Rapport de projet tuteuré

Transcription

1 Cédric AUGRY & David CHILLOUX DUT Réseaux & Télécoms 2 e année IUT de Châtellerault Rapport de projet tuteuré Sujet : Mise en place d un contrôleur de domaine Samba et d un annuaire LDAP Tuteur : Patrick Coirault Promotion

2 SOMMAIRE I. INTRODUCTION ) Présentation du projet ) Notre approche ) Remerciements... 2 II. FONCTIONNEMENT DE SAMBA ET DE LDAP ) Le contrôleur de domaine ) Présentation de Samba ) Présentation de LDAP ) Interopérabilité ) Les modules PAM... 5 III. MISE EN PLACE D UN RESEAU DE TEST ) Présentation du test ) Installation de Debian ) Configuration de base ) Installation des paquets OpenLDAP & Samba ) Configuration et test de OpenLDAP ) Installation de NSS, PAM et NSCD ) Configuration des modules PAM ) Configuration de Samba ) Configuration de SmbLDAP-Tools ) Peuplement de la base ) Création d un utilisateur et tests ) Paramètres de journalisation IV. INSTALLATION D UNE INTERFACE GRAPHIQUE ) Introduction ) Samba Console d IDEALX : ) GOnicus System Administrator (GOsa) ) LDAP Account Manager (LAM) V. CONCLUSION ) Conclusions du test ) Conclusion générale ) Sources VI. ANNEXES Sommaire des annexes Page 1 / 26 -

3 I. INTRODUCTION 1) Présentation du projet Dans le cadre du projet tuteuré de deuxième année de DUT Réseaux & Télécoms de l IUT de Châtellerault, nous avons eu a réaliser un contrôleur de domaine utilisant la distribution Debian, basé sur un serveur Samba et un annuaire LDAP, capable de gérer des clients Windows. La finalité de ce projet était de tester la mise en place d un tel domaine avant la réinstallation du contrôleur de domaine Samba / LDAP de l IUT. Nous avons eu à rédiger ce rapport afin de rendre compte de nos tests et d expliquer comment mettre en place un tel système. 2) Notre approche La première partie de notre travail a consisté en la recherche de documentations, que ce soit sur les protocoles et les services Samba ou LDAP, ou bien sur la mise en relation des deux systèmes et l installation d un contrôleur de domaine Samba en général. Afin de mettre en place notre serveur, et d ajuster sa configuration, nous avons procédé à de nombreuses réinstallations, que ce soit sur les machines de l IUT ou sur nos machines personnelles. Une fois la configuration stable et performante, nous avons réalisé une installation complète du système tout en détaillant chacune des étapes. La dernière partie de notre projet fut consacrée à la rédaction de ce rapport et en partie du chapitre détaillant l installation du contrôleur de domaine. 3) Remerciements Nous tenons tout particulièrement à remercier M. Patrick Coirault pour son écoute, sa disponibilité et ses conseils. Merci à Mathieu Turpin et Jean Philippe Renaudet pour leurs conseils et leur bonne humeur : «de serveur LDAP!!!!». Nous voulons également remercier l équipe d IDEALX pour avoir publié en libre accès leurs documentations, leurs scripts SmbLDAPTools ainsi que leur console IMC. Merci également pour leur optimiste message d erreur «l installation semble impossible.», lors de l installation de l IMC ça met de bonne humeur! - Page 2 / 26 -

