j'ai provoqué une catastrophe en faisant un distupgrade du PDC lenny
vers squeeze.
samba est passé à 2:3.5.6~dfsg-3squeeze9, le serveur ldap est sous
squeeze à 2.4.23-7.2
après distupgrade, le domaine a disparu.
j'ai
[2013/03/15 08:24:47.657617, 0] passdb/pdb_get_set.c:212(pdb_get_group_sid)
Mar 15 08:24:47 debian-services-001 smbd[9382]: pdb_get_group_sid:
Failed to find Unix account for [nom de user]
coté samba
et tag=103 err=17 text=sambaPwdHistoryLength: attribute type undefined
coté ldap.
sur le serveur samba, le pam ldap n'est pas fonctionnel, car je ne peux
plus faire afficher les users de l'annuaire en faisant
getent passwd donne que des comptes locaux.
et pourtant
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
base dc=hybrigenics,dc=fr
uri ldap://ldap.domain.fr ldap://ldap2.domain.fr
ldap_version 3
rootbinddn cn=admin,dc=domain,dc=fr
port 389
bind_policy soft
pam_password exop
ssl on
tls_cacertdir /etc/ssl/certs
#pam_ldap.conf
base dc=domain,dc=fr
uri ldap://ldap.domain.fr ldap://ldap2.domain.fr
ldap_version 3
on dirait que le samba n'interroge pas du tout l'annuaire ou cherche un
attribu openldap qui n'existe pas dans les schemas ldap.
du tout il s'amuserait à interroger les comptes locaux...
c'est hyper urgent, y a 50 personnes qui ne peuvent plus bosser !
d'avance merci de votre aide.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5142CF26.3090508@freeatome.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130315084824.0233f248@anubis.defcon1
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
admini
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100 admini wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini <admini@freeatome.com> wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5142D47D.4040309@freeatome.com
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
admini
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100 admini wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap ca ne change rien ... pam ldap ne contacte pas l'annuaire.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini <admini@freeatome.com> wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème
ne vient pas seulement de l'annuaire, mais du couple samba(ou pam
ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze.
j'ai aussi essayé de refaire la config de pamldap sur le pdc:
dpkg-reconfigure libpam-ldap
ca ne change rien ... pam ldap ne contacte pas l'annuaire.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5142D5C9.90708@freeatome.com
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap ca ne change rien ... pam ldap ne contacte pas l'annuaire.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
admini
Le 15/03/2013 09:03, admini a écrit :
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100 admini wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap ca ne change rien ... pam ldap ne contacte pas l'annuaire.
bon, j'ai avancé. pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux spécificité de l'annuaire( après un restart de nscd bien entendu). mais, samba est toujours dans les choux, le domaine n'est pas disponible, et il veut toujours checker les comptes locaux, pourtant les fichiers de /etc/smbldap-tools/ ont l'air bon ###############smbldap.conf #SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2 SID="S-1-5-21-196694722-3910447200-2855222568" #SID="S-1-5-21-3285739382-3344124192-1710572844" sambaDomain="HGXLX" masterLDAP="ldap.toto.fr" masterPort="389" slaveLDAP="ldap2.toto.fr" slavePort="389" ldapTLS="0" verify="allow" suffix="dc=toto,dc=fr" usersdn="ou=users,${suffix}" computersdn="ou=computers,${suffix}" groupsdn="ou=groups,${suffix}" idmapdn="ou=idmap,${suffix}" # La ligne ci-dessous est commentee pour eviter une erreur lors de # l'execution de la commande smbldap-populate. sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="%s" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" #Nom d'affichage - utiliser smbldap-useradd -c userGecos="User" defaultUserGid="513" defaultComputerGid="1120" skeletonDir="/etc/skel" #Les mots de passe expirent dans 10ans defaultMaxPasswordAge="3650" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" # mk_ntpasswd="/usr/local/sbin/mkntpwd"
#############smbldap_bind.conf
masterDN="cnmin,dc=toto,dc=fr" masterPw="mot de passe"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 15/03/2013 09:03, admini a écrit :
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini <admini@freeatome.com> wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne
problème ne vient pas seulement de l'annuaire, mais du couple samba(ou
pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze.
