Vous êtes sur la page 1sur 14

Authentification des utilisateurs avec OpenLDAP et Samba 3.

0
Ce tutoriel dveloppe la mise en place d'un contrleur de Domaine Principal
(PDC) couplet avec un contrleur de Domaine de Replication (BDC) bas sur
une authentification POSIX/Samba.
La racine principale de l'annuaire sera nomme : dc=alex,dc=fr
dc pour domain controler, alex comme nom du domaine et fr pour France.
Pour que les clients Window$ puissent tre identifis par le contrleur de
domaine, il faudra configurer l'annuaire LDAP comme base de donne
centralise d'utilisateurs puis la mettre en relation avec les modules
d'authentification Unix, savoir PAM et NSS puis Samba.
Installation des packages OpenLDAP
Pour les Serveurs :
openldap-2x
openldap-clients-2x
openldap-servers-2x
libldap2-developenldap-migration-2x (pour le master seulement)
nss_ldap-2x
pam_ldap-1x
Configuration d'OpenLDAP
Le fichier /etc/openldap/slapd.conf comporte diverses informations telles
que la racine suprieure de l'annuaire, l'administrateur principal de l'annuaire
LDAP et son mot de passe, les droits d'accs par dfaut, les fichiers d'objets
et de syntaxe utiliser ainsi que les rgles d'accs (ACL) pour les entres et
les attributs de l'annuaire LDAP.
Compte tenu que ce fichier contient le mot de passe de l'administrateur de
l'annuaire, il est impratif de positionner les droits rwx------ sur le fichier
slapd.conf :
chmod 700 /etc/openldap/slapd.conf
Modifier le fichier /etc/openldap/slapd.conf
# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.8.8.6
2001/04/20
# Version 0.2
#
include
include
include
include
include
include
include

/usr/share/openldap/schema/core.schema
/usr/share/openldap/schema/cosine.schema
/usr/share/openldap/schema/corba.schema
/usr/share/openldap/schema/inetorgperson.schema
/usr/share/openldap/schema/java.schema
/usr/share/openldap/schema/krb5-kdc.schema
/usr/share/openldap/schema/kerberosobject.schema

include
include
include

/usr/share/openldap/schema/misc.schema
/usr/share/openldap/schema/nis.schema
/usr/share/openldap/schema/openldap.schema

#include /usr/share/openldap/schema/rfc822-MailMember.schema
#include /usr/share/openldap/schema/pilot.schema
#include /usr/share/openldap/schema/autofs.schema
# Prise en compte du schema Samba 3.0 que nous allons copier
include /etc/openldap/schema/samba.schema
#include /usr/share/openldap/schema/qmail.schema
#include /usr/share/openldap/schema/mull.schema
#include /usr/share/openldap/schema/netscape-profile.schema
#include /usr/share/openldap/schema/trust.schema
#include /usr/share/openldap/schema/dns.schema
#include /usr/share/openldap/schema/cron.schema
include

/etc/openldap/schema/local.schema

# Inclusion du fichier slapd.access.conf contenant les ACLs


include /etc/openldap/slapd.access.conf
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral
ldap://root.openldap.org
pidfile
argsfile

/var/run/ldap/slapd.pid
/var/run/ldap/slapd.args

modulepath
#moduleload
#moduleload
#moduleload
#moduleload

/usr/lib/openldap
back_dnssrv.la
back_ldap.la
back_passwd.la
back_sql.la

# SASL config
#sasl-host ldap.example.com
# To allow TLS-enabled connections, create /
usr/share/ssl/certs/slapd.pem
# and uncomment the following lines.
#TLSRandFile
/dev/random
#TLSCipherSuite
HIGH:MEDIUM:+SSLv2
TLSCertificateFile
/etc/ssl/openldap/ldap.pem
TLSCertificateKeyFile
/etc/ssl/openldap/ldap.pem
#TLSCACertificatePath
/etc/ssl/openldap/
TLSCACertificateFile
/etc/ssl/openldap/ldap.pem
#TLSVerifyClient 0
# vrification ou non la structure des objets
# si vous mettez on vous n'utilisez que les proprits des
objets
# dfinies dans le fichier slapd.oc.conf (voir Objets Attributs)
schemacheck off
##################################################################
#####
# ldbm database definitions
##################################################################
#####
database ldbm

