Possible récup et synchro cptes domaine nt4 samba et linux ?

[jimro]

Bonjour,

Après de multiples recherches, je n'arrive toujours pas à trouver qqc concernant la récupération et la synchronisation des comptes de domaine nt4, samba et linux. J'ai bien trouvé des explications pour la migration d'un domaine nt (ou plutôt Active Directory) vers un domaine sme, mais malheureusement cela ne correspond pas à la structure de réseau que je recherche.

Ma config:
- SME Server 6.0.1-01 en mode "serveur seulement", non contrôleur, non serveur DHCP, pour la mise à dispo d'infos via un portail web interne
- intégrée dans un domaine NT4 : un PDC NT4 et deux BDC NT4 et plusieurs dizaines de stations sous Windows (98SE à WinXP Pro) et donc de comptes utilisateurs NT

Est-il possible dans un premier temps de récupérer les paramètres des comptes utilisateurs NT de manière automatique sur le serveur SME, et ensuite de maintenir une synchronisation entre ces comptes, et ceux utilisés par Linux et Samba ? C'est-à-dire si un compte est modifié ou ajouté sur le domaine NT (mot de passe ou autre) que les modifs soient répercutées sur la SME Server ? Il faudrait aussi que les comptes Linux et Samba soient synchros, je suppose. Mais sur ce dernier point, bien que je n'aie pas tout compris (newbie oblige ), il semble qu'il existe des paramétrages de smb.conf notamment qui permettent de le faire.

J'ai lu que par exemple "Microsoft Windows Services for Unix 3.5" (gratuit) pourrait faire ce type de synchronisation, mais je ne sais pas dans quelle mesure ? Quelqu'un a-t-il expérimenté cet outil sur SME ? C'est une solution que je préférerais n'utiliser qu'en dernier recours.

Merci pour l'aide que vous pourrez m'apporter

[sibsib]

Salut,

Tu n'es pas exactement dans le contexte de SME (qui pense être seul contrôleur pour son envirronement).

Mais Samba sait faire ce genre de choses.

En fait, tout dépent du niveau de sécurité que tu veux :

Situ veux que le dossier \jacques de samba ne soit accessible que par jacques, alors que le dossier \compta est accessible par toute la compta (et tout et tout) , je pense que tu vas avoir un peu de mal.

Par contre, si dans ton contexte, toute personne authentifiée sur le domaine NT (ou W2K, dans ce cas c'est pareil) aie les mêmes droits sur SAMBA, c'est jouable (à tester soigneusement avec SME !)
Il existe un mode SAMBA ou tu précises dans les fichiers de configuration de valider toute demende d'authetification par rapport à un PDC (ou PDC emulator) . Ceci te permet de savoir que le compte est valide, donc d'autoriser l'accès ou non (en fonctions des droits du partage, et non plus du user, c'est nettement plus basique !)
Dans ce montage, la synchro est automatique, SAMBA utilisant le domaine que pour valider que le compte existe et que l'authentifiacation s'est bien passée.

Pour donner des droits plus fins, il faut que le compte NT existe aussi sur le serveur SAMBA (tant au niveau d'Unix que de SAMBA). Par contre, je pense que le mot de passe n'a pas besoin dêtre synchro (toujours dans le cas ou l'authentifiaction SAMBA est assurée par le controleur de domaine).
Dans ce contexte, créer un script qui consulte la liste des comptes existants sur le domaine NT pour recréer les mêmes sur le serveur SME ne me parait pas le bout du monde. En tout cas bien plus simple que la mise en fonction du mode d'authentification SAMBA par le PDC sans casser SME !

Bonne chance,
Pascal

[guiguid]

Salut,

"winbind" est ton amis

la doc complete:
http://info.ccone.at/INFO/Samba/winbind.html

plus simple et en francais et pour redhat 7.3 :
http://lea-linux.org/admin/samba_nt_auth.html

A+

[sibsib]

Salut,

Woah ! Hyper intéressant !

Sauf que :

- Recompil de Samba
- Modification d'un paquet de fichiers 'templatisés'
- j'en passe et des meilleures...

Quelqu'un a fait sur SMEuuhh ?

A+,
Pascal

[jimro]

Merci pour vos réponses et vos encouragements

@sibsib
Ce n'est pas tant l'attribution de droits ou permissions sur des partages qui m'intéresse (enfin pas encore...), c'est plutôt la récupération des comptes nt sur linux ; avec l'idée de l'utilisation des comptes linux pour la création des comptes de courrier (voir mon post dans ce même forum : http://forums.ixus.net/viewtopic.php?t=22416, j'ai préféré scinder car ça risquait d'être lourd) car je voulais profiter des fonctionnalités de SME Server : quand on crée un user l'avantage c'est qu'il crée aussi un partage et un compte de courrier pour ce user.

Dans ce contexte, créer un script qui consulte la liste des comptes existants sur le domaine NT pour recréer les mêmes sur le serveur SME ne me parait pas le bout du monde. En tout cas bien plus simple que la mise en fonction du mode d'authentification SAMBA par le PDC sans casser SME !

Désolé, je ne sais pas comment faire ce genre de script. Pourrais-tu me mettre sur la voie, s'il te plaît ?

@guiguid

"winbind" est ton ami

OK, je vais voir ça aussi.


Quoi qu'il en soit, il va me falloir un peu de temps pour digérer tous ces concepts et essayer de les mettre en application. Je vous tiens au courant.

[jimro]

Bon j'ai commencé à tenter l'expérience aujourd'hui... Bien que je ne sache pas si je vais arriver au résultat escompté : création automatique des users linux à partir de la SAM du domaine nt4.
Pas une mince affaire je comprends la réaction de sibsib !
Le lien sur winbind (http://info.ccone.at/INFO/Samba/winbind.html), l'angoisse une véritable bible ! Donc en priorité, je me base sur les explications de lea-linux.

Premier pb : dans le server-manager de la SME Server 6.0.1 (mode serveur seulement), il me shoote le nom du domaine nt4 ; il commence par un chiffre (eh oui, 'fin je ne l'ai pas initié et je n'ai pas la main sur ça). Pour contourner, je suis passé à la ligne de commande avec /sbin/e-smith/db configuration setprop... Là, c'est bien pris en compte. Je vois même directement ma SME dans le gestionnaire de serveurs du domaine nt4.

Ensuite "j'ai templatisé" le smb.conf (toujours avec les templates-custom au cas où). Restent encore nsswitch.conf (pour celui-là ça devrait aller ) et les fichiers dans /etc/pam.d/
Mais là bizarre, il y a deux smb.conf parfaitement identiques : l'un dans /etc/, l'autre dans /etc/samba ou /etc/e-smith (je ne sais plus). J'ai retenu le premier car dans les templates, c'est le premier chemin qui correspond.

Mais plusieurs choses m'interpellent dans le smb.conf proposé sur lea-linux :

-------------------------------------------------------------
# Taille maximale des fichiers log.
max log size = 100
-------------------------------------------------------------
Sur SME c'est 50 et non 100, mais ça doit pas être bien grave

-------------------------------------------------------------
# les lignes suivantes sont utiles pour pouvoir changer le mot de passe
# et ajouter des utilisateurs à partir de serveurs windows. A utiliser avec
# "encrypt passwd" et "smb passwd file"
unix password sync = yes
passwd program = /usr/bin/passwd
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentification*tokens*updated*successfully*
add user script = /usr/sbin/useradd %u -g smbusers
delete user script = /usr/sbin/userdel %u
allow trusted domains = yes
----------------------------------------------------------------
Là je vérifierai si c'est OK pour useradd et userdel

------------------------------------------------------------------
# Support de l'ACL Microsoft
nt acl support = yes
------------------------------------------------------------------
Introuvable, donc à rajouter

------------------------------------------------------------------
# Séparateur winbind. Avec + les utilisateurs auront la forme
# domaine+nom_d'utilisateur.
# les séparateurs peuvent etre + ou /. Toutes les options qui
# suivent sont indispensables pour le bon fonctionnement de
# winbind
winbind separator = +
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
winbind uid = 10000-20000
winbind gid = 10000-20000
-------------------------------------------------------------------------------
template shell et template homedir : est-ce que tous les users vont avoir ainsi accès au shell ? et leur home va changer alors qu'il est déjà défini par SME certainement sur un autre chemin ?

--------------------------------------------------------------------------
# Ce premier partage va servir à créer un répertoire personnel
# pour l'utilisateur du domaine qui viendra se connecter.
[homes]
comment = Home Directory
browseable = no
writable = yes
valid users = %S
create mode = 0664
directory mode = 0775
-------------------------------------------------------------------------
Là je ne sais pas trop ce que ça va donner !?!?

Puis quand je vois la tête des fichiers sous /etc/pam.d/ proposés par lea-linux et ceux actuellement en place sur la SME, je frémis. Enfin bon, vaut mieux que ça casse maintenant qu'après la mise en service réelle !

A bientôt pour la suite des événements...

[sibsib]

Salut,

Je crains de jouer les rabats-joie...

A ma connaissance, intégrer winbind dans SME est un gros projet.

En tout cas, ceci ne répond pas à ta demande initiale : en installant winbind (si çà marche ) tu permets à un user windows d'exploiter 'à fond' un serveur samba, + la possibilité pour ce user de se connceter avec un shell sur ton serveur SME, voire d'ouvrir une session X sur ce même serveur.

A l'opposé du concept de SME !

Si j'ai bien suivi, ton souhait est 'légèrement' différent : tu souhaites créer un compte sur le serveur SME quasi uniquement pour la messagerie - qui n'est pas vraiment prise en compte par winbind ! -

Dans ce contexte, à mon avis, il faut :

0) (pas forcément indispensable) intégrer SME dans ton domaine NT.
1) trouver la commande smb(si ton domaine est NT4) ou LDAP (si ton domaine est W2K) pour que SME puisse aller lire la base des comptes du domaine MicroMou. Pas monstrueux en SMB, assez simple (en tout cas je peux te récupérer un script à moi) en ldap.
2) A partir de cette base des comptes, créer les comptes ad-hoc sur SME, a l'aide des lat (lazy admin tools) . Cà, c'est simple.
3) trouver une solution pour les mots de passe.
--> Super élégant, et si tu y arrives, tu auras fait progresser SME : Utiliser la partie de winbind pour assurer l'authentification imap/pop3/webmail des user
--> nettement moins élégant : coller un mot de passe arbitraire pour la messagerie et le communiquer à l'utilisateur, en lui donnant la possibilité de le changer sur SME à l'aide du 'user-manager' (de mémoire) une contrib qui permet entre autre à l'utilisateur de changer son mot de passe SME en mode WEB.

Vouhala, çà vaut ce que çà vaut...

A+,
Pascal

[jimro]

Intégrer winbind à SME me semble effectivement un gros projet, pour lequel je ne possède ni les compétences, ni suffisamment de temps malheureusement

En tout cas, ceci ne répond pas à ta demande initiale : en installant winbind (si çà marche Evil or Very Mad ) tu permets à un user windows d'exploiter 'à fond' un serveur samba, + la possibilité pour ce user de se connceter avec un shell sur ton serveur SME, voire d'ouvrir une session X sur ce même serveur.

A l'opposé du concept de SME !

Tout à fait d'accord avec toi, JE NE VEUX SURTOUT PAS CA.

Si j'ai bien suivi, ton souhait est 'légèrement' différent : tu souhaites créer un compte sur le serveur SME quasi uniquement pour la messagerie - qui n'est pas vraiment prise en compte par winbind ! -

Tout à fait.

1) trouver la commande smb (si ton domaine est NT4)

Oui, c'est ça qu'il me faudrait.

--> Super élégant, et si tu y arrives, tu auras fait progresser SME : Utiliser la partie de winbind pour assurer l'authentification imap/pop3/webmail des user

Avec toutes les ouvertures données aux utilisateurs en installant winbind, je crains que cette solution ne sera pas retenue

Merci pour tes conseils, et si je n'y arrive pas, pour mon pb de messagerie, restera alors la solution de la création des deux comptes de courrier par utlisateur dans son logiciel de courrier.