Ldap, création de répertoire et montage à distance

Support Debian
#1

Bonjour la communauté,

je suis sur un projet assez conséquent en ce moment et j’ai besoin de votre aide. Je vous fait le tableau :
Je m’occupe des écoles communales et je prévoit de basculer en tout linux. La solution actuelle (Windows Xp pour les clients et serveur Kwartz, sur lequel je n’ai pas le contrôle) ne correspond plus à nos besoins. De ce fait, je prépare un serveur principal sous Debian (7.8) et mes postes clients seront également Debian, avec soit MATE, soit LXDE en interface graphique (je suis encore à l’hésitation).

Mon serveur doit occuper les rôles suivants :

  • DRBL (terminé)
  • VPN (plus tard)
  • Proxy (terminé)
  • DHCP (terminé)
  • Annuaire (en cours)
  • Backup (en cours)

En l’état, j’en suis rendu à l’étape d’annuaire. J’ai réussi à mettre en place un serveur LDAP qui fonctionne (j’ai mes groupes, mes utilisateurs) et mes clients peuvent se connecter avec les utilisateurs de mon LDAP.
C’est la suite qui pose problème. En premier lieu, j’aimerais savoir comment faire pour que, lorsque j’ajoute un utilisateur à mon annuaire LDAP, son home (sur le serveur) se créé automatiquement.
Ensuite, j’aimerais qu’à la connexion de mes utilisateurs sur les postes clients, plusieurs répertoires stockés sur le serveur se montent (un pour l’utilisation, son home en l’occurrence, un pour son groupe et un dossier commun à tout le monde). Le truc, c’est que je sais le faire pour un serveur SAMBA et des postes clients Windows mais je n’y arrive pas sur du tout linux (un comble quand même)
J’ai suivi plusieurs tutos sur le web mais la plupart datent et je me perd dans les configurations à force.

Du coup, j’en fait appel à vous, sauriez vous m’aider à créer les homes de mon annuaire et réussir à monter des répertoires à distances ?

Merci d’avance

#2

Bonjour

Bon je vais être clair pour la gestion du domaine laisse tomber ldap et autres bidouillages (j’ai testé et assez souffert avec ça).

Rien ne vaut un bon windows server avec active directory et comme cela tu est tranquille.

De plus c’est fiable, super facile à gérer et tu peux simplement lui confier également la gestion du dns et dhcp.

Pour relier tes clients à active directory, utilise PBIS-OPEN (C’est comme cela que j’ai fait pour mes clients Ubuntu 14.04LTS)

Maintenant pour le montage auto de tes repertoires l’ouverture de session, regarde entre autre du coté du fichier pam_mount.conf.xml du paquet libpam-mount

aller c’est mon jour de bonté voila la copie de mes 3 fichiers clefs gérant le montage auto à l’ouverture de session sur 14.04LTS

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat lsass
group:          compat lsass
shadow:         compat

hosts:          dns files
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session [success=ok default=ignore]                     pam_umask.so
# and here are more per-package modules (the "Additional" block)
session required        pam_unix.so 
session [success=ok default=ignore]     pam_mount.so
session [success=ok default=ignore]     pam_lsass.so 
session [success=ok default=ignore]     pam_systemd.so
session [success=ok default=ignore]     pam_ck_connector.so nox11
# end of pam-auth-update config
/etc/security#
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!-- See pam_mount.conf(5) for a description. This should go in /etc/security/ -->
<pam_mount>
<debug enable="0" />

<!-- Volume definitions -->

<volume
    fstype="cifs"
    server="192.168.0.50"
    path="data"
    mountpoint="/home/%(USER)/Reseau"
    user="*" 
    options="nodev,nosuid,dir_mode=0700"
    />

<volume
    fstype="cifs"
    server="192.168.0.50"
    path="echanges"
    mountpoint="/home/%(USER)/Echange/"
    user="*" 
    options="nodev,nosuid,dir_mode=0700"
    />

<volume
    fstype="cifs"
    server="192.168.0.50"
    path="home"
    mountpoint="/home/%(USER)/Perso"
    user="*" 
    options="nodev,nosuid,dir_mode=0700"
    />

<!-- pam_mount parameters: General tunables -->

<!--<luserconf name=".pam_mount.conf.xml" />-->

<!-- Note that commenting out mntoptions will give you the defaults.
You will need to explicitly initialize it with the empty string
to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,nonempty,allow_other,sec,dir_mode,file_mode" />
<mntoptions require="nosuid,nodev,dir_mode" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<logout wait="0" hup="0" term="0" kill="0" />
<!-- pam_mount parameters: Volume-related -->
<mkmountpoint enable="1" remove="true" />
</pam_mount>

dans mon cas le 192.168.0.50 est un nas synology et c’est lui qui gere les accés en étant connecté à l’active directory du domaine.
C’est pour cela que j’ai "options=“nodev,nosuid,dir_mode=0700” si tu a des soucis d’accès c’est au niveau des options qu’il va falloir que tu fasse tes ajustements.

#3

Pas tout compris puisque Samba 4 est livré avec :
[ul][li] Un LDAP intégré compatible AD[/li]
[li] Un Kerberos KDC[/li]
[li] Un DNS intégré dynamique et sécurisé[/li]
[li] Un serveur RPC[/li]
[li] Prise en charge des GPO[/li]
[li] Support de configuration via les RSAT de Windows 7[/li]
[li] Administration en ligne avec samba-tool [/li][/ul]