4 II. FONCTIONNEMENT DE SAMBA ET DE LDAP 1) Le contrôleur de domaine Un domaine est un ensemble de ressources réseaux (serveurs de fichiers, imprimantes) et d utilisateurs régis par une politique de sécurité commune. Du point de vue de l utilisateur, cela lui permet d accéder à tous les partages du domaine en entrant son login et son mot de passe seulement lors de l ouverture de session. L utilisation d un domaine est un moyen pour l administrateur d un réseau de centraliser la gestion de l ensemble des utilisateurs et de leurs droits qui sont déployés sur tout un site, et ainsi rendre plus efficace, plus sûre et plus simple l administration des utilisateurs et de leurs données personnelles. Un contrôleur de domaine gère les processus qui permettent l authentification, ainsi que l ouverture des sessions des utilisateurs, et définit les limites d utilisation grâce aux droits accordés à chaque utilisateur. Il stocke les données dans un annuaire (dans notre cas LDAP) et permet la communication entre les utilisateurs et cet annuaire. Il gère aussi les profils itinérants qui permettent à l utilisateur de retrouver sa configuration, quelque soit la machine sur laquelle il ouvre sa session. 2) Présentation de Samba Samba est un ensemble d applications Unix qui utilisent le protocole SMB (Server Message Block). Il permet aux systèmes Unix de communiquer avec Windows par l intermédiaire de SMB, et se présente ainsi comme un serveur classique pour les clients Windows. L avantage principal de cette technologie, est qu elle soit sous licence GPL, donc gratuite. Le serveur Samba peut également jouer le rôle de contrôleur de domaine, et permettre le partage de fichiers et d imprimantes, ainsi que l authentification des utilisateurs qui se connectent sur le domaine. Samba utilisé seul présente des inconvénients lorsque le site comprend de nombreux utilisateurs. Si le fichier smbpasswd, utilisé par Samba pour stocker ses utilisateurs, nécessite d être dupliqué sur d autres serveurs, des problèmes de synchronisation vont se produire. De plus, le fichier smbpasswd ne peut pas prendre en compte de nombreux attributs, tels que les données personnelles de l utilisateur (adresse, téléphone, mail, etc.). Pour résoudre ces problèmes on peut déplacer les informations d un fichier plat vers des objets sambaaccount dans un annuaire LDAP. - Page 3 / 26 -

5 3) Présentation de LDAP LDAP est un système d annuaire électronique, une base de donnée spécialisée, dont la fonction première est de retourner un ou plusieurs attributs d'un objet grâce à des fonctions de recherche multicritères. On peut ainsi centraliser des informations et les rendre disponibles via le réseau à des applications, des systèmes d'exploitation ou des utilisateurs. Le protocole LDAP définit comment s'établit la communication client-serveur. Il fournit à l'utilisateur des commandes de base pour se connecter ou se déconnecter, pour rechercher, comparer, créer, modifier ou effacer des entrées. L élément de base dans un annuaire est une entrée désignant le nom de la base (dans notre cas dc=domaine,dc=suffixe). Ce sera l élément racine à partir duquel découleront tous les autres éléments utilisés. La base est composée d objets contenant plusieurs couples d attributs définissant le type d attribut et la valeur de celui-ci. Objet Utilisateur Toto Type d'attribut Valeur uidnumber 1002 uid toto cn toto objectclass top objectclass person objectclass inetorgperson objectclass posixaccount mail toto@toto.fr telephone Attributs obligatoires Définition des classes utilisées Attributs facultatifs On utilise le dn DistinguishName, qui nous permet à partir du chemin d accès de l annuaire, de repérer n importe quel élément dans celui-ci. Par exemple, le dn d un utilisateur (User) Toto du domaine Domaine.org sera : dn=uid=toto,cn=users,dc=domaine,dc=org dc=toto,dc=org Users Groups Toto Tutu Admin Domain users Domain admins Les classes sont organisées de manière hiérarchique. Au sommet de celles-ci on retrouve l objet top. Chaque objet hérite des attributs de l'objet dont il est le fils. Par exemple, l objet utilisateur Toto va hériter des propriétés de la classe utilisateur. On précise la classe d'objet d'une entrée à l'aide de l'attribut objectclass. Il faut obligatoirement indiquer la parenté de la classe d'objet en partant de l'objet top et en passant par chaque parent de l'objet. - Page 4 / 26 -

