samba ldap: passdb/pdb_get_set.c:212(pdb_get_group_sid)

Le
admini
bonjour la liste,


j'ai provoqué une catastrophe en faisant un distupgrade du PDC lenny
vers squeeze.


samba est passé à 2:3.5.6~dfsg-3squeeze9, le serveur ldap est sous
squeeze à 2.4.23-7.2

après distupgrade, le domaine a disparu.

j'ai

[2013/03/15 08:24:47.657617, 0] passdb/pdb_get_set.c:212(pdb_get_group_sid)
Mar 15 08:24:47 debian-services-001 smbd[9382]: pdb_get_group_sid:
Failed to find Unix account for [nom de user]

coté samba

et tag3 err text=sambaPwdHistoryLength: attribute type undefined
coté ldap.

sur le serveur samba, le pam ldap n'est pas fonctionnel, car je ne peux
plus faire afficher les users de l'annuaire en faisant
getent passwd donne que des comptes locaux.
et pourtant

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd: compat ldap
group: compat ldap
shadow: compat ldap

#libnss-ldap.conf:

base dc=hybrigenics,dc=fr
uri ldap://ldap.domain.fr ldap://ldap2.domain.fr
ldap_version 3
rootbinddn cn­min,dc=domain,dc=fr
port 389
bind_policy soft
pam_password exop
ssl on
tls_cacertdir /etc/ssl/certs


#pam_ldap.conf

base dc=domain,dc=fr
uri ldap://ldap.domain.fr ldap://ldap2.domain.fr
ldap_version 3



on dirait que le samba n'interroge pas du tout l'annuaire ou cherche un
attribu openldap qui n'existe pas dans les schemas ldap.
du tout il s'amuserait à interroger les comptes locaux

c'est hyper urgent, y a 50 personnes qui ne peuvent plus bosser !
d'avance merci de votre aide.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5142CF26.3090508@freeatome.com
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bzzz
Le #25281872
On Fri, 15 Mar 2013 08:35:02 +0100
admini
après distupgrade, le domaine a disparu.



Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.

Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.

J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.

--
ptinou: non moi le seul truc qui m'a surpris avec vista
ptinou: c'est quand il m'a dit qu'il allait désactiver
mon clavier pour la stabilité de mon système

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
admini
Le #25281862
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini
après distupgrade, le domaine a disparu.


Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.

Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.

J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.



oui, j'ai remarqué ca.

dans /etc/default/slapd, j'ai rajouté

# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"

pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
admini
Le #25281892
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini
après distupgrade, le domaine a disparu.


Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.

Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.

J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.



oui, j'ai remarqué ca.

dans /etc/default/slapd, j'ai rajouté

# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"

pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire



plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème
ne vient pas seulement de l'annuaire, mais du couple samba(ou pam
ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze.
j'ai aussi essayé de refaire la config de pamldap sur le pdc:
dpkg-reconfigure libpam-ldap
ca ne change rien ... pam ldap ne contacte pas l'annuaire.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
admini
Le #25282032
Le 15/03/2013 09:03, admini a écrit :
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini
après distupgrade, le domaine a disparu.


Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.

Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.

J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.



oui, j'ai remarqué ca.

dans /etc/default/slapd, j'ai rajouté

# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"

pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire



plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne
problème ne vient pas seulement de l'annuaire, mais du couple samba(ou
pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze.
j'ai aussi essayé de refaire la config de pamldap sur le pdc:
dpkg-reconfigure libpam-ldap
ca ne change rien ... pam ldap ne contacte pas l'annuaire.



