C" est pour ca que j' ai di " il me semble".fredouille wrote:Sérieux !!!!!!!
je suis obligé d'utiliser samba pour les machines windows ????
LDAP ne gère pas ca tout seul ????
Il faut voir si quelqu'un a déja fait ca avec des machines Windows.
connexion ldap par phpldapadmin
Il faut voir si quelqu'un a déja fait ca avec des machines Windows.
concernant les tutos, j'en ai trouvé, mais soit ils sont obsolètes (mars 2005 en parution) soit de mes essais non fonctionnels.
Tu aurais encore ceux que tu as suivis ???
Tu aurais encore ceux que tu as suivis ???
Regarde sur ce site :
http://www.server-world.info/en/note?os=Fedora_11&p=ldap
Mais c' est pour du Linux only.
http://www.server-world.info/en/note?os=Fedora_11&p=ldap
Mais c' est pour du Linux only.
ok merci à tous les deux pour les tuyaux... j'y cours.
mon idée (ou plutôt mon besoin) est la suivante :
- avoir un serveur gérant les connexions internet (passerelle) celui-ci tourne c'est ok.
- avoir un serveur gérant les authentifications linux et windows des clients pour qu'en fonction du groupe dans lequel ils sont puissent se promener plus ou moins librement sur internet.
Donc si vous avez des propositions ou suggestions pour mes besoins, c'est avec un très grand plaisir que je les accepte d'avance....
Merci encore pour l'aide que vous avez déjà su m'apporter.....
mon idée (ou plutôt mon besoin) est la suivante :
- avoir un serveur gérant les connexions internet (passerelle) celui-ci tourne c'est ok.
- avoir un serveur gérant les authentifications linux et windows des clients pour qu'en fonction du groupe dans lequel ils sont puissent se promener plus ou moins librement sur internet.
Donc si vous avez des propositions ou suggestions pour mes besoins, c'est avec un très grand plaisir que je les accepte d'avance....
Merci encore pour l'aide que vous avez déjà su m'apporter.....
Si c' est juste pour Internet.
Au lieu de mettre en place un controlleur de domaine il te faut juste un proxy avec authentification.
Regardes du coté de Squid.
Au lieu de mettre en place un controlleur de domaine il te faut juste un proxy avec authentification.
Regardes du coté de Squid.
on est d'accord, j'ai bien pensé au proxy avec authentification et je suis tombé sur squid également.
Mais je souhaiterai que mes clients n'aient pas à passer leur temps à entrer des mots de passe (mdp pour ouvrir une session, mdp pour aller sur internet, etc......).
Donc l'idée ou plutôt la solution que j'ai trouvé sur internet est de mettre en place un controleur de domaine, comme ca un seul mot de passe pour les utilisateurs et c'est le controleur de domaine qui dit à squid (donc le proxy) là où les utilisateurs peuvent aller en fonction de leurs droits.
D'ailleurs j'ai suivi et adapté ton fil, et tout s'est bien passé jusqu'au moment où j'ai voulu ajouter mon 1er utilisateur avec la commande : ldapadd -h localhost -x -D "cn=Manager,dc=server-linux,dc=info" -W -f passwd.ldif.
La console m'a retourné ceci comme message :
Mais je souhaiterai que mes clients n'aient pas à passer leur temps à entrer des mots de passe (mdp pour ouvrir une session, mdp pour aller sur internet, etc......).
Donc l'idée ou plutôt la solution que j'ai trouvé sur internet est de mettre en place un controleur de domaine, comme ca un seul mot de passe pour les utilisateurs et c'est le controleur de domaine qui dit à squid (donc le proxy) là où les utilisateurs peuvent aller en fonction de leurs droits.
D'ailleurs j'ai suivi et adapté ton fil, et tout s'est bien passé jusqu'au moment où j'ai voulu ajouter mon 1er utilisateur avec la commande : ldapadd -h localhost -x -D "cn=Manager,dc=server-linux,dc=info" -W -f passwd.ldif.