6 Les classes modélisent les objets en les caractérisant par une liste d attributs obligatoires ou optionnels. Elles sont définies par : Un nom qui identifie la classe Des attributs obligatoires Des attributs optionnels Un type (structurel, auxiliaire ou abstrait) Le type de ces classes dépend des attributs qu elles utilisent : Une classe structurelle correspond à la description d'objets basiques de l'annuaire : les utilisateurs, les groupes, les unités organisationnelles, etc. Une entrée appartient toujours au moins à une classe d'objet structurelle. Une classe auxiliaire désigne des objets qui permettent de rajouter des informations complémentaires à des objets structurels. Par exemple l'objet mail rajoute les attributs concernant la messagerie électronique d'une personne. Une classe abstraite désigne des objets basiques de LDAP comme les objets top ou alias. Nous avons utilisé des organizationalunit pour la définition des différents types (Users, Groups, Computers, etc.), puis des uid ou des cn (commonname) pour repérer les utilisateurs et les groupes, avec pour chacun un attribut uidnumber ou gidnumber permettant le lien avec le système Unix. Chacun des objets peuvent contenir des informations supplémentaires. Nous utilisons aussi un sambadomainname, qui nous permet d identifier le nom du domaine Samba avec pour attributs le sambasid, ainsi que des objectclass relatifs à Samba sambadomain et sambaunixldpool. 3) Interopérabilité Un ensemble de scripts Perl, appelés SmbLDAP-Tools, offre un moyen de gérer utilisateurs et groupes d un contrôleur de domaine Samba grâce à un annuaire LDAP. Cet ensemble, développé par la SSII française IDEALX ( permet d ajouter, d effacer, et de modifier des comptes d'utilisateurs et des groupes Unix / Samba dans un annuaire LDAP. Ces scripts permettent une interopérabilité simplifiée du serveur Samba et de l annuaire LDAP. 4) Les modules PAM Afin d assurer une synchronisation entre le service Samba et le service LDAP, on utilise le système PAM. PAM est un mécanisme permettant d'intégrer différents systèmes d authentification de bas niveau dans une API de haut niveau, permettant ainsi de rendre indépendants de la configuration les logiciels réclamant une authentification. - Page 5 / 26 -

7 Pam comprend plusieurs modules ayant chacun un rôle dans l identification des utilisateurs : Le module common-auth assure l'authentification réelle, éventuellement en demandant et en vérifiant un mot de passe, et définit des «certificats d'identité» tels que l'appartenance à un groupe. Le module common-account vérifie si l'authentification est autorisée (si le compte n'est pas arrivé à expiration, si l'utilisateur est autorisé à se connecter à cette heure de la journée, etc.). Le module common-password est utilisé pour définir des mots de passe. Le module common-session est utilisé une fois qu'un utilisateur a été authentifié pour lui permettre d'utiliser son compte, éventuellement en montant le répertoire personnel de l'utilisateur ou en rendant sa boîte aux lettres disponible. PAM_LDAP (libpam et libnss) est une extension de PAM permettant d utiliser un serveur LDAP pour le stockage des comptes, des groupes, etc. sous Unix. Elle permet également la connexion en SSL ou en TLS vers le serveur LDAP afin d assurer une meilleure sécurité. - Page 6 / 26 -

