PhenIXUS

[dj35]

Les posts suivants manquant de clarté, je vous invite à consulter directement le post suivant: http://entraide.ixus.net/viewtopic.php?f=7&t=258#p1958
[EDITION par jibe]l'adresse du nouveau message mentionné ci-dessus a été modifiée suite à son déplacement.

Bonjour,

Je veux connecter un serveur FreeNas 8.0.3 à l'annuaire LDAP de mon serveur SME version 8 béta7. J'ai mis les paramètres suivants dans la config du FreeNAS:
Nom d'hôte => 192.168.133.107
DN de base => dc=mondomaine,dc=local
Autoriser les liaisons anonymes
DN du super-utilisateur =>uid=admin,ou=Users,dc=mondomaine,dc=local
Mot de passe du super-utilisateur =>mot de passe admin
Chiffrement du mot de passe
Suffixe utilisateur =>ou=Users
Suffixe de groupe =>ou=Groups
Suffixe de mot de passe
Suffixe de machine
Encryption Mode
Certificat auto-signé
Paramètres supplémentaires ldap_version 3 timelimit 30 bind_timelimit 30 bind_policy soft pam_ldap_attribute uid

La connexion ne s’effectue pas. D'une manière générale, j’accède bien à l'annuaire LDAP en local sur la SME (par exemple avec phpldapadmin). Par contre, je n'arrive pas à me connecter de l'extérieur à partir d'une application tiers.

Quelqu'un à une idée ????????

[jibe]

Salut,

j’accède bien à l'annuaire LDAP en local sur la SME (par exemple avec phpldapadmin). Par contre, je n'arrive pas à me connecter de l'extérieur à partir d'une application tiers.

Un schéma eût été fort utile pour nous aider à comprendre ce que tu cherches à faire... Ton FreeNAS est-il dans le LAN de SME ou dans un autre réseau ?

Merci de bien donner toutes les précisions utiles - dont un petit schéma qui vaut mieux qu'un long discours, comme l'a si bien dit Napoléon. Au besoin, s'aider de cet article du wiki

[jdh]

Outre un (mini) schéma juste pour expliquer la "distance" entre la SME et le FreeNAS, il manque, de toute évidence, un questionnement élémentaire !

- est ce que SME est configurée pour être accédé en LDAP depuis une autre machine ? (m'étonnerait !)
- les requêtes sont-elles bien parties ?
- les requêtes arrivent-elles ?
- l'authentification (inévitable) est-elle correcte ?
- les requêtes sont-elles conformes au(x) schéma(s) ?

L'examen de quels logs a-t-il été mené ? Et avec quelles informations obtenues ?

Il ne suffit pas de saisir des paramètres "possibles" (et de claquer des doigts).
Il faut se poser des questions élémentaires, et vérifier, point par point ...

NB : Il y a un serveur LDAP dans SME avec utilisateurs et groupes, mais il y a aussi des utilisateurs et groupes unix. Je ne connais pas le rapport entre les uns et les autres ...

[dj35]

Bonjour,

Merci pour vos réponses. Voici quelques informations complémentaires:


j’accède bien à l'annuaire LDAP en local sur la SME (par exemple avec phpldapadmin)
=> j'ai installé phpldapadmin sur le serveur SME. Je peux consulter le schéma.
Par contre, je n'arrive pas à me connecter de l'extérieur à partir d'une application tiers
=> FreeNAs, la SME et mes 3 PC sont sur le même réseau (168.192.133.0/24). Par contre je n'arrive pas à me connecter au serveur LDAP avec des applications tiers situées sur les autres machines du réseau (par exemple: LDAPExplorer Tool, FreeNAs).

- est ce que SME est configurée pour être accédé en LDAP depuis une autre machine ? (m'étonnerait !)
Dans l'interface de gestion du serveur SME (annuaire LDAP)=> J'ai mis l'option "AUTORISER L'ACCES COMPLET ( LAN ET INTERNET)

- les requêtes sont-elles bien parties ?
- les requêtes arrivent-elles ?
- l'authentification (inévitable) est-elle correcte ?

