Discussion :

[moi95]

Bonjour,

Je suis débutant.
J'ai un projet de migration de domaine windows à mettre en place.
Ce projet consiste à migrer un domain Windows géré par un serveur Windows 2000 vers un Domaine géré par un serveur SAMBA couplé à un annuaire LDAP.

Jusqu'a présent ce que j'ai est :

- Mise en place de SAMBA en tant que contrôleur de domaine avec un partage de fichiers (dossier privé/dossier public)
- Mise en place de LDAP (dés que j'ajoute un utilisateur SAMBA celui ci apparai dans LDAP)
- J'ai mis en place quelques stratégie de Goupe via POLEDIT (Fichier NTCONFIG.pol dans netlogon)

Maintenant on me demande de migrer les comptes situé dans active directorie vers LDAP.

Comment faire ? Je ne trouve pas de doc sur cette migration !
Avez vous une procédure à suivre pour effectuer cette Migration ?

Ma plateforme de test est :

Un Serveur Linux Mandriva 2008 / SAMBA 3 / OpenLDAP
Un Client XP SP

Le serveur Windows est dans la salle des serveurs je peux pas le bidouiller faut que je passe par l'administrateur réseaux. J'aimerai bien lui présenter dans un premier temp une procédure de migration.

Pouvez vous m'aider SVP ?

[sircus]

Hey,

Voici quelques liens intéressants :

http://developer.novell.com/wiki/ind...Authentication

https://help.ubuntu.com/community/ActiveDirectoryHowto

N'hésite pas à revenir ;-)


Sircus

[lu6fer]

si tu veux un tres bon article sur la configuration de samba en PDC :
http://www.gcolpart.com/howto/samba.php4

Je m'en suis servit pour mettre en place a contrôleur de domaine samba dans une entreprise

[moi95]

merci les ga je vai tout ça

[moi95]

Dans ces tutoriel on explique comment faire pour cohabiter Active Directory avec OpenLDAP or moi je veux remplacer Active Directory par OpenLDAP , biensur en ayant fait la migration des comptes etc... De plus mon serveur Windows c'est un 2000 alors que dans les tutoriel c'est souvent 2003

Merci

PS : ça m'a l'air compliquer toute cette histoire pour un stagiaire !

[lu6fer]

Regarde mon lien.
c'est la configuration d'un serveur samba en Primary Domain Controler.donc exactement ce que tu veux faire.

Pour ce que est de 2000 server ou 2003 server, samba n'est pas encore assze evoluer pour géner les droit (GPO) tel que le fait 2003.
donc tu te retrouve avec un PDC proche d'un 2000 server

[moi95]

Ok mais j'ai déja configuré SAMBA en tant que PDC couplé avec LDAP
Je voudrais savoir maintenant comment exporter les comptes du serveur 2000 ?

Merci

[moi95]

Après avoir surfer sur le net je pense que je dois:

- Exporter la base ldif d'active directory et l'importer dans openLDAP

Il parait que cette manipulation ne migre pas les mots de passe mais bon au moin j'aurai migré les OU non ?

donc je vous décrit mon plan avant, pour ne pas tout casser :

Sur le cmd de Windows 2000 :

Je tape la commande:
ldifde -f base.ldif / cela devrait me créer un fichier base.ldif

Sur Linux :

Je met le fichier base.ldif (que je vien de créé) dans /etc/openldap/
puis je me rend dans /var/lib/ldap :

j'arrete le service ldap

je supprime les fichiers :
- alock
- *.00*
- *.bdb

je tape la commande suivante pour insérer la nouvelle base :

ldapadd -W -D 'cn=admin, dc=XXX,dc=YYY' -xh localhost -f /etc/openldap/base.ldif

Je regarde dans gq si l'arbre a été chargé.

Qu'est-ce que vous en pensez ?

Merci .

[lu6fer]

Je pense que ca devrait marcher a condition que tu n'ai pas de différences de schema.

Mais la je ne connais pas suffisamment AD pour te dire ca

[moi95]

Je change de plan:
- je vais voir déja comment répliquer la structure de l'arbre active directory dans LDAP
- puis ensuite importé les comptes.

c'est bien ça la procédure?
si vous avez des lien ça serait super sympa !

[Pilru]

Bon courage, parce que le schema AD n'est absolument pas standard (malgrès le fait qu'AD respecte la norme LDAP). Dans sa version 2000, la classe inetorgperson n'existe pas par défaut.

Microsoft Windows 2000 inetOrgPerson Kit

La réplication, à mon avis, n'est pas envisageable.

[moi95]

Je crois que je vais faire une intégration du serveur SAMBA avec AD.

Je vai configurer pour cela LDAP + KERBEROS + PAM

aprés je verrai si c'est possible de supprimer AD pour utiliser uniquement SAMBA.

J'ai une question:

En fait pour la réplication on me dit qu'il manque un champ dans le Shema AD,
alors si je fais une intégration le shema de LDAP doit aussi être identique à celui de AD, afin d'importer les compte et mot de passe ?

J'ai configurer kerberos ,j'ai tester la config de kerberos avec la commande:
kinit login@monserveur@AD.fr
ça marche !

J'ai voulu joindre mon serveur a AD en tapant :
net ads join -U login@AD.fr
ça marche pas

j'ai taper la commande suivante pour voir l'arboresance de AD :
net ads search '(objectCategory=user)'
ça marchait hier et aujourd'hui ça ne marche pas, voici le message :

[2008/05/09 14:46:02, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers

Pouvez-vous m'aidez a afficher l'arboressance de AD ?

Une fois que j'aurais réussi a afficher, j'essayerai de rediriger ces informations vers un ".ldif" et d'intégrer à OpenLDAP

Aidez moi SVP,
Personne me répond sur ce sujet !! Suis débutant !

[moi95]

ça marche j'arrive a afficher l'arboressance de AD avec la commande:

net ads search '(objectCategory=*)'

Je n'arrive pas à joindre le serveur samba en tant que serveur membre de AD avec la commande:

net ads join -U login@AD.fr

Mais c'est pas grave, ce n'est pas mon objectif.

Ce que je veux maintenant c'est d'intégrer les informations importantes dans Openldap en vu d'éteindre le serveur windows.
Je pense qu'il me faut :
- Les User
- Les group
- Les mots de passe

j'arrive a faire la requête pour voir les group et les user :

net ads search '(objectCategory=user)'
net ads search '(objectCategory=group)'

mais où sont les mots de passe dans AD ?

Je souhaterai rediriger ces informations vers des fichiers ".ldif" et d'intégrer à Openldap.
Merci pour vos réponses

[moi95]

Apparemment les mots de passes sont dans l'Attribut "userPassword" de l'Objectclass "inetorgperson".

Bref moi j'ai fait :

net ads search '(objectCategory=user)' > user.ldif

donc ça a craché l'arborescance des users dans user.ldif et je veux les intégrer à Openldap

donc j'ai fait :

slapadd -v -l /etc/samba/user.ldif

Voici les message d'erreurs :

bdb_db_open: database already in use
backend_startup_one: bi_db_open failed! (-1)
slap_startup failed

aprés j'ai essayé :

ldapadd -x -D "cn=admin, dc=VAVA, dc=fr" -W -f user.ldif

Il me fait :
Enter password : XXX // je tape le password que j'ai defini dans ldap.conf

Voici le message d'erreur :

ldap_bind: Invalid credentials (49)


Voila d'après mes recherche sur le Internet , j'ai lu que le shéma AD de windows 2000 n'avait pas l'Objectclass inetorgperson, j'ai regarder dans le fichier user.ldif il n'y a pas d'attribut " userPassword" donc je me dit que peut être c'est le shéma qui ne correspond pas aux norme de Openldap.
Si c'est le cas comment ajouté ce champ qui manque, si ce n'est pas le cas qu'est-ce que je dois faire ?

Merci beaucoup ! suis débutant

[Pilru]

Voila d'après mes recherche sur le Internet , j'ai lu que le shéma AD de windows 2000 n'avait pas l'Objectclass inetorgperson, j'ai regarder dans le fichier user.ldif il n'y a pas d'attribut " userPassword" donc je me dit que peut être c'est le shéma qui ne correspond pas aux norme de Openldap.
Si c'est le cas comment ajouté ce champ qui manque, si ce n'est pas le cas qu'est-ce que je dois faire ?

C'est dingue, j'ai comme l'impression d'avoir déjà répondu...

[moi95]

ouais t'avais raison mais bon je trouve pas de solution !

[moi95]

Voici les champ de user.ldif:

memberOf: CN=,OU=,DC=VAVA,DC=fr
accountExpires:
badPasswordTime:
badPwdCount:
codePage:
cn: prénom NOM
countryCode:
displayName: prénom NOM
givenName: Prénom
homeDirectory: \\srv\base\Prénom
homeDrive: G:
instanceType: 4
lastLogoff: 0
lastLogon:
logonCount:
distinguishedName: CN=prénom,OU=,OU=bureautique,DC=VAVA,DC=fr
objectCategory: CN=Person,CN=Schema,CN=,DC=VAVA,DC=fr
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectGUID:
objectSid:
primaryGroupID:
profilePath: \\srv\profils$\NOM
pwdLastSet:
name: prénom NOM
sAMAccountName: NOM
sAMAccountType:
scriptPath: commun.bat
sn: NOM
userAccountControl:
userPrincipalName: nom@vava.fr
uSNChanged:
uSNCreated:
whenChanged:
whenCreated:

[moi95]

Je pense que la sollution est là : http://acctsync.sourceforge.net/
mais il n'y a pas de documentation
Je sais pas comment my prendre pour faire la réplication.
Si vous vous avez un tutoriel ou quoi que ce soit je suis prenneur !!!

Merci

[moi95]

SFU permet-il de visualiser les mots de passes depuis linux biensur ?