8 III. MISE EN PLACE D UN RESEAU DE TEST 1) Présentation du test Afin de tester différentes configurations et de mettre en avant les problèmes qui peuvent être rencontrés lors de l installation, nous allons mettre en place un domaine de test. Ce domaine sera basé sur un contrôleur de domaine fonctionnant sous Debian (version 3.1) utilisant Samba (3.0.14a-3sarge1) et LDAP ( ). Le script SmbLDAP-Tools utilise la version Les clients seront exclusivement des postes Windows XP. Ce contrôleur de domaine devra pouvoir gérer des utilisateurs et des groupes, le partage des ressources du domaine, les profils itinérants, ainsi que la sécurisation des données sensibles. Afin de simplifier la configuration, nous avons décidé de ne pas gérer le partage des imprimantes sous Samba. Ce domaine de test, nommé Cédravid (Cédric / David), aura les caractéristiques suivantes : Nom de domaine : cedravid.net Nom NETBIOS du contrôleur de domaine : cedravid-pdc Utilisateur administrateur de LDAP : admin Utilisateur administrateur du domaine : root 2) Installation de Debian La mise en place du serveur commence par l installation et la configuration d une distribution Debian sur la machine. On peut télécharger une image du CD bootable sur Cette image d environ 180 Mo permet d installer un système d exploitation de base, puis de télécharger les paquets souhaités. Remarque : Pour des raisons de compatibilité avec notre machine, l installation est réalisée avec un kernel 2.6. Une fois le CD lancé, nous entrons donc : boot : linux26 Lors de l installation, le programme va demander les informations nécessaires à la configuration. Dans notre cas, il faut les renseigner comme suit : Nom de la machine : cedravid-pdc Domaine : cedravid.net Mode de partitionnement automatique : station multiutilisateur Installer Grub? : Oui Le système va redémarrer, puis inviter l utilisateur à choisir les paquets qu il souhaite installer. Nous ne choisiront qu un seul module : Environnement graphique de bureau. Une fois l installation des paquets réalisée, le système redémarre. - Page 7 / 26 -

9 Le programme de configuration demande encore quelques informations. Pour notre machine, nous avons utilisé : Driver vidéo utilisé par XFree : nv Utiliser le tampon vidéo FrameBuffer? : non MTA configuré en mode : distribution locale seulement 3) Configuration de base Afin d améliorer l ergonomie de travail, on peut configurer quelques options. On peut, par exemple, ajouter un alias pour obtenir la commande ll et supprimer le bip de la console : Dans le fichier /etc/profile, ajouter à la fin : alias ll= ls -alh --color=always more setterm -blength 0 Pour alléger le serveur des services inutiles, on va choisir les paquets démarrés lors du boot. Pour cela, on va installer Rcconf : # apt-get install rcconf # rcconf Désactiver les services gdm, exim4, ssh, ppp. Remarque : Maintenant, pour démarrer l interface graphique X, il faut entrer gdm. 4) Installation des paquets OpenLDAP & Samba La mise en place va commencer par l installation des paquets LDAP et Samba : Installation de OpenLDAP Server : # apt-get install slapd Nom de domaine : cedravid.net Nom de l organisation : cedravid Mot de passe : (mot de passe admin LDAP) Accepter LDAP V2? : non Remarque : Il est conseillé d utiliser le même mot de passe que celui du compte root pour celui de l administrateur LDAP, afin d éviter les confusions. BDB Recovery permet la création de points de sauvegarde de la base. Ce système permet de conserver l intégrité des données de la base. Installation de BDB Recovery : # apt-get install db4.2-util - Page 8 / 26 -

10 Installation de Samba : # apt-get install samba Groupe de travail : cedravid Chiffrer les mots de passe? : oui Utiliser WINS avec DHCP? : non Type de démarrage : daemon Créer une base passdb.tdc? : oui Afin d éviter les conflits, on arrête Samba pendant la configuration : # /etc/init.d/samba stop Installation de SmbLDAP-Tools : Téléchargement du fichier de SmbLDAP-Tools sur # tar -xzf smbldap-tools tgz # cd smbldap-tools # cp smbldap-* /usr/local/sbin # cp smbldap_tools.pm /usr/local/sbin # mkdir /etc/smbldap-tools # cp *.conf /etc/smbldap-tools # chmod 644 /etc/smbldap-tools/smbldap.conf # chmod 600 /etc/smbldap-tools/smbldap bind.conf Remarque : Pour des raisons de sécurité, seul l administrateur est autorisé à consulter le fichier bind, contenant les identifiants LDAP (chmod 600). Afin de pouvoir fonctionner correctement, SmbLDAP-Tools, nécessite des modules Perl. Installation des modules Perl : # perl -MCPAN -e 'install Net::LDAP' Manual configuration : no Auto install modules from CPAN? : yes (pour tous les modules) # perl -MCPAN -e 'install Crypt::SmbHash' # perl -MCPAN -e 'install Digest::SHA1' On peut vérifier que SmbLDAP-Tools et tous les modules requis on bien été installés en essayant une commande de smbldap : # smbldap-usershow Usage: /usr/local/sbin/smbldap-usershow [-?] username -? show this help message Si cette commande renvoie un message, il faut peut-être installer d autres modules. Les modules sont identifiés par leur répertoire, et leur nom. Par exemple, pour installer le module Unicode/MapUTF8, il faut exécuter : # perl -MCPAN -e 'install Unicode::MapUTF8' - Page 9 / 26 -

