Authentification sur un serveur Netware

Section sur vos questions et problèmes sous Netware et OES (Open Enterprise Server) côté serveur uniquement.

Authentification sur un serveur Netware

Messagepar admin-forum » 18 Mars 2008, 10:17

Bonjour tout le monde,

Je travail sur un domaine netware 7.0 avec des clients Windows mais dans l'avenir nous souhaitons nous orienter vers l'opensource et je fais des tests avec la SLED 10. J'ai réussi à installer le client novell et à m'identifier le problème est que je dois me connecter en local d'abord et ensuite me connecter sur le serveur et c'est trop tard. J'ai donc voulu me connecter avec la méthode d'authentification LDAP le problème c'est qu'il me demande un mdp et je ne vois pas trop lequel je dois mettre.

ps je ne suis pas vraiment un expert en linux.

Merci d'avance
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:17

Salut,

Je ne suis pas non plus un expert sur ce genre de question mais il me semble que LDAP permet l'autentification d'un poste client sur un reseau par l'intermediaire d'un serveur LDAP. Donc le mot de passe qu'il te demande (le serveur si j'ai bien compris) ainsi que le login doivent être entrer dans ton annuaire LDAP qui se trouve sur ton serveur.
J'ai trouvé ça comme tutoriel: http://www.commentcamarche.net/ldap/ldapcons.php3
Sinon il doit surement y avoir quelque chose dans la doc de suse : http://download.opensuse.org/distributi ... /oss/docu/

Bibi
Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:18

Le problème c'est que les comptes utilisateurs sont déjà dans l'edirectory j'aimerais y accèder et je ne sais pas si on peu le faire avec LDAP.

Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:19

Bonjour,

Le serveur LDAP dont tu parles est le "front-end" de l'annuaire eDirectory de tes serveurs NetWare ?
Si c'est le cas, vérifie si ton serveur LDAP (NetWare) est configuré en anonymous ou pas, c'est peut être le mot de passe pour accéder à l'interface LDAP que l'on te demande.
C'est une idée et non une certitude.

Au cas où, voici la doc de LDAP avec eDirectory (version 8.7.3, version 8.8).

Salutations.

PS: Je ne connais pas de version NetWare 7, est ce OES ? (moi je me suis arrêté à 6.5 ... ???)

Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:20

Autant pour moi l'administrateur a fait des plans du réseau en marquant partout Netware 7 après vérification on est sur la 6
.
Ce qu'il y a c'est que je suis également nouveau dans le monde Novell et l'administrateur est en vacances et je dois faire des tests pendant ce temps. Mon unique but est de pouvoir m'authentifier sur l'e-directory en place avant de rentrer dans Linux.

Je n'ai même pas beaucoup de droit depuis consoleone donc je ne sais pas ou se situe le serveur LDAP....

Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:22

Hello,

Bon j'espère que les mille mercis n'étaient prématurés ...
Bien, en premier lieu et si jamais tu avais d'autres questions concernant les produits Novell spéciquement, il y a le forum de NovellMania qui peut aussi être une source d'information intéressante.
J'espère que ton admin est une personne prévoyante et qu'il ta laissé quand même quelques accès, ou que votre environnement est déjà configuré et entièrement opérationnel. Car, je te le cache pas, il y a quand même un risque de devoir attendre le retour de ton dit admin. (IMG:http://www.alionet.org/style_emoticons/default/wacko.gif)

Il faut vérifier maintenant si le problème vient de la configuration des "pams" ou du front-end ldap.

La configuration du service LDAP avec NetWare est faite par deux objets stocké dans votre annuaire. Il se nomment normalement LDAP Server - <nom_du_serveur_netware> et LDAP Group - <nom_du_serveur_netware>, et sont enregistrés dans la même OU (Unité Organisationnelle) que celle utilisée pour ton serveur. Ces objets sont normalement créé et configuré lors du processus d'installation du serveur NetWare. Le programme offrant le service LDAP se nomme NLDAP.NLM et devrait être lancé automatiquement lors du démarrage de votre serveur.