La console m'a retourné ceci comme message :
tu vois ce qui déconne ???[root@fredouille_machine MigrationTools-47]# ldapadd -h localhost -x -D "cn=Manager,dc=server-linux,dc=info" -W -f passwd.ldif
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
Tu peux poster ton fichier slapd.conf et renvoi la commande service ldap status
voici mon slapd.conf
et voic le résultat de la commande service slapd status :
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/collective.schema
# Allow LDAPv2 client connections. This is NOT the default.
allow bind_v2
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
# Load dynamic backend modules:
# modulepath /usr/lib/openldap # or /usr/lib64/openldap
# moduleload accesslog.la
# moduleload auditlog.la
# moduleload back_sql.la
# moduleload denyop.la
# moduleload dyngroup.la
# moduleload dynlist.la
# moduleload lastmod.la
# moduleload pcache.la
# moduleload ppolicy.la
# moduleload refint.la
# moduleload retcode.la
# moduleload rwm.la
# moduleload syncprov.la
# moduleload translucent.la
# moduleload unique.la
# moduleload valsort.la
# The next three lines allow use of TLS for encrypting connections using a
# dummy test certificate which you can generate by changing to
# /etc/pki/tls/certs, running "make slapd.pem", and fixing permissions on
# slapd.pem so that the ldap user or group can read it. Your client software
# may balk at self-signed certificates, however.
# TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
# TLSCertificateFile /etc/pki/tls/certs/slapd.pem
# TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# ldbm and/or bdb database definitions
#######################################################################
database bdb
suffix "dc=server-linux,dc=info"
checkpoint 1024 15
rootdn "cn=Manager,dc=server-linux,dc=info"
# Cleartext passwords, especially for the rootdn, should
# be avoided. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw secret
# rootpw {crypt}ijFYNcSNctBYg
rootpw {SSHA}JpgroKHrCfFM8E5+UtS0z26anbsX/hDk
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/lib/ldap
# Indices to maintain for this database
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
# Replicas of this database
#replogfile /var/lib/ldap/openldap-master-replog
#replica host=ldap-1.example.com:389 starttls=critical
# bindmethod=sasl saslmech=GSSAPI
# authcId=host/ldap-master.example.com@EXAMPLE.COM
access to attrs=userPassword
by self write
by dn="cn=Manager,dc=server-linux,dc=info" write
by anonymous auth
by * none
access to *
by dn="cn=Manager,dc=server-linux,dc=info" write
by self write
by * read
# enable monitoring
database monitor
# allow only rootdn to read the monitor
access to *
by dn.exact="cn=Manager,dc=server-linux,dc=info" read
by * noneet voic le résultat de la commande service slapd status :
[root@fredouille_machine ~]# service ldap status
ldap: service non reconnu
[root@fredouille_machine ~]# service slapd status
slapd (pid 1529) en cours d'exécution...
Peux tu faire un ls /etc/openldap .
Tu n' as pas d' erreurs quand tu redémarres le service slapd ?
Quand tu vas sur phpldapadmin et que tu te connectes en anomyme tu vois quelle arboressence (server-linux.info) ?
Tu n' as pas d' erreurs quand tu redémarres le service slapd ?
Quand tu vas sur phpldapadmin et que tu te connectes en anomyme tu vois quelle arboressence (server-linux.info) ?
salut,
voici le retour de la commande ls :
tu vois d'où vient le probleme ???
voici le retour de la commande ls :
si, quelques avertissements quand je démarre le service :[fredouille@fredouille_machine ~]$ ls /etc/openldap
anc-slapd.d ldap.conf schema slapd.conf.bak
cacerts ldap.conf.bak slapd.conf
quand je vais sur phpldapadmin, j'ai bien l'arborescence de serveur-linux.info,[root@fredouille_machine ~]# service slapd start
Vérification des fichiers de configuration pour slapd : [AVERTISSEMENT]
/etc/openldap/slapd.conf: line 122: rootdn is always granted unlimited privileges.
/etc/openldap/slapd.conf: line 127: rootdn is always granted unlimited privileges.
config file testing succeeded
Démarrage de slapd : [ OK ]
tu vois d'où vient le probleme ???