11 5) Configuration et test de OpenLDAP LDAP peut être configuré via le fichier /etc/ldap/slapd.conf. Ce fichier se divise en deux parties : La section globale, définissant les options du serveur, et la section database, relative aux paramètres de la base. Cette deuxième section peut être repérée par le mot clé database à son début. LDAP utilise des schémas afin de déterminer la manière dont les attributs seront définis pour chaque entrée. Afin de pouvoir stocker les paramètres relatifs aux comptes Samba, on va ajouter un fichier de schéma. Ce fichier peut être trouvé dans la documentation relative à Samba. Nous allons donc installer cette documentation, et en extraire le fichier : # apt-get install samba-doc # gunzip -c /usr/share/doc/samba-doc/examples/ldap/samba.schema.gz > /etc/ldap/schema/samba.schema Ajout du fichier de schéma au fichier /etc/ldap/slapd.conf (à la suite des autres) : include /etc/ldap/schema/samba.schema Afin de sécuriser le mot de passe de la base LDAP, celui-ci va être crypté via SSHA. Génération d un mot de passe crypté (entrer le mot de passe de l admin) : # slappasswd {SSHA}lDfw8xB0K2lGW9RN4m2K5b47wc+0hYdd Copier le mot de passe ainsi généré dans slapd.conf, dans la section database : rootdn cn=admin,dc=cedravid,dc=net rootpw {SSHA}(mot de passe haché) Afin d optimiser les performances des recherches, on va utiliser des paramètres index : index objectclass,uidnumber,gidnumber eq index cn,sn,uid,displayname pres,sub,eq index memberuid,mail,givenname eq,subinitial index sambasid,sambaprimarygroupsid,sambadomainname eq Pour sécuriser la base, on peut utiliser des ACL, permettant la création de règles d accès. access to attrs=userpassword,sambalmpassword,sambantpassword by self write by anonymous auth by * none access to * by * read La première règle permet d autoriser l authentification des utilisateurs (by anonymous auth), et le changement de mot de passe (by self write). La deuxième règle permet une consultation de la base en lecture seule. Remarque : Une fois ces opérations terminées, le fichier /etc/slapd.conf devrait être similaire à celui présent en annexe n I. On peut maintenant démarrer le serveur LDAP : # /etc/init.d/slapd start - Page 10 / 26 -

12 Afin de tester notre serveur LDAP seul, nous allons utiliser un client LDAP : LDAP Browser. Il est disponible sur et nécessite l installation préalable de Java. Le plus simple est donc de lancer LDAP Browser sur un poste Windows. Pour cela, il suffit d exécuter le fichier browser.jar. Cliquer sur New, afin de définir une nouvelle connexion, et entrer les paramètres suivants : Valider par Save, puis Connect. Si tout est bien configuré, le client devrait se connecter et afficher Connected dans la barre d état. Pour l instant, une seule entrée, nommée dc=cedravid,dc=net est présente. 6) Installation de NSS, PAM et NSCD Nous allons maintenant installer NSCD (permettant la mise en cache des services de noms), et libpam/libnss (permettant d utiliser une base LDAP pour l authentification des services par PAM). Installation des paquets : # apt-get install libnss-ldap libpam-ldap nscd Hôte LDAP : Base LDAP : dc=cedravid,dc=net Version de LDAP : 3 La base demande une identification? : non Fichier modifiable par l admin seulement? : oui Make local root the database administrator? : yes La base nécessite de se connecter? : non Super utilisateur (admin. du domaine) : cn=admin,dc=cedravid,dc=net Mot de passe : (mot de passe admin) Méthode de chiffrement : crypt Démarrage du service NSCD : # /etc/init.d/nscd start - Page 11 / 26 -