# Dfinition de la racine du serveur


suffix "dc=alex,dc=fr"
# Dfinition du compte d'administration ici Manager
# c'est un nom arbitraire et ce n'est pas forcment un
# utilisateur dfini dans /etc/passwd du systme
rootdn "cn=Manager,dc=alex,dc=fr"
#mot de passe en clair est mypassword , voir plus loin comment
le crypter
rootpw
{crypt}ijFYNcSNctBYg
# Dfinition des accs autoriss la base LDAP
defaultaccess read
# The database directory MUST exist prior to running slapd AND
# should only be accessable by the slapd/tools. Mode 700
recommende.
directory
/var/lib/ldap
# Indices to maintain
# Ces paramtres dfinissent les attributs autoriss dans
l'annuaire
# Ils sont dpendant de la version du samba.schema
index
objectClass,uidNumber,gidNumber,memberUid eq
index
sambaSID,sambaPrimaryGroupSID,sambaDomainName
eq
index
mail,surname,givenname
eq,subinitial
index
cn,sn,uid,displayName
pres,sub,eq
index
default
sub
# Indique le format du cryptage, ici {crypt}
password-hash
{crypt}
password-crypt-salt-format
"$1$%.8s"
# logging
loglevel 256
# Basic ACL
# peuvent etre crit dans ce fichier slapd.conf ou dans
slapd.access.conf
# Si vous ne souhaitez pas mettre en place un serveur principal
# avec un serveur de replication, effacez les lignes suivantes
#
# DEBUT Configuration du PDC/Master LDAP
replogfile /var/lib/ldap/replog
replica host=srv6.alex.fr:389
binddn=cn=Manager,dc=alex,dc=fr
bindmethod=simple credentials=mypassword
tls=yes
# FIN Configuration du PDC/Master LDAP
#
#
# Pour le BDC copiez tout le contenu du fichier slapd.conf
# (sauf la partie rserve au PDC/Master LDAP) et ajoutez ceci
#
# DEBUT Configuration du BDC/Slave LDAP
updatedn
"cn=Manager,dc=alex,dc=fr"
updateref
"ldap://srv2.alex.fr"
# FIN Configuration du BDC/Slave LDAP

Le mot de passe de l'administrateur est mypassword en clair, pour le


crypter au format {CRYPT}, il faudra taper (exemple avec mypassword) :
[root@pc user]# slappasswd -v -s mypassword -h {CRYPT}
{CRYPT}G.H5krNMMw0cc
Modifier le fichier /etc/openldap/slapd.access.conf
Pour le PDC/Master LDAP
# Basic ACL Authentification PDC POSIX/SAMBA
# peuvent tre crit dans ce fichier slapd.conf ou dans
slapd.access.conf
# La section attr=userPassword autorise uniquement le root et
# les utilisateurs a modifier leur passwd
access to dn=".*,dc=alex,dc=fr" attrs=userPassword
by dn="uid=root,ou=People,dc=alex,dc=fr" write
by self write
by anonymous auth
by * none
# La section attr=shadowlastchange permet de mettre a jour
# la date de modification du passwd
access to dn=".*,dc=alex,dc=fr" attrs=shadowlastchange
by dn=".*,dc=alex,dc=fr" write
by self write
by * auth
access to dn="ou=People,dc=alex,dc=fr"
by dn="uid=root,ou=People,dc=alex,dc=fr" write
by * read
access to dn="ou=Groups,dc=alex,dc=fr"
by dn="uid=root,ou=People,dc=alex,dc=fr" write
by * read
access to dn="ou=Hosts,dc=alex,dc=fr"
by dn="uid=root,ou=People,dc=alex,dc=fr" write
by * read
access to dn=".*,dc=alex,dc=fr"
by self write
by * read
access to attrs=lmPassword,ntPassword
by dn="uid=root,dc=alex,dc=fr" write
by * none
Pour le BDC/Slave LDAP
# Basic ACL Authentification BDC POSIX/SAMBA
# peuvent tre crit dans ce fichier slapd.conf ou dans
slapd.access.conf
access to dn=".*,dc=alex,dc=fr" attrs=userPassword
by dn="cn=Manager,dc=alex,dc=fr" write
by self read
by anonymous auth
by * none