La façon de vérifier que ce service est opérationnel, c'est d'accéder à la console de ton serveur (la console physique!) et de taper la commande modules nldap*. La réponse devrait être de ce genre:

Code : Tout sélectionner
NLDAP.NLM                                             
  Loaded from [SYS:SYSTEM\] on 18 Jun 2007  22.07.17   
  (Address Space = OS)                                 
  LDAP Agent for Novell eDirectory 8.7.3.7             
  Version 10554.24  8 August 2005                     
  Copyright 1997-2005 Novell, Inc. All rights reserved.


La console sous NetWare est légèrement différente de ce que l'on peut trouver sous Windaube ou Linux. L'environnement est quasiment au format texte et pour changer d'écran, il faut utiliser les combinaisons de touches <ALT>-<ESC> (rotation des différents écrans) ou <CTRL>-<ESC> (qui affiche un menu des différents écrans disponibles). Pour accéder rapidement à la console principale, utilise la deuxième combinanison de touches et quand le menu est affiché, appuye à nouveau sur la touche <ESC>. Normalement tu devrais voir un "prompt" avec le nom de ton serveur suivit de deux-points, il ne te reste plus qu'à taper les commandes ....

Les numéro de version peuvent différer, mais l'idée est de savoir si le module NLDAP est ou non chargé. Si tu n'obtiens pas de réponse cela signifie que ton module n'est pas chargé, pour le charger tape la commande load nldap.nlm. Tu devrais voir ceci s'afficher sur ta console:

Code : Tout sélectionner
Loading Module NLDAP.NLM                                        [     OK     ]
Loading Module LBURP.NLM                                        [     OK     ]
Loading Module LDAPXS.NLM                                       [     OK     ]
Loading Module NMASLDAP.NLM                                     [     OK     ]
Loading Module SASL.NLM                                         [     OK     ]


Si tu as suivit jusqu'ici c'est déjà un bon début
Pour la suite, on va vérifier qu'il est possible de s'authentifier sur ton annuaire via le front-end LDAP. Malheureusement je ne connais pas votre environnement, alors je propose de supposer que l'utilisateur SHIVEN se trouve dans votre annuaire et est enregistré dans la structure /ALIONET/USERS/.

Voici les différente syntaxes que tu peux rencontrer dans le monde NetWare/LDAP:
.shiven.users.alionet (syntaxe abrègée pour NetWare/eDirectory)
cn=shiven.ou=users.o=alionet (syntaxe complète pour NetWare/eDirectory)
cn=shiven,ou=users,o=alionet (syntaxe du front-end LDAP de NetWare)
Attention, la différence entre les deux dernières syntaxe réside au niveau des séparateurs, des virgules pour LDAP au lieu des points pour NetWare.

Maintenent depuis un terminal avec ta distribution GNU Linux préférée (j'espère que c'est une SuSE), il faut utiliser la commande ldapsearch. Si tu ne possède pas cette commande, il faudra que tu installes le package: openldap2-client.

Par défaut, tous les utilisateurs d'un annuaire eDirectory peuvent lire certaines informations concernant leurs comptes, on va utiliser cette possibilité pour tester ton serveur.
Voici la commande à utiliser (évidemment, il faudra adapter le nom de l'utilisateur et le nom du serveur avec ton environnement):

Code : Tout sélectionner
ldapsearch -x -LLL -H ldaps://netware.alionet.org -D cn=shiven,ou=users,o=alionet -W cn=shiven dn


Tu devrais obtenir ce genre de réponse, si tu n'as pas fait d'erreur de syntaxe et que le mot de passe est correcte:

Code : Tout sélectionner
dn: cn=SHIVEN,ou=USERS,o=ALIONET


Si cela fonctionne, le problème est ailleur. Je ne me suis pas encore penché sur le pam LDAP, mais comme nous devrons mettre ces fonctions en place dans quelques mois cela me donnera l'occasion de regardé ce pam de plus près. Tient moi au courant de tes résultats, merci d'avance.

Salutations.

PS: En écrivant les dernière ligne de cette brève explication, une idée saugrenue vient de me traverser l'esprit. Le mot de passe de ton utilisateur Linux et le mot de passe de ton utlisateur NetWare sont identiques, je n'ai pas rédiger tout ça pour une simple erreur de mot de passe. Rassure moi ?

RePS: Ce n'est pas si grave si au passage tu auras appris quelques truc

Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:23

Un immense merci à toi pour tout le mal que tu te donnes pour tes explications très complètes.

