ldapsmb: ldap et authentification Windows
Si comme moi, vous êtes confronté à une infrastructure Unix / Linux avec serveur d’authentification LDAP et un serveur SAMBA simulant un AD, mais que les besoins de vos utilisateurs ont évolués et que ces derniers veulent s’authentifier sur des Windows, que ce soient des VM ou des serveurs à proprement parler, sachez qu’il existe un outil pour aider. ldapsmb, c’est son nom, permet de rajouter les quelques champs dans l’enregistrement ldap permettant cette authentification.
La mise en opération est d’une simplicité à toute épreuve. Si le package est sur vos repositories habituels, un petit apt / yum / zypper s’impose. En revanche si ce n’est pas le cas, vous pouvez le récupérer sur le site du projet.
Attention, le package est à installer non pas sur votre serveur LDAP mais sur votre serveur SAMBA, car c’est lui qui gère lesdites permissions en s’appuyant sur votre LDAP.
Pour en revenir au package ldapsmb, le mode de gestion est primaire : ajout d’un nouvel utilisateur, modification, suppression.
Ajout d’un utilisateur
Lorsque vos utilisateurs existent dans le ldap mais n’ont pas les fameux champs samba, il faut commencer par les ajouter. Un mot de passe vous est demandé, c’est celui qu’utiliseront vos utilisateurs pour se connecter aux Windows.
# ldapsmb -a -u bux -s New password : Retype password :
Pour lister et bien constater que le user bux est connu, interrogez via ldapsmb, puis via ldapsearch pour valider que les champs samba sont existant et initialisés. Les commandes à lancer sont, pour mon exemple :
# ldapsmb -l -u bux # ldapsearch -x -b "cn=bux, ou=People, dc=k-tux, dc=com"
Bien entendu, le dn suivant l’option -b est à modifier selon votre arborescence ldap.
Modification d’un enregistrement
La modification d’un user ldap n’est pas vraiment souple et reste pratique dès lors que vous voulez rajouter l’utilisateur à un ou plusieurs groupes ldap existants.
Pour mon exemple, je veux modifier la définition de l’utilisateur bux afin qu’il appartienne au groupe dba -sur lequel j’appuie un netlogon plus spécifique :
# ldapsmb -m -u bux -g dba
Encore une fois, les informations sont à vérifier via ldapsmb -l -u bux ou mieux ldapsmb -l -g dba.
Suppression d’une entité
Il est nécessaire de pointer ici qu’il ne s’agit pas d’une suppression de compte ldap mais bien des propriétés du compte ldap propres à SAMBA. De ce fait, l’utilisateur ne pourra plus s’authentifier sur une session Windows, en revanche il pourra toujours se connecter depuis un client ldap.
Pour ce faire, il suffit de lancer, pour bux, la commande qui suit :
# ldapsmb -d -u bux
L’utilisateur bux ne peut plus s’authentifier sur Windows mais reste capable de se logguer sur du linux ou du solaris correctement paramétré.
Conclusion
Encore un outil qui permet de se simplifier la vie tout en restant fiable et solide. Cependant, comme un outil reste ce que le possesseur en fait, je ne saurais conseiller un backup des enregistrements ldap avant toute application, histoire de ne pas se rajouter du travail.
Enjoy !