access to dn=".*,dc=alex,dc=fr" attrs=shadowlastchange


by dn="cn=Manager,dc=alex,dc=fr" write
by self read
by * none
access to attrs=lmPassword,ntPassword
by dn="uid=root,dc=alex,dc=fr" write
by dn="cn=Manager,dc=alex,dc=fr" write
by * none
access to *
by dn="cn=Manager,dc=alex,dc=fr" write
by * read
Pour le bon fonctionnement de LDAP vous devez copier le fichier
samba.schema avant de lancer le daemon (voir installation de Samba 3.0
depuis la source avec options ldap)
Crez un fichier appel initial.ldif sur le PDC qui contiendra les informations
ncessaires au fonctionnement de votre annuaire LDAP :
dn: dc=alex,dc=fr
objectclass: dcObject
objectclass: organization
dc: alex
o: alex
description: Server LDAP alex
dn: cn=Manager,dc=alex,dc=fr
objectclass: organizationalRole
cn: Manager
description: Directory Manager
dn: ou=People,dc=alex,dc=fr
objectClass: top
objectClass: organizationalUnit
ou: People
description: Utilisateurs de l Organization
dn: ou=Groups,dc=alex,dc=fr
objectClass: top
objectClass: organizationalUnit
ou: Groups
description: Groups de l Organization
dn: ou=Computers,dc=alex,dc=fr
objectClass: top
objectClass: organizationalUnit
ou: Computers
description: Ordinateurs du Domaine
dn: ou=Hosts,dc=alex,dc=fr
objectClass: top
objectClass: organizationalUnit
ou: Hosts
description: Hosts du Domaine
Reportez vous la page Cration et Gestion de l'annuaire pour son utilisation.

Ainsi qu'au chapitre Migration des donnes POSIX vers LDAP.


Configurez les autres fichiers du serveur PDC et BDC selon les explications du
chapitre "Mappage de l'annuaire LDAP avec les modules d'authentification
Unix. Configurez le BDC comme un serveur.
Rplication de l'annuaire LDAP vers le serveur BDC/Slave
Ajoutez dans /etc/hosts l'IP de votre serveur PDC LDAP
[root@srv6 root]# echo "192.168.0.2 srv2.alex.fr srv2" >> /
etc/hosts
ATTENTION le serveur LDAP BDC doit tre arrt avant de raliser ces
commandes
Passer l'annuaire du serveur LDAP/Master en lecture seule
[root@srv2 root]# echo "readonly on" >> /etc/openldap/slapd.conf
[root@srv2 root]# service ldap restart
Arrt du serveur LDAP : [ OK ]
Arrt du serveur de propagation pour LDAP (slurpd) : [ECHEC]
ldaps
Lancement du serveur LDAP (ldap + ldaps) : [ OK ]
Lancement du serveur de propagation pour LDAP (slurpd) : [ OK ]
[root@srv2 root]#
Lancer la rplication depuis le serveur BDC/Slave, pour qu'il puisse
enregistrer une copie de la database LDAP/Master dans la sienne.
Sous Mandrake, donnez les droits root ldap
[root@srv6 root]# usermod -s /bin/bash ldap
Puis lancez sur le serveur BDC/Slave :
[root@srv6 root]# ldapsearch -x -LLL -h srv2.alex.fr -D
"cn=Manager,dc=alex,dc=fr" -w mypassword | su ldap -c 'slapadd -c;
slapindex'
Vrifiez si la rplication c'est bien droule sur le BDC
[root@srv6 root]# ll /var/lib/ldap/
[root@srv6 root]# (Affichage de vos db)
Relancer le serveur LDAP/Master toujours en lecture seule
[root@srv2 root]# service ldap restart
Arrt du serveur LDAP : [ OK ]
Arrt du serveur de propagation pour LDAP (slurpd) : [ OK
ldaps
Lancement du serveur LDAP (ldap + ldaps) : [ OK ]
Lancement du serveur de propagation pour LDAP (slurpd) : [

]
OK

Relancer le serveur LDAP/Master en lecture-criture


[root@srv2 root]# perl -pi -e 's/^readonly on/#readonly on/g' /
etc/openldap/slapd.conf
[root@srv2 root]# service ldap restart
Arrt du serveur LDAP : [ OK ]
Arrt du serveur de propagation pour LDAP (slurpd) : [ OK ]
ldaps

Lancement du serveur LDAP (ldap + ldaps) : [ OK ]