j'ai aussi essayé de refaire la config de pamldap sur le pdc:
dpkg-reconfigure libpam-ldap
ca ne change rien ... pam ldap ne contacte pas l'annuaire.
bon, j'ai avancé.
pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux
spécificité de l'annuaire( après un restart de nscd bien entendu). mais,
samba est toujours dans les choux, le domaine n'est pas disponible, et
il veut toujours checker les comptes locaux, pourtant les fichiers de
/etc/smbldap-tools/ ont l'air bon
###############smbldap.conf
#SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2
SID="S-1-5-21-196694722-3910447200-2855222568"
#SID="S-1-5-21-3285739382-3344124192-1710572844"
sambaDomain="HGXLX"
masterLDAP="ldap.toto.fr"
masterPort="389"
slaveLDAP="ldap2.toto.fr"
slavePort="389"
ldapTLS="0"
verify="allow"
suffix="dc=toto,dc=fr"
usersdn="ou=users,${suffix}"
computersdn="ou=computers,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=idmap,${suffix}"
# La ligne ci-dessous est commentee pour eviter une erreur lors de
# l'execution de la commande smbldap-populate.
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
#Nom d'affichage - utiliser smbldap-useradd -c
userGecos="User"
defaultUserGid="513"
defaultComputerGid="1120"
skeletonDir="/etc/skel"
#Les mots de passe expirent dans 10ans
defaultMaxPasswordAge="3650"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# mk_ntpasswd="/usr/local/sbin/mkntpwd"
#############smbldap_bind.conf
masterDN="cnmin,dc=toto,dc=fr"
masterPw="mot de passe"
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5142E0F0.60005@freeatome.com
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap ca ne change rien ... pam ldap ne contacte pas l'annuaire.
bon, j'ai avancé. pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux spécificité de l'annuaire( après un restart de nscd bien entendu). mais, samba est toujours dans les choux, le domaine n'est pas disponible, et il veut toujours checker les comptes locaux, pourtant les fichiers de /etc/smbldap-tools/ ont l'air bon ###############smbldap.conf #SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2 SID="S-1-5-21-196694722-3910447200-2855222568" #SID="S-1-5-21-3285739382-3344124192-1710572844" sambaDomain="HGXLX" masterLDAP="ldap.toto.fr" masterPort="389" slaveLDAP="ldap2.toto.fr" slavePort="389" ldapTLS="0" verify="allow" suffix="dc=toto,dc=fr" usersdn="ou=users,${suffix}" computersdn="ou=computers,${suffix}" groupsdn="ou=groups,${suffix}" idmapdn="ou=idmap,${suffix}" # La ligne ci-dessous est commentee pour eviter une erreur lors de # l'execution de la commande smbldap-populate. sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="%s" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" #Nom d'affichage - utiliser smbldap-useradd -c userGecos="User" defaultUserGid="513" defaultComputerGid="1120" skeletonDir="/etc/skel" #Les mots de passe expirent dans 10ans defaultMaxPasswordAge="3650" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" # mk_ntpasswd="/usr/local/sbin/mkntpwd"
#############smbldap_bind.conf
masterDN="cnmin,dc=toto,dc=fr" masterPw="mot de passe"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
admini
Le 15/03/2013 09:50, admini a écrit :
Le 15/03/2013 09:03, admini a écrit :
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100 admini wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap ca ne change rien ... pam ldap ne contacte pas l'annuaire.
