Authentification via LDAP

De FrozenWiki
Aller à la navigation Aller à la recherche

Authentification de Samba

Le mot de passe pour les utilisateurs samba se trouve dans le fichier /var/lib/samba/private/secrets.tdb. Pour le créer ou le modifier, on peut utiliser la commande: 

smbpasswd -w motdepasse

Cette commande permet de stocker dans le secret.tdb le mot de passe de l'utilisateur administrateur qui a les droits de mises à jour dans LDAP. Quand Samba a besoin d'utiliser l'annuaire LDAP, il utilise la variable "ldap admin dn = cn=toto,dc=doamin,dc=tld" du smb.conf ainsi que le password contenu dans secret.tdb. Pour permettre à samba de se connecter, voilà donc la commande à utiliser pour configurer le mot de passe de l'utilisateur spécial Manager: 

smbpasswd -w <password> cn=Manager,dc=frozenkiwi,dc=net

Configuration de LDAP et nss_ldap

La documentation d'installation et de configuration de ces modules est disponible sur différents site, mais les notes suivantes sont utiles pour résoudre les problèmes.

ldaps et tls sont différents

  • tls fonctionne sur un port quelconque, le plus souvent sur le port 389, alors que ldaps fonctionne sur le port 636
  • on ne peut pas cumuler ldaps et tls, ainsi si la configuration du système (via /etc/ldap.conf indique ssl start_tls il sera impossible d'utiliser en même temps uri ldaps://.... sous peine d'une erreur pam_ldap: ldap_starttls_s: Operations error éventuellement complétée d'un additional info: TLS already started).
  • les options -d9 et -ZZ de ldapsearch sont utiles pour comprendre les problèmes
Récupérée de « https://wiki.frozenkiwi.net/index.php?title=Authentification_via_LDAP&oldid=7762 »