Lancement du serveur de propagation pour LDAP (slurpd) : [

OK

Lancer le serveur LDAP BDC/Slave


[root@srv6 root]# service ldap start
Enlevez les droits root donns ldap sur le serveur BDC/Slave par cette
commande
[root@srv6 root]# usermod -s /bin/false ldap
Vrifiez sur le serveur LDAP PDC dans le rpertoire /var/lib/ldap/replica si
ces 2 fichiers ont t cres :
srv6.alex.fr:389.rej
srv6.alex.fr:389.rej.lock
Puis tapez cette commande sur le serveur LDAP PDC
[root@srv2 root]# slurpd -f /etc/openldap/slapd.conf -d 255
...
Config: ** configuration file successfully read and parsed
Config: (replogfile /var/lib/ldap/replog)
Config: (replica host=srv6.alex.fr:389
binddn=cn=Manager,dc=alex,dc=fr bindmethod=simple
credentials=mypassword tls=yes)
Config: ** successfully added replica "srv6.alex.fr:389"
Config: ** configuration file successfully read and parsed
Si ce n'est pas le cas notez l'erreur, par exemple
[root@srv2 root]# slurpd -f /etc/openldap/slapd.conf -d 255
...
Error: ldap_simple_bind_s for srv6.alex.fr:389 failed:
Inappropriate authentication
...
Retrying operation for DN dc=alex,dc=fr on replica
srv6.alex.fr:389
end replication thread for srv6.alex.fr:389
Le compte en criture de vos ACLs n'ai pas bon ...
Installation de Samba 3.0 depuis la source avec options LDAP
[user@pc tmp]$ cd
[user@pc source]$
acl-support
[user@pc source]$
[root@pc source]#
[root@pc source]#

samba-3.0.0/source/
./configure --with-ldap --with-ldapsam -withsu
make
make install

Copiez le fichier samba.schema fournit pour LDAP


[root@pc source]# cd..
[root@pc samba-3.0.0]# cd examples/LDAP/
[root@pc LDAP]# cp samba.schema /etc/openldap/schema/
smb.conf

Crer vos fichiers smb.conf dans le rpertoire /usr/local/samba/lib


Dans cet exemple je cre un rpertoire /home/samba sur le serveur BDC
uniquement, qui contiendra 3 sous rpertoires :
/home/samba/netlogon (rpertoire des diffrents fichiers de logon)
/home/samba/partage (rpertoire Public rserv au groupe users)
/home/samba/profiles (ou seront stock les profiles des utilisateurs window$)
Une prochaine version de ce tutoriel (plus raliste) permettra d'avoir sur le
PDC les fichiers prcdent et sur le BDC les replica de ceux ci.
Sur le serveur PDC Il devra ressembler celui ci :
#======================= Global Settings =========================
[global]
# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = ALEX
# netbios name is the name you will see in "Network
Neighbourhood",
netbios name = PDC-LINUX
server string = Samba Server %v
log file = /usr/local/samba/var/log.%m
max log size = 5
# Security and Domain Membership Options:
hosts allow = 127.0.0.1 192.168.0.0/24
hosts deny = 0.0.0.0/0
interfaces = eth* lo
bind interfaces only = yes
security = user
encrypt passwords = yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n
*ReType*new*UNIX*password* %n\n
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = yes
os level = 64
domain master = yes
# Preferred Master causes Samba to force a local browser election
on startup
# and gives it a slightly higher chance of winning the election
; preferred master = yes
domain logons = yes

# run a logon batch file


logon script = logon.bat
# %L substitutes for this servers netbios name, %U is username
# Le Profile des utilisateurs sera stock sur le serveur BDC
logon path = \\bdc-linux\Profiles\%U
logon home = \\bdc-linux\%U
# Script for domain controller with LDAP backend for adding
machines
# (please configure in /usr/local/sbin/smbldap_conf.pm first)
add machine script = /usr/local/sbin/smbldap-useradd.pl -w -d /
dev/null -g machines -c 'Machine Account' -s /bin/false %u
# LDAP configuration for Domain Controlling:
# running 'smbpasswd -w mypassword'
ldap
ldap
ldap
ldap
ldap

admin dn = "cn=Manager,dc=alex,dc=fr"
server = 127.0.0.1
idmap suffix = ou=People,dc=alex,dc=fr
suffix = dc=alex,dc=fr
passwd sync = yes

passdb backend = ldapsam:ldap://localhost


idmap backend = ldapsam:ldap://localhost
ldap user suffix = ou=People
ldap group suffix = ou=Groups
ldap machine suffix = ou=People
ldap port = 636
ldap ssl = on

