Authentification via LDAP
Authentification de Samba
Le mot de passe pour les utilisateurs samba se trouve dans le fichier /var/lib/samba/private/secrets.tdb. Pour le créer ou le modifier, on peut utiliser la commande:
smbpasswd -w motdepasse
Cette commande permet de stocker dans le secret.tdb le mot de passe de l'utilisateur administrateur qui a les droits de mises à jour dans LDAP. Quand Samba a besoin d'utiliser l'annuaire LDAP, il utilise la variable "ldap admin dn = cn=toto,dc=doamin,dc=tld" du smb.conf ainsi que le password contenu dans secret.tdb. Pour permettre à samba de se connecter, voilà donc la commande à utiliser pour configurer le mot de passe de l'utilisateur spécial Manager:
smbpasswd -w <password> cn=Manager,dc=frozenkiwi,dc=net
Configuration de LDAP et nss_ldap
La documentation d'installation et de configuration de ces modules est disponible sur différents site, mais les notes suivantes sont utiles pour résoudre les problèmes.
ldaps et tls sont différents
- tls fonctionne sur un port quelconque, le plus souvent sur le port 389, alors que ldaps fonctionne sur le port 636
- on ne peut pas cumuler ldaps et tls, ainsi si la configuration du système (via /etc/ldap.conf indique ssl start_tls il sera impossible d'utiliser en même temps uri ldaps://.... sous peine d'une erreur pam_ldap: ldap_starttls_s: Operations error éventuellement complétée d'un additional info: TLS already started).
- les options -d9 et -ZZ de ldapsearch sont utiles pour comprendre les problèmes