13 7) Configuration des modules PAM Chacun des modules présents dans /etc/pam.d/ permet de gérer un service. Des modules communs (nommés common-) permettent de définir des règles générales, qui sont utilisées dans les autres modules grâce à des includes. Dans chacun des fichiers, on va d abord interroger la base locale. Si l authentification est correcte, alors le service est autorisé. Sinon, on interroge la base LDAP. Si la base n authentifie pas l utilisateur, le processus échoue, et l accès est refusé. Il faut donc modifier les fichiers de façon à obtenir le contenu ci-dessous : /etc/pam.d/common-account : #Interroge la base locale, account sufficient pam_unix.so likeauth nullok #Si résultat succès ==> ok #Sinon, ignoré #Interroge la base LDAP, account sufficient pam_ldap.so #Si résultat succès ==> ok #Sinon, ignoré /etc/pam.d/common-auth : #Interroge la base locale auth sufficient pam_unix.so likeauth nullok #Interroge la base ldap auth sufficient pam_ldap.so use_first_pass /etc/pam.d/common-password : #Interroge la base locale password sufficient pam_unix.so likeauth nullok obscure min=4 max=8 md5 #Interroge la base ldap password sufficient pam_ldap.so use_authtok /etc/pam.d/common-session : #Interroge la base locale session sufficient pam_unix.so likeauth nullok #Interroge la base ldap session optional pam_ldap.so Afin que le module LDAP de PAM, appelé par les fichiers ci-dessus, puisse interroger la base LDAP, il faut le renseigner sur les différents paramètres de connexion. Cette configuration se divise en deux fichiers, qui doivent comporter les paramètres suivants (modifier les valeurs déjà présentes, ou enlever le # de commentaire) : - Page 12 / 26 -

14 /etc/pam ldap.conf : host base dc=cedravid,dc=net ldap_version 3 rootbinddn cn=admin,dc=cedravid,dc=net pam_password crypt /etc/libnss-ldap.conf : host base dc=cedravid,dc=net ldap_version 3 rootbinddn cn=admin,dc=cedravid,dc=net pam_password crypt nss_base_passwd ou=users,dc=cedravid,dc=net?one nss_base_shadow ou=users,dc=cedravid,dc=net?one nss_base_group ou=groups,dc=cedravid,dc=net?one ssl no Le fichier /etc/nsswitch.conf permet de déterminer quelles bases de données et services doivent être utilisés afin de déterminer les identifiants. Ce fichier doit être modifié comme suit (il s agit de rajouter la source ldap après les sources déjà présentes) : passwd: compat ldap group: compat ldap shadow: compat ldap 8) Configuration de Samba La configuration de Samba est une des plus importantes parties de l installation. Cette configuration peut être réalisée grâce au fichier /etc/smb.conf. Ce fichier se divise en deux sections : La section global, et les partages. Nous allons commencer par configurer Samba comme un contrôleur de domaine (modifier les paramètres déjà existants) : workgroup = CEDRAVID netbios name = cedravid-pdc server string = Serveur samba domain master = Yes local master = Yes domain logons = Yes os level = 65 security = user #invalid users = root #unix password sync = Yes #passwd program = #passwd chat = Dos charset = 850 Unix charset = ISO preserve case = yes short preserve case = yes Attention : Veillez à commenter la ligne invalid users = root sinon il sera impossible de s identifier en root! - Page 13 / 26 -