bon, j'ai avancé.
pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux
spécificité de l'annuaire( après un restart de nscd bien entendu). mais,
samba est toujours dans les choux, le domaine n'est pas disponible, et
il veut toujours checker les comptes locaux, pourtant les fichiers de
/etc/smbldap-tools/ ont l'air bon
###############smbldap.conf
#SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2
SID="S-1-5-21-196694722-3910447200-2855222568"
#SID="S-1-5-21-3285739382-3344124192-1710572844"
sambaDomain="HGXLX"
masterLDAP="ldap.toto.fr"
masterPort="389"
slaveLDAP="ldap2.toto.fr"
slavePort="389"
ldapTLS="0"
verify="allow"
suffix="dc=toto,dc=fr"
usersdn="ou=users,${suffix}"
computersdn="ou=computers,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=idmap,${suffix}"
# La ligne ci-dessous est commentee pour eviter une erreur lors de
# l'execution de la commande smbldap-populate.
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
#Nom d'affichage - utiliser smbldap-useradd -c
userGecos="User"
defaultUserGid="513"
defaultComputerGid="1120"
skeletonDir="/etc/skel"
#Les mots de passe expirent dans 10ans
defaultMaxPasswordAge="3650"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# mk_ntpasswd="/usr/local/sbin/mkntpwd"

#############smbldap_bind.conf

masterDN="cn­min,dc=toto,dc=fr"
masterPw="mot de passe"

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
admini
Le #25282542
Le 15/03/2013 09:50, admini a écrit :
Le 15/03/2013 09:03, admini a écrit :
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini
après distupgrade, le domaine a disparu.


Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.

Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.

J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.



oui, j'ai remarqué ca.

dans /etc/default/slapd, j'ai rajouté

# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"

pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire



plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne
problème ne vient pas seulement de l'annuaire, mais du couple
samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap
sous squeeze.
j'ai aussi essayé de refaire la config de pamldap sur le pdc:
dpkg-reconfigure libpam-ldap
ca ne change rien ... pam ldap ne contacte pas l'annuaire.



bon, j'ai avancé.
pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux
spécificité de l'annuaire( après un restart de nscd bien entendu).
mais, samba est toujours dans les choux, le domaine n'est pas
disponible, et il veut toujours checker les comptes locaux, pourtant
les fichiers de /etc/smbldap-tools/ ont l'air bon
###############smbldap.conf
#SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2
SID="S-1-5-21-196694722-3910447200-2855222568"
#SID="S-1-5-21-3285739382-3344124192-1710572844"
sambaDomain="HGXLX"
masterLDAP="ldap.toto.fr"
masterPort="389"
slaveLDAP="ldap2.toto.fr"
slavePort="389"
ldapTLS="0"
verify="allow"
suffix="dc=toto,dc=fr"
usersdn="ou=users,${suffix}"
computersdn="ou=computers,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=idmap,${suffix}"
# La ligne ci-dessous est commentee pour eviter une erreur lors de
# l'execution de la commande smbldap-populate.
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
#Nom d'affichage - utiliser smbldap-useradd -c
userGecos="User"
defaultUserGid="513"
defaultComputerGid="1120"
skeletonDir="/etc/skel"
#Les mots de passe expirent dans 10ans
defaultMaxPasswordAge="3650"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# mk_ntpasswd="/usr/local/sbin/mkntpwd"

#############smbldap_bind.conf

masterDN="cn­min,dc=toto,dc=fr"
masterPw="mot de passe"



bon, ca marche. en gros, il faut laisser la config nouvelle façon de
ldap. j'ai qd meme importé tous les schémas sous forme ldif, mais cela
n'était pas la solution.
puis, coté samba, il faut savoir qu'il y a des années, les admin ont
voulu faire le malin et mettre le serveur sur un subnet à part, routé
par un firewall.

depuis, pas mal de gens ont des lenteur de connexion le matin, voir
impossible d'ouvrir sa session avant 4 tentatives.

J'ai alors rajouté une patte eth sur le samba, et l'ai taggé au vlan
bureautique. et bingo, ca marche! tout le monde se log très vite. je
pense que la nouvelle version de samba a un timout plus court ...

ca, il faut fouiller dans les codes. moralité, ne jouez pas au plus
malin avec $M$, et mettez bien le pdc dans le meme segment eth que les
clients.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Publicité
Poster une réponse
Anonyme