; if ldap ssl = on

# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS


names via DNS nslookups.
dns proxy = no
#======================= Share Definitions ==================
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
[netlogon]
comment = Network Logon Service
path = bdc-linux/home/samba/netlogon
writeable = no
share modes = no
read only = yes
write list = @adm root
[Profiles]
path = /home/samba/profiles
browseable = no
writeable = yes
create mask = 0600
directory mask = 0700
[public]
comment = Repertoire Commun Users

path = bdc-linux/home/samba/partage
public = yes
writable = yes
printable = no
write list = @users
Sur le serveur BDC Il devra ressembler celui la :
#======================= Global Settings =====================
[global]
# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = ALEX
# netbios name is the name you will see in "Network
Neighbourhood",
netbios name = BDC-LINUX
server string = Samba Server %v
log file = /usr/local/samba/var/log.%m
max log size = 5
# Security and Domain Membership Options:
hosts allow = 127.0.0.1 192.168.0.0/24
hosts deny = 0.0.0.0/0
interfaces = eth* lo
bind interfaces only = yes
security = user
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 64
domain master = no
# Preferred Master causes Samba to force a local browser election
on startup
# and gives it a slightly higher chance of winning the election
; preferred master = yes
domain logons = yes
# run a logon batch file
logon script = logon.bat
# %L substitutes for this servers netbios name, %U is username
# Le Profile des utilisateurs sera stock sur le serveur BDC
logon path = \\bdc-linux\Profiles\%U
logon home = \\bdc-linux\%U
# Script for domain controller with LDAP backend for adding
machines
# (please configure in /usr/local/sbin/smbldap_conf.pm first)
add machine script = /usr/local/sbin/smbldap-useradd.pl -w -d /

dev/null -g machines -c 'Machine Account' -s /bin/false %u; sleep


5
# LDAP configuration for Domain Controlling:
# running 'smbpasswd -w mypassword'
ldap
ldap
ldap
ldap
ldap

admin dn = "cn=Manager,dc=alex,dc=fr"
server = 127.0.0.1
idmap suffix = ou=People,dc=alex,dc=fr
suffix = dc=alex,dc=fr
passwd sync = yes

passdb backend = ldapsam:ldap://localhost


idmap backend = ldapsam:ldap://localhost
ldap user suffix = ou=People
ldap group suffix = ou=Groups
ldap machine suffix = ou=People
ldap port = 636
ldap ssl = on

; if ldap ssl = on

# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS


names via DNS nslookups.
dns proxy = no
#==================== Share Definitions =====================
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
writeable = no
share modes = no
read only = yes
write list = @adm root
[Profiles]
path = /home/samba/profiles
browseable = no
writeable = yes
create mask = 0600
directory mask = 0700
[public]
comment = Repertoire Commun Users
path = /home/samba/partage
public = yes
writable = yes
printable = no
write list = @users
Si vous utilisez Samba comme serveur WINS sur votre PDC, assurez vous que
vous avez configurez le BDC en tant que client WINS.