bon, j'ai avancé. pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux spécificité de l'annuaire( après un restart de nscd bien entendu). mais, samba est toujours dans les choux, le domaine n'est pas disponible, et il veut toujours checker les comptes locaux, pourtant les fichiers de /etc/smbldap-tools/ ont l'air bon ###############smbldap.conf #SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2 SID="S-1-5-21-196694722-3910447200-2855222568" #SID="S-1-5-21-3285739382-3344124192-1710572844" sambaDomain="HGXLX" masterLDAP="ldap.toto.fr" masterPort="389" slaveLDAP="ldap2.toto.fr" slavePort="389" ldapTLS="0" verify="allow" suffix="dc=toto,dc=fr" usersdn="ou=users,${suffix}" computersdn="ou=computers,${suffix}" groupsdn="ou=groups,${suffix}" idmapdn="ou=idmap,${suffix}" # La ligne ci-dessous est commentee pour eviter une erreur lors de # l'execution de la commande smbldap-populate. sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="%s" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" #Nom d'affichage - utiliser smbldap-useradd -c userGecos="User" defaultUserGid="513" defaultComputerGid="1120" skeletonDir="/etc/skel" #Les mots de passe expirent dans 10ans defaultMaxPasswordAge="3650" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" # mk_ntpasswd="/usr/local/sbin/mkntpwd"
#############smbldap_bind.conf
masterDN="cnmin,dc=toto,dc=fr" masterPw="mot de passe"
bon, ca marche. en gros, il faut laisser la config nouvelle façon de ldap. j'ai qd meme importé tous les schémas sous forme ldif, mais cela n'était pas la solution. puis, coté samba, il faut savoir qu'il y a des années, les admin ont voulu faire le malin et mettre le serveur sur un subnet à part, routé par un firewall.
depuis, pas mal de gens ont des lenteur de connexion le matin, voir impossible d'ouvrir sa session avant 4 tentatives.
J'ai alors rajouté une patte eth sur le samba, et l'ai taggé au vlan bureautique. et bingo, ca marche! tout le monde se log très vite. je pense que la nouvelle version de samba a un timout plus court ...
ca, il faut fouiller dans les codes. moralité, ne jouez pas au plus malin avec $M$, et mettez bien le pdc dans le meme segment eth que les clients.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 15/03/2013 09:50, admini a écrit :
Le 15/03/2013 09:03, admini a écrit :
Le 15/03/2013 08:57, admini a écrit :
Le 15/03/2013 08:48, Bzzz a écrit :
On Fri, 15 Mar 2013 08:35:02 +0100
admini <admini@freeatome.com> wrote:
après distupgrade, le domaine a disparu.
Il me semble que la politique LDAP a changée et que ce sont
maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire
à LDAP de retrouver le comportement antérieur (fichier de conf
unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des
réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd
SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change.
samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne
problème ne vient pas seulement de l'annuaire, mais du couple
samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap
sous squeeze.
j'ai aussi essayé de refaire la config de pamldap sur le pdc:
dpkg-reconfigure libpam-ldap
ca ne change rien ... pam ldap ne contacte pas l'annuaire.
bon, j'ai avancé.
pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux
spécificité de l'annuaire( après un restart de nscd bien entendu).
mais, samba est toujours dans les choux, le domaine n'est pas
disponible, et il veut toujours checker les comptes locaux, pourtant
les fichiers de /etc/smbldap-tools/ ont l'air bon
###############smbldap.conf
#SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2
SID="S-1-5-21-196694722-3910447200-2855222568"
#SID="S-1-5-21-3285739382-3344124192-1710572844"
sambaDomain="HGXLX"
masterLDAP="ldap.toto.fr"
masterPort="389"
slaveLDAP="ldap2.toto.fr"
slavePort="389"
ldapTLS="0"
verify="allow"
suffix="dc=toto,dc=fr"
usersdn="ou=users,${suffix}"
computersdn="ou=computers,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=idmap,${suffix}"
# La ligne ci-dessous est commentee pour eviter une erreur lors de
# l'execution de la commande smbldap-populate.
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
#Nom d'affichage - utiliser smbldap-useradd -c
userGecos="User"
defaultUserGid="513"
defaultComputerGid="1120"
skeletonDir="/etc/skel"
#Les mots de passe expirent dans 10ans
defaultMaxPasswordAge="3650"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# mk_ntpasswd="/usr/local/sbin/mkntpwd"
#############smbldap_bind.conf
masterDN="cnmin,dc=toto,dc=fr"
masterPw="mot de passe"
bon, ca marche. en gros, il faut laisser la config nouvelle façon de
ldap. j'ai qd meme importé tous les schémas sous forme ldif, mais cela
n'était pas la solution.
puis, coté samba, il faut savoir qu'il y a des années, les admin ont
voulu faire le malin et mettre le serveur sur un subnet à part, routé
par un firewall.
depuis, pas mal de gens ont des lenteur de connexion le matin, voir
impossible d'ouvrir sa session avant 4 tentatives.