Essayes de te logguer avec le manager sur phpldapadmin
Ton mot de passe n'est pas le bon. Pour être plus précis, le mot de passe du compte "cn=Manager,dc=server-linux,dc=info" n'est pas bon.fredouille wrote:tu vois ce qui déconne ???[root@fredouille_machine MigrationTools-47]# ldapadd -h localhost -x -D "cn=Manager,dc=server-linux,dc=info" -W -f passwd.ldif
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
As-tu personnalisé le mot de passe dans slapd.conf ?
a cedou,
salut, j'arrive sans probleme à logguer en Manager dans phpldapadmin,
a aswat,
oui j'ai personnalisé le mot de passe du Manager dans le slapd.conf.
Pour le changer utilises la commande slappasswd..
salut, j'arrive sans probleme à logguer en Manager dans phpldapadmin,
a aswat,
oui j'ai personnalisé le mot de passe du Manager dans le slapd.conf.
Pour le changer utilises la commande slappasswd..
- Modifié
OK.fredouille wrote:a aswat,
oui j'ai personnalisé le mot de passe du Manager dans le slapd.conf.
Pour le changer utilises la commande slappasswd..
Tu arrives a te connecter avec ce compte via phpldapadmin ? Surprenant. Est-tu sur de ne pas avoir fait une faute de frappe ?
Peux-tu nous donner le fichier de log de ton serveur LDAP ?
je pourrai te le donner dans 2h30 environ, après le travail.....
a tout'
a tout'
a aswat,
tu peux me dire ou trouver le fichier de log du serveur LDAP ???
tu peux me dire ou trouver le fichier de log du serveur LDAP ???
- Modifié
a tous,
je viens de trouver mon erreur concernant l'erreur que j'avais dans le #14, je faisais une faute dans le nom du serveur.....
j'arrive à créer des utilisateurs ainsi que des groupes sans problème maintenant.
Je reviens sur l'échange que l'on a eu sur l'authentification des machines Windows, après quelques recherches j'ai trouvé Kerberos}}]ceci , qu'en pensez-vous ???
Merci pour votre aide si utile.....
je viens de trouver mon erreur concernant l'erreur que j'avais dans le #14, je faisais une faute dans le nom du serveur.....
j'arrive à créer des utilisateurs ainsi que des groupes sans problème maintenant.
Je reviens sur l'échange que l'on a eu sur l'authentification des machines Windows, après quelques recherches j'ai trouvé Kerberos}}]ceci , qu'en pensez-vous ???
Merci pour votre aide si utile.....
Par défaut, il me semble qu'OpenLDAP n'est pas configuré pour écrire dans un fichier de log. Il te faut configurer rsyslog et OpenLDAP.fredouille wrote:a aswat,
tu peux me dire ou trouver le fichier de log du serveur LDAP ???
En root :
vim /etc/rsyslog.conflocal4.* /var/log/openldap.logservice rsyslog reloadDans le cas du fichier slapd.conf, il faut utiliser la directive loglevel :
loglevel 256olcLogLevel: 256service slapd restarta aswat,
Super merci, lz fichier de log fonctionne pil-poil, d'ailleurs tu m'avais demandé de te le faire parvenir, donc le voici :
Je continu à creuser...
Merci pour ton aide....
Super merci, lz fichier de log fonctionne pil-poil, d'ailleurs tu m'avais demandé de te le faire parvenir, donc le voici :
Jun 8 20:14:01 fredouille_machine slapd[1485]: daemon: shutdown requested and initiated.
Jun 8 20:14:01 fredouille_machine slapd[1485]: slapd shutdown: waiting for 0 operations/tasks to finish
Jun 8 20:14:01 fredouille_machine slapd[1485]: slapd stopped.
Jun 8 20:14:02 fredouille_machine slapd[2636]: @(#) $OpenLDAP: slapd 2.4.21 (Feb 24 2010 09:17:05) $#012#011mockbuild@x86-01.phx2.fedoraproject.org:/builddir/build/BUILD/openldap-2.4.21/openldap-2.4.21/build-servers/servers/slapd
Jun 8 20:14:02 fredouille_machine slapd[2636]: /etc/openldap/slapd.conf: line 125: rootdn is always granted unlimited privileges.
Jun 8 20:14:02 fredouille_machine slapd[2636]: /etc/openldap/slapd.conf: line 130: rootdn is always granted unlimited privileges.
