écris une doc sur le wiki de fedora-fr.org sur l'installation d'un système OpenLDAP + Samba ... | Il y a de ça déjà quelques années j'avais écris une doc sur le wiki de fedora-fr.org sur l'installation d'un système OpenLDAP + Samba ... | ||
Bon cette doc a pris un bon coup de vieux avec le temps et j'ai mis au point des méthodes bien plus précises, mais elle vallait le coup d'être citée et je mettrais quelques annotations quand j'aurais refais le tour. | Bon cette doc a pris un bon coup de vieux avec le temps et j'ai mis au point des méthodes bien plus précises, mais elle vallait le coup d'être citée et je mettrais quelques annotations quand j'aurais refais le tour. | ||
{{Auteur|Adadov}} | |||
Ce type de serveur permet de gérer l'authentification centralisée pour des clients Windows et Linux. | Ce type de serveur permet de gérer l'authentification centralisée pour des clients Windows et Linux. | ||
Ligne 197 : | Ligne 197 : | ||
===Utilitaires OpenLDAP et fichiers LDIF=== | ===Utilitaires OpenLDAP et fichiers LDIF=== | ||
Un fichier LDIF type pour un utilisateur : | Un fichier LDIF type pour un utilisateur : | ||
dn: uid=user1,ou=Users,dc=example,dc=com | |||
dn: uid=user1,ou=Users,dc=example,dc=com | cn: user1 | ||
cn: user1 | objectClass: top | ||
objectClass: top | objectClass: account | ||
objectClass: account | objectClass: posixAccount | ||
objectClass: posixAccount | objectClass: shadowAccount | ||
objectClass: shadowAccount | uid: user1 | ||
uid: user1 | userPassword:: eMNoen1gVuZerulrbsFdre9PVAJRSIROSL3sS4LESS09 | ||
userPassword:: eMNoen1gVuZerulrbsFdre9PVAJRSIROSL3sS4LESS09 | uidNumber: 1000 | ||
uidNumber: 1000 | gidNumber: 1000 | ||
gidNumber: 1000 | homeDirectory: /home/ldap/user1 | ||
homeDirectory: /home/ldap/user1 | loginShell: /bin/bash | ||
loginShell: /bin/bash | |||
Pour le userPassword vous pouvez le rentrer en clair ou crypté avec les protocoles CRYPT, SSHA ou MD5. <br /> | Pour le userPassword vous pouvez le rentrer en clair ou crypté avec les protocoles CRYPT, SSHA ou MD5. <br /> | ||
Un fois que vous avez entré ces quelques lignes dans un fichier quelquechose.ldif il ne vous reste plus qu'à introduire ces données dans l'annuaire, pour cela nous allons utiliser la commande : | Un fois que vous avez entré ces quelques lignes dans un fichier quelquechose.ldif il ne vous reste plus qu'à introduire ces données dans l'annuaire, pour cela nous allons utiliser la commande : | ||
Ligne 218 : | Ligne 216 : | ||
===Les smbldap-tools=== | ===Les smbldap-tools=== | ||
Ce sont de petits utilitaires qui permettent une gestion simplifiée des données de l'annuaire. Ils peuvent être utilisés pour gérer aussi bien les comptes Windows que les comptes Linux. | |||
Ce sont de petits utilitaires qui permettent une gestion simplifiée des données de l'annuaire. | |||
Ils peuvent être utilisés pour gérer aussi bien les comptes Windows que les comptes Linux. | |||
====Configuration==== | ====Configuration==== | ||
Le fichier smbldap_bind.conf contient les informations de connexion qu'utiliseront les smbldap-tools donc de toute évidence il faut mettre ici un compte utilisateur qui a le droit de créer des entrées diverses dans la base LDAP, pour le moment nous mettrons le Manager, celui qui a tous les droits. <br /> | Le fichier smbldap_bind.conf contient les informations de connexion qu'utiliseront les smbldap-tools donc de toute évidence il faut mettre ici un compte utilisateur qui a le droit de créer des entrées diverses dans la base LDAP, pour le moment nous mettrons le Manager, celui qui a tous les droits. <br /> | ||
<path>/etc/smbldap/smbldap_bind.conf</path> : | <path>/etc/smbldap/smbldap_bind.conf</path> : | ||
Ligne 426 : | Ligne 420 : | ||
Nous pouvons aussi voir les autres lignes et ajouter LDAP à certaines suivant les informations que nous voulons dans notre annuaire. | Nous pouvons aussi voir les autres lignes et ajouter LDAP à certaines suivant les informations que nous voulons dans notre annuaire. | ||
{{Note|titre=Pour éviter les requêtes trop nombreuses| | {{Note|titre=Pour éviter les requêtes trop nombreuses|contenu=Pour éviter les requêtes trop nombreuses sur le serveur LDAP vous pouvez activer le service nscd sur vos clients linux qui mettra en cache les résultats de requêtes et éviter ainsi de surcharger le serveur LDAP.}} | ||
==Configuration des clients Windows== | ==Configuration des clients Windows== | ||
Ligne 432 : | Ligne 426 : | ||
La méthode la plus simple est d'utiliser les smbldap-tools pour le faire, il vous suffira de taper la commande suivante : | La méthode la plus simple est d'utiliser les smbldap-tools pour le faire, il vous suffira de taper la commande suivante : | ||
smbldap-useradd -w NomOrdinateur$ | smbldap-useradd -w NomOrdinateur$ | ||
{{Note|titre=Le nom du compte| | {{Note|titre=Le nom du compte|contenu=Vous pouvez écrire le nom du compte avec ou sans le $ à la fin mais je vous conseille de prendre l'habitude de le mettre afin de bien garder en tête que tout ce qui finit par $ est un ordinateur Windows. Si vous ne le mettez pas smbldap-useradd le fera pour vous.}} | ||
===Ajout de l'ordinateur Windows dans le domaine=== | ===Ajout de l'ordinateur Windows dans le domaine=== | ||
Ligne 469 : | Ligne 463 : | ||
[[Category:SysAdmin]] | [[Category:SysAdmin]] | ||