J'ai vérifié le module sur le serveur (pas sur la console physique mais depuis AdRem) et en retour j'ai eu exactement le même message que toi.

Par contre je ne sais pas mais dans mon client groupwise, dans le carnet d'adresse, il y a un annuaire LDAP mais celui-ci est vide... donc peut-être qu'il est bien configuré mais vide..ou qu'il n'y a pas de liaison avec l'e-directory...(totale supposition)

Pour ce qui est des tests depuis SLED 10 je les ferai cette après-midi et je te tiens au courant

Merci encore

Salut


ps. pour le site novellmania je m'y suis rendu mais ça fait des jours que j'attends qu'un admin valide mon compte. (j'ai fait le necessaire le 19/03/2008)
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:26

Hello,


Un immense merci à toi pour tout le mal que tu te donnes pour tes explications très complètes.


De rien.



J'ai vérifié le module sur le serveur (pas sur la console physique mais depuis AdRem) et en retour j'ai eu exactement le même message que toi.


AdRem sfConsole ou la console du serveur, c'est du pareil au même sauf que le combinaison de touches ne sont pas fonctionnelles. (IMG:http://www.alionet.org/style_emoticons/default/happy.gif)
En tout cas, ceci confirme que le "front-end" LDAP est opérationnel, reste plus qu'à vérifier s'il est correctement configuré.


Par contre je ne sais pas mais dans mon client groupwise, dans le carnet d'adresse, il y a un annuaire LDAP mais celui-ci est vide... donc peut-être qu'il est bien configuré mais vide..ou qu'il n'y a pas de liaison avec l'e-directory...(totale supposition)


Nous n'utilisons pas GroupWise et je ne connais pas bien ce produit. Mais si GroupWise utilise un serveur LDAP, alors il utilise le "front-end" de l'annuaire eDirectory. C'est pas tellement le genre de la maison Novell de réinventer la roue à chaque fois (mais je peux me tromper).
Une interface LDAP peut aussi faire office d'annuaire "whitepaper" pour les adresse e-mail, c'est peut être ton environnement d'utilisateur qui n'est pas connecter à votre annuaire LDAP (<- ceci reste une supposition, bien entendu).


ps. pour le site novellmania je m'y suis rendu mais ça fait des jours que j'attends qu'un admin valide mon compte.


Je suis surpris, à l'époque où je m'étais inscrit, j'avais reçu une e-mail pour confirmer mon inscription. Ce n'est plus cas ? (IMG:http://www.alionet.org/style_emoticons/default/ohmy.gif)

Salutations.
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:27

Hello,

Pour le site novellmania ---> "Votre compte est actuellement inactif; l'administrateur du forum doit tout d'abord l'activer avant que vous puissiez vous connecter avec. Vous recevrez un autre e-mail lorsque ce sera fait."

J'attends toujours...

J'ai bien fait les tests sur SLED après avoir entré la ligne de commande il me demande le mot de passe LDAP qui ne correspond pas à celui de l'e-directory

Je résume les étapes que j'ai effectuées :

Sled 10 --> Domaine Netware avec e-directory.

- Installation du client novell --> OK
- Configuration LDAP ---> KO mais en plus au démarrage de linux si je tente de me connecté avec un autre user que root il me demande un mdp LDAP j'ai tenté de modifié l'user local en mettant le même/différent que sur l'e-directory et avec le même j'entre 2 fois mon mdp et j'arrive a rentré sur linux....mais ca ne fait pas grand effet....
- depuis client novell-->KO plante " The novfs kernel loadable module is not installed correctly...."

The End

Pour le client groupwise nous l'utilisons avec un serveur groupwise mais dans les carnets d'adresse il y en a un "carnet d'adresse LDAP" qui est vide

Salut

Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:27

Hello,


Citation
Pour le site novellmania ---> "Votre compte est actuellement inactif; l'administrateur du forum doit tout d'abord l'activer avant que vous puissiez vous connecter avec. Vous recevrez un autre e-mail lorsque ce sera fait."
J'attends toujours...

(IMG:http://www.alionet.org/style_emoticons/default/huh.gif) Autant pour moi, il faudra que tu sois un peu patient vu que c'est les vacances. Mais tu peux toujours consulter les sujets traité en attendant. Il est probable que la configuration du service LDAP pour NetWare y est débatu (je n'ai pas cherché).