Dans le journal des log (/var/log/ldap/current):
2012-01-25 16:55:51.432574500 conn=879 fd=16 ACCEPT from IP=192.168.133.4:1270 (IP=0.0.0.0:389)
2012-01-25 16:55:51.432713500 conn=879 op=0 BIND dn="uid=admin,ou=Users,dc=mon_domaine,dc=local" method=128
2012-01-25 16:55:51.432966500 conn=879 op=0 RESULT tag=97 err=49 text=
2012-01-25 16:55:52.673679500 conn=879 op=1 UNBIND
2012-01-25 16:55:52.673682500 conn=879 fd=16 closed

J'ai également essayé avec l'utilisateur ROOT sans résultat.

- les requêtes sont-elles conformes au(x) schéma(s) ?
En vérifiant avec phpldapadmin, les requêtes semblent conformes au schéma.

L'examen de quels logs a-t-il été mené ? Et avec quelles informations obtenues ?

Dans le journal (/var/log/messages): RAS

[jdh]

(Je ne suis pas spécialiste de SME.)

L'option "AUTORISER L'ACCES COMPLET" semble, en effet, logique.
Le log "/var/log/ldap/current" semble indiquer que l'accès (via le réseau) se réalise.

Néanmoins, il y a le mot "err=49" qui semble indiquer que la requête est incorrecte !

Je vois 4 raisons possibles (il doit y en avoir plus) :
- l'identification est incorrecte,
- les droits d'accès sont incorrects,
- la requête est incorrecte (version, paramètre),
- la requête n'est pas conforme aux schémas.

Et oui, il y a des droits d'accès sur une arborescence LDAP ...

[dj35]

Je vois 4 raisons possibles (il doit y en avoir plus) :
- l'identification est incorrecte,
- les droits d'accès sont incorrects,
- la requête est incorrecte (version, paramètre),
- la requête n'est pas conforme aux schémas.

Et oui, en cherchant à modifier les droits d'accès sur l'arborescence LDAP , j'ai ouvert le fichier slapd.conf et là je me suis aperçu que le DN du super-utilisateur et le mot de passe, que j'utilisais, n'étaient pas les bons. J'ai pris le rootdn et le rootpw indiqué dans le slapd.conf et là bingo, ça marche.

Un grand merci à toi jdh pour ton aide.

[jdh]

Il y a 2 choses à faire :
- mettre le drapeau [RESOLU],
- reconnaitre que le questionnement (nécessaire) a été (très) insuffisant. (d'autant plus clair que je ne suis pas spécialiste SME.)

[jibe]

Salut,

Désolé de jouer à mon tour les rabat-joie, mais il y a plusieurs choses pas claires et une manière de faire qui n'arrange rien.

- J'ai demandé un schéma. J'aurais apprécié de le voir. Vivement conseillé directement ou indirectement à plusieurs reprises dans la charte (acceptée à l'inscription) et divers documents d'aide à l'utilisation dont le mode d'emploi (accessibles - comme la charte - par le lien rose "règles du forum") + demandé dans le fil + rendu nécessaire par une incapacité à exposer clairement les choses, je le considère comme indispensable ici.
- Lorsqu'on cite quelqu'un, on doit utiliser les balises quote. Simple question de présentation, mais qui rend la lecture bien plus facile et agréable. Cela est expliqué dans le mode d'emploi des forums.
- Je soupçonne un manque de recherche préalable, puisqu'aucune recherche n'est mentionnée, alors que google donne des liens très intéressants !
- Je ne suis pas certain que la solution (bien qu'apparemment fonctionnelle) soit la bonne. Faute de précisions, je ne peux rien dire de plus, si ce n'est inviter les lecteurs à aller voir sur le wiki de contribs.org (attention : cette page est pour SME 8, je n'ai pas cherché si la page pour SME 7 a été conservée...).
- Pourquoi un accès complet LAN + Internet si l'accès doit être fait depuis le LAN ??? Cela maintient la confusion que j'ai déjà signalée hier soir et qu'un schéma aurait clarifiée.
- Un problème d'identifiants ? J'ai peine à le croire, ou au moins à comprendre :

J'ai également essayé avec l'utilisateur ROOT sans résultat.

Je rappelle que le but de ce site, clairement précisé dans la charte, est le partage de connaissances. Et donc que les fils destinés à résoudre le problème d'un membre doivent pouvoir servir à d'autres membres ayant un problème similaire.

