Authentification utilisateurs partage samba

Support Debian
#1

Bonjour à tous,

J’aurais besoin d’un peu d’aide pour m’orienter car je me perd un peu dans les différents type d’authentification Nunux.

J’ai monté sur une Debian Squeeze un contrôleur de domaine grâce à Samba/OpenLdap (il sert donc simplement à l’authentification des utilisateurs sur le domaine ainsi qu’à lancer un .bat pour le montage automatique des différents lecteurs réseaux), je dispose d’autres serveurs sur lesquels nous avons aussi Samba dans le but de partager des dossiers.

Ma question est donc: est-il possible (en modificant le smb.conf de ces autres serveurs) de leur indiquer d’authentifier les utilisateurs sur le contrôleur de domaine? Car la c’est pas top, lorsqu’un nouvel utilisateur arrive, nous devons lui créer un compte sur le contrôleur ainsi que sur les autres serveurs serveurs pour qu’il puisse avoir accès aux lecteurs réseaux pointant sur ces serveurs (car il y a des restrictions en fonction de chaque partage)…

Sinon faut-il passer par Pam ou je ne sais quoi? Ou est ce qu’un passdb backend = ldapsam:ldap://ipControleur/ dans le smb.conf suffit?

Merci de votre aide :slightly_smiling:

#2

Bonjour,

Je viens de poster aussi une question sur samba qui d’apparence ressemble à la tienne, si j’ai bien compris ta situation. En fait, tu veux savoir s’il est impératif de créer les comptes des nouveaux utilisateurs également sur tes serveurs de partage ?

Ceci dit, tu peux aussi faire un script qui permettrait de déployer les comptes utilisateurs sur l’ensemble de tes serveurs de partages. La contrainte, c’est qu’il n’est pas immédiat, ou sinon il faudrait que tu le lances à la mains, éventuellement.

#3

Non justement, je pense que ce n’est pas impératif, je veux juste savoir comment dire à tout ces Samba d’aller authentifier les utilisateurs qui utilisent les partages, sur le contrôleur de domaine.
Et pas envie de me faire c***r avec un script, je sais que c’est possible de gérer ça (surement via le protocole LDAP je pense). :drool:

#4

Donc, si je comprends bien, en prenant en compte ta réponse sur mon post ;-), tes utilisateurs sont déjà enregistré sur les systèmes de l’ensemble des serveurs de partage.

Regarde ce lien, peut-être qu’il répondra à ta question, avec un nfs qui permet d’accéder à la tbd :
ferry.eof.eu.org/lesjournaux/pl/ … x3290.html

#5

Non justement, je veux qu’ils soient créés seulement sur le contrôleur de domaine et que les autres serveurs lui demande si tel ou tel utilisateur existe bien (avec les droits associés) afin de l’autoriser ou pas à utiliser tel ou tel lecteur réseau. :wink:

Pour ton lien, c’est comme ça que je pensais faire (faut tester après :/) avec le passdb backend & co. Je pense que ça doit pas être plus compliqué que ça mais bon y’a tellement d’autre truc pour les authentifications (Pam par exemple comme je disais) que je suis un peu perdu et que j’aurais aimé avoir un avis extérieur :023 .

#6

Hummm il faut aussi surement utiliser le package libnss-ldap. :ugeek:

#7

Je viens de trouver ces informations dans mon smb.conf, cela pourra certainement t’aider :

[quote]########## Domains ###########

Is this machine able to authenticate users. Both PDC and BDC

must have this setting enabled. If you are the BDC you must

change the ‘domain master’ setting to no

; domain logons = yes

The following setting only takes effect if ‘domain logons’ is set

It specifies the location of the user’s profile directory

from the client point of view)

The following required a [profiles] share to be setup on the

samba server (see below)

; logon path = \%N\profiles%U

Another common choice is storing the profile in the user’s home directory

(this is Samba’s default)

logon path = \%N%U\profile

The following setting only takes effect if ‘domain logons’ is set

It specifies the location of a user’s home directory (from the client

point of view)

; logon drive = H:

logon home = \%N%U

The following setting only takes effect if ‘domain logons’ is set

It specifies the script to run during logon. The script must be stored

in the [netlogon] share

NOTE: Must be store in ‘DOS’ file format convention

; logon script = logon.cmd

This allows Unix users to be created on the domain controller via the SAMR

RPC pipe. The example command creates a user account with a disabled Unix

password; please adapt to your needs

; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos “” %u

This allows machine accounts to be created on the domain controller via the

SAMR RPC pipe.

The following assumes a “machines” group exists on the system

; add machine script = /usr/sbin/useradd -g machines -c “%u machine account” -d /var/lib/samba -s /bin/false %u

This allows Unix groups to be created on the domain controller via the SAMR

RPC pipe.

; add group script = /usr/sbin/addgroup --force-badname %g[/quote]

#8

Je me suis déjà farci un bon nombre de doc, y compris ce truc :023
Je pense avoir trouvé de toute façon, j’ai l’impression qu’il suffit de mettre security = server et password server = … pour que ça marche, je vais tenter de tester tout ça et je reviendrais vous dire si ça fonctionne :smiley:

#9

Ne fonctionne pas, j’ai l’erreur suivante dans mes log:

Authentication for user [nomUser] FAILED with error NT_STATUS_INVALID_PARAMETER

J’investigue la dessus… :108