Jun 8 20:14:02 fredouille_machine slapd[2637]: slapd starting
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1000 fd=12 ACCEPT from IP=127.0.0.1:55844 (IP=0.0.0.0:389)
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1000 op=0 BIND dn="cn=Manager,dc=server-linux,dc=info" method=128
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1000 op=0 BIND dn="cn=Manager,dc=server-linux,dc=info" mech=SIMPLE ssf=0
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1000 op=0 RESULT tag=97 err=0 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1000 op=1 UNBIND
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1000 fd=12 closed
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 fd=12 ACCEPT from IP=127.0.0.1:55846 (IP=0.0.0.0:389)
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=0 BIND dn="cn=Manager,dc=server-linux,dc=info" method=128
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=0 BIND dn="cn=Manager,dc=server-linux,dc=info" mech=SIMPLE ssf=0
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=0 RESULT tag=97 err=0 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=1 SRCH base="" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=1 SRCH attr=* +
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=2 SRCH base="dc=server-linux,dc=info" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=2 SRCH attr=* +
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=3 SRCH base="" scope=0 deref=3 filter="(&(objectClass=*))"
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=3 SRCH attr=namingContexts subschemaSubentry altServer supportedExtension supportedControl supportedSASLMechanisms supportedLDAPVersion currentTime dsServiceName defaultNamingContext schemaNamingContext configurationNamingContext rootDomainNamingContext supportedLDAPPolicies highestCommittedUSN dnsHostName ldapServiceName serverName supportedCapabilities changeLog tlsAvailableCipherSuites tlsImplementationVersion supportedSASLMechanisms dsaVersion myAccessPoint dseType + *
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=4 SRCH base="" scope=0 deref=3 filter="(&(objectClass=*))"
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=4 SRCH attr=namingContexts subschemaSubentry altServer supportedExtension supportedControl supportedSASLMechanisms supportedLDAPVersion currentTime dsServiceName defaultNamingContext schemaNamingContext configurationNamingContext rootDomainNamingContext supportedLDAPPolicies highestCommittedUSN dnsHostName ldapServiceName serverName supportedCapabilities changeLog tlsAvailableCipherSuites tlsImplementationVersion supportedSASLMechanisms dsaVersion myAccessPoint dseType + *
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=5 SRCH base="cn=Manager,dc=server-linux,dc=info" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=5 SRCH attr=* +
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=6 SRCH base="dc=server-linux,dc=info" scope=1 deref=0 filter="(objectClass=*)"
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=6 SRCH attr=dn
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=6 SEARCH RESULT tag=101 err=0 nentries=3 text=
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 op=7 UNBIND
Jun 8 20:14:56 fredouille_machine slapd[2637]: conn=1001 fd=12 closed
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 fd=12 ACCEPT from IP=127.0.0.1:38214 (IP=0.0.0.0:389)
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=0 BIND dn="cn=Manager,dc=server-linux,dc=info" method=128
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=0 BIND dn="cn=Manager,dc=server-linux,dc=info" mech=SIMPLE ssf=0
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=0 RESULT tag=97 err=0 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=1 SRCH base="cn=Manager,dc=server-linux,dc=info" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=1 SRCH attr=* +
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=2 SRCH base="" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=2 SRCH attr=* +
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=3 SRCH base="ou=Groups,dc=server-linux,dc=info" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=3 SRCH attr=* +
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=4 SRCH base="ou=Users,dc=server-linux,dc=info" scope=0 deref=0 filter="(&(objectClass=*))"
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=4 SRCH attr=* +
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=5 SRCH base="ou=Groups,dc=server-linux,dc=info" scope=1 deref=0 filter="(objectClass=*)"
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=5 SRCH attr=dn
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=6 SRCH base="ou=Users,dc=server-linux,dc=info" scope=1 deref=0 filter="(objectClass=*)"
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=6 SRCH attr=dn
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=6 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 op=7 UNBIND
Jun 8 20:14:59 fredouille_machine slapd[2637]: conn=1002 fd=12 closedJe continu à creuser...
Merci pour ton aide....
Ce sont tes 2 lignesfredouille wrote:..... j'ai toujours un avertissement concernant le fait que le rootdn est tout le temps autorisé à tout lorsque je relance le systeme...
....
qui sont redondantes car le RootDN : cn=Manager,dc=server-linux,dc=info a tous les droitsaccess to *
by dn="cn=Manager,dc=server-linux,dc=info" write