J'ai alors rajouté une patte eth sur le samba, et l'ai taggé au vlan
bureautique. et bingo, ca marche! tout le monde se log très vite. je
pense que la nouvelle version de samba a un timout plus court ...
ca, il faut fouiller dans les codes. moralité, ne jouez pas au plus
malin avec $M$, et mettez bien le pdc dans le meme segment eth que les
clients.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/51431AF5.5030704@freeatome.com
Il me semble que la politique LDAP a changée et que ce sont maintenant les fichiers diff qui régissent la conf.
Si c'est ça, il y a juste une directive à ajouter pour dire à LDAP de retrouver le comportement antérieur (fichier de conf unique et en texte), à voir dans le man.
J'suis TTloin d'être un spécialiste et tu auras sans doute des réponses plus pertinentes à venir.
oui, j'ai remarqué ca.
dans /etc/default/slapd, j'ai rajouté
# Additional options to pass to slapd SLAPD_OPTIONS="-f /etc/ldap/slapd.conf"
pour qu'il retrouve son ancien fichier de conf, mais rien ne change. samba (ou pam ldap) ne contacte pas l'annuaire
plus, les autres lenny(pam ldap)accèdent à l'annuaire. donc, ne problème ne vient pas seulement de l'annuaire, mais du couple samba(ou pam ldap)sous squeeze ne serait pas compatible avec ldap sous squeeze. j'ai aussi essayé de refaire la config de pamldap sur le pdc: dpkg-reconfigure libpam-ldap ca ne change rien ... pam ldap ne contacte pas l'annuaire.
bon, j'ai avancé. pam ldap marche après avoir spécifié le bon compte, avec tls, dus aux spécificité de l'annuaire( après un restart de nscd bien entendu). mais, samba est toujours dans les choux, le domaine n'est pas disponible, et il veut toujours checker les comptes locaux, pourtant les fichiers de /etc/smbldap-tools/ ont l'air bon ###############smbldap.conf #SID="S-1-5-21-2061167538-3193203820-3758045657" DBN-SRV-2 SID="S-1-5-21-196694722-3910447200-2855222568" #SID="S-1-5-21-3285739382-3344124192-1710572844" sambaDomain="HGXLX" masterLDAP="ldap.toto.fr" masterPort="389" slaveLDAP="ldap2.toto.fr" slavePort="389" ldapTLS="0" verify="allow" suffix="dc=toto,dc=fr" usersdn="ou=users,${suffix}" computersdn="ou=computers,${suffix}" groupsdn="ou=groups,${suffix}" idmapdn="ou=idmap,${suffix}" # La ligne ci-dessous est commentee pour eviter une erreur lors de # l'execution de la commande smbldap-populate. sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="%s" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" #Nom d'affichage - utiliser smbldap-useradd -c userGecos="User" defaultUserGid="513" defaultComputerGid="1120" skeletonDir="/etc/skel" #Les mots de passe expirent dans 10ans defaultMaxPasswordAge="3650" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" # mk_ntpasswd="/usr/local/sbin/mkntpwd"
#############smbldap_bind.conf
masterDN="cnmin,dc=toto,dc=fr" masterPw="mot de passe"
bon, ca marche. en gros, il faut laisser la config nouvelle façon de ldap. j'ai qd meme importé tous les schémas sous forme ldif, mais cela n'était pas la solution. puis, coté samba, il faut savoir qu'il y a des années, les admin ont voulu faire le malin et mettre le serveur sur un subnet à part, routé par un firewall.
depuis, pas mal de gens ont des lenteur de connexion le matin, voir impossible d'ouvrir sa session avant 4 tentatives.
J'ai alors rajouté une patte eth sur le samba, et l'ai taggé au vlan bureautique. et bingo, ca marche! tout le monde se log très vite. je pense que la nouvelle version de samba a un timout plus court ...
ca, il faut fouiller dans les codes. moralité, ne jouez pas au plus malin avec $M$, et mettez bien le pdc dans le meme segment eth que les clients.