Bon on va essayé de vérifier un problème après l'autre. Avant de se lancer dans la configuration du pam ldap, il faut que ton service LDAP soit fonctionnel.

Confirme moi, que la commande ldapsearch à bien fonctionné ?
Tu as bien remplacer le nom du serveur par le tien (adresse ip ou non dns du serveur sur lequel tu as vérifier que le module nldap.nlm était chargé) et le nom d'utilisateur ?

Normalement cette commande doit te demander un mot de passe, il correspond au mot de passe de ton utilisateur eDirectory et devrait t'afficher une réponse de ce genre:

Code
dn: cn=SHIVEN,ou=USERS,o=ALIONET


Le nom de ton utilisateur GNU Linux et le nom court de ton utilisateur eDirectory (SHIVEN dans mon exemple (IMG:http://www.alionet.org/style_emoticons/default/wink.gif) ) sont identique, ainsi que leurs mot de passe ?

Si c'est bon, on s'attaquera ensuite au pam et pour finir le client.
Remarque, un nouveau client pour linux est prévu, mais je ne sais pas quand (cela fait plus d'un an qu'il a été annoncé, alors ... (IMG:http://www.alionet.org/style_emoticons/default/dry.gif) )
De plus le client Novell pour Linux ne fonctionne pas encore correctement en "mode pam" (sur les forum de novell j'ai lu souvent ce genre de sujet). Mais avec un peu d'huile de coude, un peu de CIFS on devrait arriver à quelque chose.

Salutations.

PS: Au cas où tu es compètement planté et que tu n'arrives plus à ouvrir ta session utilisateur, commence par désinstaller le client Novell et le pam LDAP. On pourra toujours les réinstallés plus tard.
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:28

Hello,

Bien, donc la commande LDAP a échoué et la réponse était du genre:

Citation
ldap_bind: Can't contact LDAP server (-1)

Cela signifie que soit le service est mal configuré soit tu n'arrives pas à contacter le serveur via le protocole TCPIP (bon je pars quand même du principe que la configuration de ta connection réseau est opérationnelle (IMG:http://www.alionet.org/style_emoticons/default/wink.gif) ).
Il faudrait, avant que je me tape la rédaction de la configuration du service LDAP pour NetWare, que tu essayes la commande avec l'adresse IP du serveur au lieu de son nom. Car il est possible que la résolution de nom (DNS) ne fonctionne pas correctement.

Pour connaître l'adresse IP de ton serveur NetWare, connecte toi sur la console (par exemple avec SFconsole) et tape la commande config, tu devrais avoir une réponse de ce genre:

Code
File server name: XXXXXXXX
IPX internal network number: XXXXXXXX
Server Up Time: ..................

HP NC10xx/NC32xx/NC67xx/NC77xx Gigabit Server Adapter
Version 8.57 18 August 2005
Hardware setting: Slot 10017, Memory FDDF0000h to FDDFFFFFh, Interrupt 5h
Node address: 000F20F7A8DF
Frame type: ETHERNET_II
PACKET EVENIZE_OFF
Board name: Q57_1_EII_EII
LAN protocol: ARP
LAN protocol: IP Addr: xxx.xxx.xxx.xxx Mask:xxx.xxx.xxx.xxx


Tree Name: .XXXXXXXXXX.

Il ne te reste plus qu'à noter l'adresse IP de ton serveur et à l'utiliser dans la commande LDAPSEARCH.

Autre chose, il est aussi possible que le protocole sécurisé de LDAP (ldpas pour LDAP SSL) ne soit pas activé, tu peux aussi essayé d'utiliser le protocole LDPA uniquement. Remplace dans la commande LDAPSEARCH l'option -H ldaps:// par ldap:// et donne moi juste le résultat de ces commandes, cette fois-ci sans préciser les informations personnelles de votre site. (IMG:http://www.alionet.org/style_emoticons/default/wink.gif) (IMG:http://www.alionet.org/style_emoticons/default/bleble.gif)

Si cela ne fonctionne pas, et qu'il faille revoir la configuration du service LDAP pour NetWare, assure toi d'avoir les droits d'administrations pour le serveur ainsi que l'OU où est enregistré le serveur dans votre annuaire eDirectory. Fait moi aussi part des logiciels d'administrations que vous utilisez, ConsoleOne ou iManager (car c'est un petit peu différent entre l'un et 'autre).