Vous pouvez copier smbldap_conf.pm du PDC vers le BDC, en vrifiant les


valeurs de $slaveLDAP et $masterLDAP (voir Smbldap-tools)
Le logon script dans cet exemple permet de monter un lecteur rseau appel
Public sous la lettre P: vous pouvez le copier sur le serveur BDC.
voici le contenu de logon.bat
net use P: \\bdc-linux\public
Pour controler les daemons samba plus facilement que par les commandes :
[root@pc root]# /usr/local/samba/bin/smbd -D
[root@pc root]# /usr/local/samba/bin/nmbd -D
Faites vous un script ou copier le miens (smb script start, stop, ...) dans le
rpertoire /etc/init.d/
Il faut donner le mot de passe du Manager LDAP a Samba pour qu'il puisse
crire dans l'annuaire. Faite le sur le PDC et le BDC :
[root@pc root]# /usr/local/samba/bin/smbpasswd -w mypassword
Setting stored password for "cn=Manager,dc=alex,dc=fr" in
secrets.tdb
Sur le BDC il faut importer le domain SID par cette commande
[root@pc root]# /usr/local/samba/bin/smbpasswd -S -r srv2.alex.fr
Smbldap-tools
Pour que chaque machines MS de votre rseau puissent tre ajoutes
automatiquement lors de la jonction au domaine, vous pouvez utiliser les
fichiers smbldap-tools (contrib d'idealx.org)
Il faut installer les packages suivants :
perl-ldap, perl-Authen-SASL-xx et perl-Convert-ASN1
Copiez le contenu du rpertoire /samba-3.0.0/exemples/LDAP/smbldap-tools
vers /usr/local/sbin/
lancez dans /usr/local/sbin/mkntpwd la commande make pour crer l'utilitaire
mkntpwd
[root@pc root]# cd /usr/local/sbin/ mkntpwd
[root@pc mkntpwd]# make
Autorisez l'excution des fichiers perl selon votre choix
[root@pc root]# chmod +x /usr/local/sbin/smbldap-useradd.pl
ou en masse
[root@pc root]# chmod +x /usr/local/sbin/smbldap-*
Configurez le fichier smbldap_conf.pm (voici le mien)
Faite un lien symbolique de /usr/local/sbin/*.pm vers /usr/lib/perl5/5.xx/
[root@pc root]# ln -s /usr/local/sbin/*.pm /usr/lib/perl5/5.xx/
(voir autres dtails dans INSTALL)
Si ca ne marchait pas du premier coup, ajoutez une workstation la main
dans ldap.
Crez un fichier ws.ldif

il faut ajouter un $ a la fin du nom netBIOS de vos machines


(le gidNumber est gale a 421 car c'est le n du group machines)
dn: uid=ws1$,ou=People,dc=alex,dc=fr
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
cn: ws1$
sn: ws1$
uid: ws1$
uidNumber: 1000
gidNumber: 421
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
et ajouter cette machine dans Samba
[root@pc root]# /usr/local/samba/bin/smbpasswd -a -m ws1$
Mappage des groups
Samba-3.0.0 vous permet de raliser un mappage entre les groups UNIX et
les groups Windows.
Vous avez le choix entre mapper des groups UNIX/Windows quivalents,
comme par exemple adm avec Domain Admins ou sys avec Power Users, ...
ou bien de crer des groupes UNIX bidons qui serviront uniquement au
mappage entre UNIX et Windows, comme par exemple domadmins pour
Domain Admins ou powerusers avec Power Users, ...
Vous pouvez leurs attribuer des RIDs lors du mappage des groupes (pour
respecter une quivalence avec Windows) ou laisser samba dcider
alatoirement.
Pour raliser ce mappage vous devez cr des groups UNIX (extraction grace
aux outils de migration ou la main) puis taper ces commandes :
[root@pc root]# /usr/local/samba/bin/net groupmap add rid=512
ntgroup="Domain Admins" unixgroup=adm
Successully added group Domain Admins to the mapping db
Pour vrifier :
[root@pc root]# /usr/local/samba/bin/net groupmap list
Domain Admins (S-1-5-21-2080767239-2881072900-3568078770-512) ->
adm
Pour supprimer :
[root@pc root]# /usr/local/samba/bin/net groupmap delete
ntgroup="Domain Admins"
Sucessfully removed Domain Admins from the mapping db
Un utilisateur (UID=0) pour rejoindre votre domaine
Vous devez crer un utilisateur administratif qui autorisera les machines
clientes rejoindre votre domaine. Il pourra s'appeler n'importe comment
(toto, jointdomain, admin...) tant qu'il aura un UID=0
(valable uniquement pour Samba 3.xx)

dans un fichier au format LDIF placer ceci :


dn: uid=jointdomain,ou=People,dc=alex,dc=fr
uid: jointdomain
cn: jointdomain
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/false
uidNumber: 0
gidNumber: 0
homeDirectory: /dev/null
gecos: jointdomain
Valider un utilisateur dans Samba
Aprs avoir ajout dans l'annuaire, crer son mot de passe avec Samba :
[root@pc root]# /usr/local/samba/bin/smbpasswd -a jointdomain
New SMB password:
Retype new SMB password:
Added user jointdomain.
[root@pc root]#
Vous n'avez plus qu'a crer vos utilisateurs en incrmentant leur numro uid
et normalement vos machines seront ajoutes des leur jonction au domaine.
Source : http://www.mandrakesecure.net/en/docs.php#papers
Document mis jour : 26/12/03