A ce titre, merci d'intervenir au plus vite :
- Pour ajouter le flag {RESOLU] exigé par la charte et déjà demandé par jdh,
- Pour ajouter un schéma du réseau concerné (ici ou dans un post de présentation, avec un lien dans ce fil ou dans la signature),
- Pour faire un résumé clair et précis du problème et de sa solution, et de mettre un lien sur ce résumé en début du premier post, afin que ceux qui rencontreraient le problème ne perdent pas leur temps à lire des posts incompréhensibles.

[jdh]

Il me semble largement discutable, en effet, d'utiliser un 'rootdn' et 'rootpw' sur une machine distante !
(Cela devrait être réservé au serveur local !)

J'ai donné 4 questionnements élémentaires (de mon point de vue de non spécialiste SME mais généraliste).

Code : Tout sélectionner

est ce que SME est configurée pour être accédé en LDAP depuis une autre machine ? (m'étonnerait !)

doit être compris à 2 niveaux :
- la config de l'arborescence LDAP (qui intègre une gestion de droits incluant la notion d'hôtes),
- un accès réseau éventuel externe (blocage du port 389/tcp p.e.).

Il est notable que l'"accès local par phpldapadmin" ne donne AUCUNE information (même en le répétant).

Outre le besoin peu détaillé, la solution est aussi peu détaillée.
C'est parce que ce n'est qu'un contournement qui a été trouvé !
Il me semblerait plus constructif de créer un compte de requête externe et d'ajouter les bons droits d'accès dans le schéma.
(Créant une verrue qu'il faudra supporter ...).

Il est tout aussi possible que SME pouvant être DC d'un domaine, le NAS redirige directement les authentifications SMB/CIFS vers le DC pour des clients accédants aussi au NAS ...


(Il reste à comprendre le rôle de LDAP dans SME parce que si c'est juste pour des listes de courriels ...)

[dj35]

Bonjour,

Voici un schéma de mon réseau:

schéma.jpg (29.19 Kio) Consulté 1412 fois

L'objectif de ce post est de connecter un serveur FreeNas 8.0.3 à l'annuaire LDAP de mon serveur SME version 8 béta7 pour que le serveur FreeNas utilise l'annuaire LDAP du serveur SME pour identifier les utilisateurs qui se connectent au FreeNas.

Voiçi la fenêtre de paramétrage dans le FreeNas:

FreeNas.JPG (37.08 Kio) Consulté 1412 fois

En premier, dans l'interface de gestion du serveur SME (annuaire LDAP)=> j'ai mis l'option "AUTORISER L'ACCES COMPLET ( LAN ET INTERNET)" pour éviter tout problème de droits.

Suite à mes recherches sur Internet, j'ai trouvé le post suivant http://wiki.contribs.org/LDAP . En me basant sur ce dernier, j'ai installé phpldapadmin sur le serveur SME pour vérifier l'arborescence de mon schéma (pas de probleme particulier) et j'ai mis les paramètres suivants dans la config du FreeNAS:

Nom d'hôte => 192.168.133.107
DN de base => dc=mondomaine,dc=local
Autoriser les liaisons anonymes
DN du super-utilisateur =>uid=admin,ou=Users,dc=mondomaine,dc=local
Mot de passe du super-utilisateur =>mot de passe admin
Chiffrement du mot de passe
Suffixe utilisateur =>ou=Users
Suffixe de groupe =>ou=Groups
Suffixe de mot de passe
Suffixe de machine
Encryption Mode
Certificat auto-signé
Paramètres supplémentaires ldap_version 3 timelimit 30 bind_timelimit 30 bind_policy soft pam_ldap_attribute uid

J'ai également essayé avec le paramètre suivant:
DN du super-utilisateur =>uid=root,ou=Users,dc=mondomaine,dc=local

La connexion ne s’effectue pas. Sur le serveur SME, j'ai le log suivant:

Dans le journal des log (/var/log/ldap/current):

Code : Tout sélectionner

2012-01-25 16:55:51.432574500 conn=879 fd=16 ACCEPT from IP=192.168.133.4:1270 (IP=0.0.0.0:389)
2012-01-25 16:55:51.432713500 conn=879 op=0 BIND dn="uid=admin,ou=Users,dc=mon_domaine,dc=local" method=128
2012-01-25 16:55:51.432966500 conn=879 op=0 RESULT tag=97 err=49 text=
2012-01-25 16:55:52.673679500 conn=879 op=1 UNBIND
2012-01-25 16:55:52.673682500 conn=879 fd=16 closed


Dans le journal (/var/log/messages): RAS

Quelqu'un à une idée ????????