Concernant le Client Novell pour Linux, j'ai écrit une petite marche à suivre pour activer l'option autologin avec la version 2.0 Beta du client en question. Car en sont temps j'avais essayé avec la version 1.2 et le seul souvenir que j'en garde c'est que c'était pas du tout au point!

Pour se connecter depuis une machine GNU Linux sur des serveurs NetWare, il existe, à ma connaissance, trois solutions. Le Client Novell pour Linux, NCPFS et CIFS/Samba avec un petit peu d'huile de coudes et des scripts bien ficelés.
Le Client Novell pour Linux a plusieurs défauts (outre la lenteur à laquel il est développé (IMG:http://www.alionet.org/style_emoticons/default/dry.gif) ), il ne fonctionne pas de la même manière que ça version sous Windows et est relativement lent pour le transfert de gros fichiers. Par contre, je l'utilise quand même couramment pour administrer nos serveurs. (IMG:http://www.alionet.org/style_emoticons/default/happy.gif)
NCPFS a une limitation au niveau des gros fichiers et ne peut pas gérer des fichiers de plus de 2Go. Autre désavantage, il n'intègre pas toutes les petites fonctions du Client Novell pour Linux (<- normal il n'est pas maintenu par Novell), tel que salvage, gestion des droits du système de fichiers, etc.
La dernière solution a aussi ces désavantages et ces avantages. C'est le choix que nous avons fait pour l'instant, mais comme le projet n'est pas encore démarré, je ne connais pas encore toutes les surprises qui nous attendent. (IMG:http://www.alionet.org/style_emoticons/default/scratch.gif)

@ bientôt pour la suite des événement ( (IMG:http://www.alionet.org/style_emoticons/default/wink.gif) ).

Salutations.
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:29

hello,

wow merci pour tous tes efforts !!! Aujourd'hui je n'ai pas trop eu le temps de faire des essais... j'ai donc installé opensuse sur une machine virtuel chez moi je vais mettre un vpn et faire des tests ce w-e et je te tiens au courant ! Le client Novell 1.2 tournait relativement bien chez moi malgré de petits plantages au démarrage... Je vais tenter la version 2...
Merci encore et si tu passes par Fribourg je te paye un pot ! (IMG:http://www.alionet.org/style_emoticons/default/wink.gif)


je m'y attendais un peu mais le client novell ne tourne pas sur OpenSuse et j'ai oublié la SLED au taf
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:29

Hello,

Au cas où tu n'as pas de SLED sous la main et que tu pars sur la version OpenSuse, voici un petit "how-to" (en anglais) pour installer le Client Novell pour Linux 1.2 sur OpenSuse 10.2.
Pour la version 2.0, je n'ai pas testé sur la version open, mais Novell avait promis de faire le nécessaire. Faudra voir ce que donne la version finale (wait and see).

Au passage tu peux toujours télécharger SLED chez Novell, seul les mise à jour ne seront pas opérationnelles si tu ne t'enregistre pas.

Et pour ton problème de configuration du service LDAP s'en est où ?

Salutations.
PS: Pour la bierre ça marche, mais va faloir en premier lieu que ma brelle (<- ici, je parle de ma moto
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France

Messagepar admin-forum » 18 Mars 2008, 10:30

Revoila des infos.

Notre boss est revenu et effectivement c'est ce que je pensais notre annuaire LDAP est vide et nous ne l'utilisons pas. Pour le reste
j'ai testé la version 2 du client novell et oui on peu faire en sorte que le client ouvre automatiquement la session précédente mais ce n'est pas ce que je voulais.
J'aurais aimé avoir la boite de login novell au démarrage qui remplace celle de SLED (comme sur windows)

Par contre dans ma machine virtuelle impossible de faire les mises à jours contrairement à l'OS de base.. donc le client v2 beta fait tout foiré il arrive meme a faire planté nautilus

Source / Alionet
---- J'ai crée ce forum pour moi pour vous pour tous----
Avatar de l’utilisateur
admin-forum
Administrateur
Administrateur
 
Message(s) : 325
Inscription : 27 Oct 2004, 17:47
Localisation : Ile de France


Retour vers Serveur Netware / OES

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron