Introduction

On va créer un serveur linux qui va gérer un annuaire dans un réseaux avec des machines windows.
Le projet se divise en deux parties, LDAP et SAMBA

LDAP (Lightweight Directory Access Protocol) est un protocole de couche application qui permet d'accéder à un service d'annuaire commandés et distribués à trouver différentes informations dans un environnement réseau. LDAP peut être considéré comme une base de données (bien que le système de stockage peut être différent) pour effectuer des vérifications.

SMB (abréviation de Server Message Block) Protocole réseau qui permet le partage de fichiers et d'imprimantes (entre autres) entre des nœuds dans un réseau. Il est principalement utilisé sur les ordinateurs avec Microsoft Windows. SMB a été inventé par IBM, mais les plus communs aujourd'hui est largement modifiée par Microsoft. Microsoft SMB renommé pour Common Internet File System (CIFS) en 1998 et a ajouté plus de fonctionnalités, y compris le soutien pour les liens symboliques, les liens durs (liens en dur), et des fichiers volumineux.

OpenLDAP est une implémentation libre et un protole open source (Lightweight Directory Access Protocol (LDAP)), développé par le projet OpenLDAP. Il est distribué sous sa propre licence OpenLDAP Public License. LDAP est une plate-forme de protolocoles indépendants. De nombreuses distributions Linux incluent OpenLDAP pour son support.
Samba est une suite de logiciels, à l'origine créé par Andrew Tridgell et actuellement maintenu par l'équipe Samba sous la Licence Publique Générale GNU, et mis en œuvre dans les systèmes UNIX ® basé sur le protocole SMB. Sert un remplacement complet pour Windows ® NT, Warp ®, NFS ® et serveurs NetWare ®.

I. LDAP

(Light Directory Access Protocol) est un service d'annuaire dérivé de la norme X.500. La norme X.500 est très lourde, LDAP en est une version allégée ("light"),
Un serveur LDAP permet de centraliser des informations très diverses. Il offre de nombreux avantages :

• un serveur d'annuaire peut recenser tous les objets d'un système

• Information sur les utilisateurs (nom, prénom…), et données d'authentification pour les utilisateurs, cela permet aussi la définition de droits.

• Information pour les applications clientes et fonctions de serveur d'accès itinérant : cela permet de stocker ses informations personnelles sur un serveur et de les récupérer lors de la connexion,

LDAP supporte le chiffrement SSL et cohabite parfaitement avec les applications Samba, DNS, NFS… ce qui permet son utilisation pour des applications comme les serveurs de liste de diffusion.

1.1 Directory Information Tree

LDAP fournit un modèle d'organisation des données. Ces données sont organisées sous forme hiérarchique. L'arbre est nommé Directory Information Tree (DIT). Le sommet (racine), contient le "suffixe". Chaque noeud représente une "entrée" ou "Directory Entry Service" (DSE). Les données sont stockées sur un format de base de données hiérarchique de type "dbm". Ce format est différent des bases de données relationnelles, conçues pour supporter de multiples mises à jour. DBM est conçu pour supporter peu de mises à jour, mais de nombreuses consultations.

1.2 SLAPD.CONF

Le fichier slapd.conf est le fichier de configuration du démon. Le service serveur se nomme slapd.

#/etc/ldap/slapd.conf 
allow bind_v2
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/nis.schema

pidfile         /var/run/slapd.pid
argsfile        /var/run/slapd.args

database        ldbm
suffix          "dc=info,dc=local"
rootdn          "cn=admin,dc=info,dc=local"
rootpw          {SSHA}nwEY4LD7PZYSFdgvbvb13131dfxc/HFCbgj
directory       /var/lib/ldap

index   cn       eq

1.3 LDIF

LDAP Data Interchange Format. C'est le format de fichier permettant le chargement et la mise à jour de données dans un
annuaire LDAP. Il faut créer un fichier au format LDIF pour chaque objet que l'on souhaite ajouter.
Par exemple:

dn: uid=user,ou=People,dc=info,dc=local
uid: user
cn: normal user
objectclass: account
objectclass: posixAccount
objectclass: top
loginshell: /bin/bash
uidnumber: 500
gidnumber: 120
homedirectory: /mnt/home/user
gecos: normal  user,,,,
userpassword: {crypt}KDnOoUYN7Neac

1.4 Schéma

L'endroit où se définissent attributs et classes d'objets, qu'ils soient standards ou de votre fait, s'appelle un schéma.
Si vous avez un OpenLDAP à votre disposition, via les paquetages standards de votre distribution Linux, vous pouvez
y jeter un coup d'œil. Ils sont dans /usr/share/doc/samba.schema.
Voici un exemple de définition de classe (au format OpenLDAP), tiré du schéma Samba:

   objectclass ( 1.3.6.1.4.1.7165.2.2.6 NAME 'sambaSamAccount' SUP top AUXILIARY
   DESC 'Samba 3.0 Auxilary SAM Account'
   MUST ( uid $ sambaSID )
   MAY  ( cn $ sambaLMPassword $ sambaNTPassword $ sambaPwdLastSet $
    sambaLogonTime $ sambaLogoffTime $ sambaKickoffTime $
    sambaPwdCanChange $ sambaPwdMustChange $ sambaAcctFlags $
    displayName $ sambaHomePath $ sambaHomeDrive $ sambaLogonScript $
    sambaProfilePath $ description $ sambaUserWorkstations $
    sambaPrimaryGroupSID $ sambaDomainName $ sambaMungedDial))

Il faut copier le schema samba pour créer un relation avec samba

#cp /usr/share/doc/samba-3.0.33/LDAP/samba.schema /etc/openldap/schema/samba.schema

1.5 Le langage de commande

slappasswd: va générer un mot de passe pour l'administrateur ldap, tenez compte de ce mot de passe crypté dans ce cas SSHA, pour le copié dans le fichier /etc/openldap/schema/samba.schema

#slappasswd -w admin
New passwd:
RE-enter new password:
{SSHA}nwEY4LD7PZYSFdgvbvb13131dfxc/HFCbgj

ldapsearch

ldapsearch  -x  'objectclass=*' # On veut tous les objets
ldapsearch  -x  'objectclass=person' sn cn # On récupère les cn et sn
ldapsearch -x  'uid=mlx' mail # On veut le mail de la personnes d'uid mlx

ldapadd

$ ldapadd -x -D "cn=manager,dc=foo,dc=org" -w secret -f  nomdefichier.ldif
ou alors 
$ ldapadd -x -D "cn=manager, dc=foo, dc=org" -W -f nomdefichier_ldiff

ldapmodify

ldapmodify -h host -p port -D "cn=admin,dc=info,dc=local" -w password 
dn: uid=user,ou=People,dc=info,dc=local 
changetype: modify 
replace: sn 
sn: ruiz 
replace: cn 
cn: juan ruiz
cn: juanr ruiz

On rajoute avec un éditeur de votre choix le schema samba dans la liste des schemas deja présents dans /etc/openldap/slapd.conf
include /etc/openldap/schema/samba.schema
On rajoute aussi dans le fichier /etc/openldap/sldap.conf, la chemin de la base dans foret de ldap et le mot de passe crypté cité antérieurement pour l'administarteur ldap
rootdn "cn=admin,dc=info,dc=local"
rootpw {SSHA}nwEY4LD7PZYSFdgvbvb13131dfxc/HFCbgj

II. SAMBA

2.1 /etc/samba/smb.conf

/etc/samba/smb.conf
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-11-27
[global]
    workgroup = sambatest #=====================>nom de domaine
    printing = cups
    printcap name = cups
    printcap cache time = 750
    cups options = raw
    map to guest = Bad User
    include = /etc/samba/dhcp.conf
    logon path = \\%L\profiles\.msprofile
    logon home = \\%L\%U\.9xprofile
    logon drive = P:
    logon script = logon.bat==>mon script de démarrage chez le client windows
    usershare allow guests = Yes
    add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
    domain logons = Yes  #==========>utilisé pour le contrôleur de domaine
    domain master = Yes  #==========>utilisé pour le contrôleur de domaine
    local master = Yes
    os level = 63 #=================================> Master level Microsoft 64
    preferred master = Yes
    security = user #================> la sécurité se passe au niveau des utilisateurs
    ######################Options ldap sur samba####################
    passdb backend = ldapsam:ldap//127.0.0.1
    ldap suffix =dcinfo,dc=local
    ldapmachine suffix=ou=machines
    ldap user suffix =ou=user
    ldap group suffix =ou=group
    ldap admin dn ="cn=admin,dc=info,dc=local"
    ldap passwd sync = Yes
    enable privileges = Yes
    dns proxy = No
    wins support = Yes
    ### Indiquer les réseaux autorisés
    hosts allow = 192.168.2. 127.
    winbind use default domain = Yes
    nt acl support = Yes
    msdfs root = Yes
    hide files = /desktop.ini/ntuser.ini/NTUSER.*/

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon #====================>placer le scripts windows
    write list = root #=============>Seulement root peut modifier ce dossier
[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = Yes
    read only = No
    inherit acls = Yes
[partages]
    comment = les partage samba
    path = /rep #=====================> doit pointé ver le dossier partage
    read only = No
    browseable = yes
[profiles]
    comment = Network Profiles Service
    path = %H
    read only = No
    store dos attributes = Yes
    create mask = 0600
    directory mask = 0700
[users]
    comment = All users
    path = /home
    read only = No
    inherit acls = Yes
    veto files = /aquota.user/groups/shares/
[groups]
    comment = All groups
    path = /home/groups
    read only = No
    inherit acls = Yes

2.2 Cette commande permet de cotroler le sid si tout c'est bien passé

[root@centos ~]# net getlocalsid
SID for domain CENTOS is: S-1-5-21-3383642549-2644488264-4153100090

Annexes Aide

http://www.alcancelibre.org/staticpages/index.php/SAMBALDAP-CENTOS5