Problemes configuration openldap/samba

Système d'exploitation Linux
1

Bonjour a tous,

J’essaie d’installer OpenLdap en contrôleur de domaine couplé avec Samba, cependant j’ai un problème.
En effet lorsque j’essaie d’ajouter un groupe j’ai le message d’erreur suivant :

J’ai cherché un peu partout, j’ai regarder des exemples de smbldap.conf et je ne trouve pas la solution a mon problème …

En espérant que vous pourrez m’aider … :grin:

Je vous mets en dessous les fichier de config :

smbldap.conf :

smbldap_bind.conf :

smb.conf :

Edité le 02/06/2014 à 04:05

2

Salut,

Pas simple ta question sans plus d’infos. Je suis pas certain que tes fichiers de conf soient la cause du problème…

Si c’est toi qui as posté sur le forum Debian, je suppose que tu est sur la dernière version de Debian ?

Tu pourrais nous donner le lien vers le tuto que tu as choisi de suivre ?

Tu sembles faire appel à des outils tiers (smbldaptools), qui eux mêmes utilisent (entre autres) du perl pour fonctionner. Autant partir de l’erreur pour voir si tu peux remonter la piste :

  • Quoi il y a sur cette fameuse ligne 454 qui génère l’erreur ?
  • As tu rencontré des messages d’erreur lors de l’installation de smbldaptools ? De certaines dépendances ou modules perl ?
  • As tu rentré à un moment ou un à autre le fameux « smbpasswd -W » ou une commande équivalente ?

:slight_smile:

3

Bonjour woolf, oui c’est bien moi qui est posté ce message :slight_smile:

Je m’aide du tuto de ce PDF : samuel.chevalley.free.fr…

A la ligne 454 du fichier/usr/share/perl5/smbldap_tools.pm line

il y a :

Je crois que le fichier en question est un immense script en perl (langage que je n’ai jamais utilisé …)

Sinon, je n’ai pas rencontré de message d’erreur lors de l’installation de smbldaptools, les seul erreur que j’ai eu venait de mes fichier de config mais après quelques corrections ces messages d’erreurs disparaissaient. Par contre pour le dernier que j’ai posté je suis bloqué …

Et oui j’ai pourtant bien rentrer la commande « smbpasswd -W » :s

4

Ok, donc on peut supposer qu’il y aurait une variable ($mesg ??) mal renseignée ou inexistante, mais ça ne nous avance pas beaucoup…
Je n’utilise pas d’outils perl pour les serveurs ldap…

Quelle commande (complete) utilises tu pour ajouter ton groupe ? Une page avec quelques ref ici

Tu peux ajouter des utilisateurs en 513 par défaut (groupe users windows) ou pas ?

As tu essayé de te connecter à ton serveur ldap via un outil tiers comme « phpLdapAdmin » (web interface), ldapadmin (windows) ou equivalent sous Linux ?

Je jette un oeil à ton tuto, au cas où un truc me sauterais aux yeux…

5

Re,

Oui ca serai pour ajouter des user windows, j’utilise la commande « smbldap-groupadd -a groupe test »

Je vais essayer avec phpldapadmin !

Quand j'essaie de me connecter a phpldapadmin j'ai un message d'erreur :

Le user que j’utilise est cn=admin,dc=longwy,dc=local

Apparament j’arrive pas a contacter le serveur LDAP

J’ai egalement un message d’erreur quand je lance cette commande :

« ldapsearch -H -D cn=admin,dc=longwy,dc=local -b dc=longwy,dc=local -W »

Ca me met :

Mais je ne vois pas d’ou ca pourrai venir :s
Edité le 31/05/2014 à 17:11

6

ok, tu avances encore :wink:

Si un outil de base ne peut contacter le service ldap, smbldap ne pourra pas non plus le faire.

Donc ton ldap, c’est le meme serveur physique que ton samba ?

Si oui, les lignes « slaveldap » et « masterLdap » devraient plutot être fixées à 127.0.0.1 non ?

Quand tu démarres le « service ldap » de ta Debian, tu as un message d’erreur ? quelquechose dans les logs ?

7

Oui tout est sur une seul machine virtuelle Debian.

J’ai mis 127.0.0.1 dans le smbldap.conf et retenter de taper la commande « ldapsearch -H … -D cn=admin,dc=longwy,dc=local -b dc=longwy,dc=local -W » mais j’ai toujours le meme message d’erreur …

Et sinon je n’est aucun message d’erreur quand je redémarre les services LDAP.

8

Le serveur se connait lui même ? (partie a renseigner dans le « /etc/host » page 3 de ton tuto) ?

nslookup  nom_de_ton_serveur   (essaie le court et le long)

Si oui, que donne la commande de verif simple (page 4 de ton tuto) :


ldapsearch -LLL -Y EXTERNAL -H ldapi:trois_slash  -b cn=config dn

note : remplace trois_slash par trois vrais slashs, le code du forum continue à nous casser les…
Edité le 31/05/2014 à 18:21

9

le nslookup SRVPDC ne donne rien. Je sais pas si c’est important mais je n’ai aucun DNS de configurer sur mon serveur, est ce important ?

Sinon normalement le fichier hosts est bien configurer j’ai rajouter :

192.168.0.200 SRVPDC.longwy SRVPDC

A la base il y avait :

127.0.0.1 localhost
127.0.1.1 SRVPDC.localdomaine SRVPDC

J’ai simplement rajouter la ligne avec l’IP de mon serv et son nom.

Ca peut venir de la ?

10

Tu as forcément au moins un serveur dns (pas un service dns sur ton serveur hein, un serveur dns externe) de renseigné, sinon le serveur ne saurait même pas aller jusqu’à google.fr ou faire ses updates.

En théorie, l’info est dans le fichier /etc/resolv.conf, un cat de ce fichier te dira le serveur dns que tu as renseigné à l’installation ou juste après.

Ok pour la ligne, donc un « ping » des noms courts ou longs devrait fonctionner non ?

Toujours selon ton tuto, s’il y a des erreurs, tu devrais les voir dans le fichier /var/log/syslog.

En mode simple, tu ouvres un terminal pour la commande :

# tail -f /var/log/syslog

Et un autre terminal qui te sert à relancer le service ldap

# /etc/init.d/slapd restart

Enfin, juste pour être sûr, jette un oeil aux ports en écoute sur ton serveur :

# netstat -tanpu

Le port 389 devrait apparaitre, peux tu nous donner les lignes de retour ?

11

En fait sur ma machine, j’ai deux cartes reseaux. Eth0 en NAT et Eth1 en local. J’ai internet par la carte NAT et sur la local j’ai juste mis mon IP et le masque.

Le port 389 est bien en « LISTEN » mais j’ai l’impression qu’il est sur l’interface NAT c’est peut etre ca qui pose probleme ?

Sur syslog j’ai ca :

C’est possible que ca soit le fait que j’ai deux cartes reseaux dont une en NAT qui pose probleme ?
Edité le 31/05/2014 à 21:25

12

Si c’est une machine virtuelle, il serait peut-etre plus simple de commencer par une patte réseau standard non ?

Après, si tu modifies le fichier de conf vers 127.0.0.1 au niveau du service ldap, il devrait pouvoir le joindre… Devrait mais pas certain puisque dépendant du type de paravirtualisateur et du mode (bridge ou autre) affecté au réseau virtuel…

Bref c’est pas forcément la cause, mais ça aide pas à débugguer… :wink: D’autant que ton message d’erreur précédent indique bien que la commande (ou l’outil) n’arrive pas à joindre le server Ldap (can’t connect ldap server)
Edité le 31/05/2014 à 23:33

13

Le meiux ca serai que je mettent une seul carte réseau en Bridge ? et que je modifie les ip renseigné en conséquence ?

14

Bein, on a pas des masses d’infos sur ce qui t’entoure (infra, matériel, virtu, etc…) toi seul le sais :slight_smile:

Mais comme ça de but en blanc, je dirais que partir du plus simple facilite grandement les situations de test…
Edité le 01/06/2014 à 14:51

15

Re,

J’ai tout recommencé en suivant ce tuto : siddou.hd.free.fr…

Apparemment ça fonctionne, je peux créer des user et des groupes ainsi que me connecter a phpldapadmin.

J’ai maintenant un autre problème … J’arrive pas a connecter un client windows xp sur mon domaine.

J’ai pourtant ajouter l’ip de mon serveur dans la configuration IP dans l’onglet wins mais impossible de contacter le domaine …

Pourtant je ping mon serveur ldap depuis mon client XP.

16

A oui et j’ai essayer de rentrer le client dans le domaine en tapant aussi bien :

l’ip du serveur LDAP 172.16.0.200

son nom de domaine : longwy.local ou longwy en majuscule en minuscule tout plein de syntaxe différente.

17

Salut Dimii75,

Un controleur de domaine renseigné par son ip ?

Peux tu rentrer dans l’un des partages serveur que tu as créé via samba avec l’un des utilisateurs que tu as déclaré dans le ldap (dans la barre d’adresse d’un explorateur windows, tape antislash deux fois et l’ip du serveur) ?

Peux tu tout d’abord, dans les paramètres réseau de ton xp, renseigner l’ip de ton controleur de domaine comme premier serveur dns ? Puis ensuite effectuer la jonction au domaine (via l’onglet nom de l’ordinateur de propriétés systeme) ?

Note que c’est juste une astuce pour tester le serveur de domaine, pas une méthode de prod…
Edité le 01/06/2014 à 20:00

18

Alors quand j?exécute \172.16.0.200 j’ai bien accès au partage avec le compte root cependant dans ce partage si j’essaie d?accéder au dossier groupe1 avec un utilisateur que j’ai créer, ça ne fonctionne pas …

Même avec l’ip de mon serveur de renseigné dans les DNS, je ne peux pas effectuer la jonction au domaine.

19

ok, je pense que le plus simple est de procéder dans l’ordre en commençant par les accès au partage.

Avec « root » tu peux y accéder depuis un windows ? et pas avec le compte admin (ou administrateur selon ce que tu as créé ?)
tu peux créer un fichier test.txt dans le partage depuis windows (avec root ou autre) ?

Tu as bien redémarré samba (et ldap) après chaque modif (ajout) d’utilisateur ou de droits d’accès ?
Le (ou les) dossier(s) partagé(s) ne seraient pas bloqués au sens linux (r…) ? Vérifie avec une commande « ls -la » depuis un terminal en root sur le serveur et copie colle le retour ici
Edité le 01/06/2014 à 20:13

20

En fait depuis ma machine windows quand j’execute 172.16.0.200 je vois 4 dossiers :

  • root
  • share
  • groupe1
  • télécopieur et imprimante

Je peux accéder a tous les dossier et creer un document « test » sauf sur le groupe1 avec l’utilisateur root.

Avec l’utilisateur que j’ai créer (user=aburgun), je peux accéder a tous les dossier et créer un fichier « test » même le dossier groupe1.

Mais la jonction au domaine reste impossible.

Avec la commande ls -la j’ai ca :

Edité le 01/06/2014 à 20:33