15 La partie global configurée, il faut maintenant définir les partages qui seront utilisés par les clients pour ouvrir une session (netlogon), stocker des données (homes) ou leurs profils (profiles) : [homes] comment = Répertoires homes valid users = %U read only = No create mask = 0664 directory mask = 0775 browseable = No [netlogon] path = /home/samba/netlogon browseable = no read only = yes [profiles] path = /home/samba/profiles read only = no create mask = 0600 directory mask = 0700 browseable = No guest ok = Yes force user = %U valid users = Admins" Remarques : On peut remarquer qu il est possible d utiliser des variables, telles que %U, désignant l utilisateur courant, pour configurer des paramètres. Cette fonctionnalité peut permettre de définir des règles de sécurité très précises. Pour plus d informations, consulter le man de smb.conf. Il est possible de vérifier si la configuration de Samba est correcte grâce à la commande testparm : # testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[netlogon]" Processing section "[profiles]" Loaded services file OK. Server role: ROLE_DOMAIN_PDC Afin que Samba puisse correctement monter ses partages, il faut créer les répertoires qui seront utilisés localement : # mkdir /home/samba # mkdir /home/samba/netlogon # mkdir /home/samba/groups # mkdir /home/samba/profiles # chmod 777 /home/samba/profiles Remarque : Il faut faire un chmod 777 sur le répertoire profiles afin qu il soit possible d enregistrer les paramètres de l utilisateur lors d une déconnexion. Cela ne constitue pas une faille de sécurité car les répertoires créés par les utilisateurs seront créés en - Page 14 / 26 -

16 mode 700 grâce au paramètre directory mask = 0700 du partage profiles dans le fichier smb.conf. Afin de configurer SmbLDAP-Tools, il est nécessaire de connaître le SID du domaine. Le SID est un numéro permettant d identifier le domaine ainsi que chaque objet d un domaine. Pour obtenir le SID, il faut d abord démarrer Samba, puis interroger le réseau : # /etc/init.d/samba start Starting Samba daemons: nmbd smbd. # net rpc getsid S cedravid-pdc Storing SID S for Domain CEDRAVID in secrets.tdb # /etc/init.d/samba stop Le SID est enregistré dans la base secrets.tdb. Copier le SID obtenu. Pour ce faire, on peut utiliser un root terminal sous XFree. Remarque : Il est impératif que Samba soit démarré correctement pour obtenir le SID. Nous allons ensuite indiquer à Samba qu il faut qu il interroge une base LDAP. Il faut également définir les paramètres de la base, et les scripts utilisés pour la gestion des utilisateurs, des groupes et des machines. Il faut donc ajouter les lignes suivantes au fichier smb.conf, à la fin de la partie global : ldap passwd sync = Yes passdb backend = ldapsam:ldap:// / ldap admin dn = cn=admin,dc=cedravid,dc=net ldap delete dn = Yes ldap suffix = dc=cedravid,dc=net ldap group suffix = ou=groups ldap user suffix = ou=users ldap machine suffix = ou=users add user script = /usr/local/sbin/smbldap-useradd -m "%u" #delete user script = /usr/local/sbin/smbldap-userdel "%u" add machine script = /usr/local/sbin/smbldap-useradd -w "%u" add group script = /usr/local/sbin/smbldap-groupadd -p "%g" #delete group script = /usr/local/sbin/smbldap-groupdel "%g" add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u" Remarque : Suite à un bug connu de Samba 3.0, lorsque Samba interroge LDAP pour rechercher un ordinateur (ou=computers), il envoie une requête LDAP pour ou=users. Afin de contourner ce problème, il faut stocker les comptes computers dans Users. C est pourquoi on spécifie ldap machine suffix = ou=users. Pour plus d informations sur ce problème, consulter la newsgroup présente sur MARC : Une fois le fichier smb.conf modifié, il devrait être similaire à celui présent en annexe n II. - Page 15 / 26 -

17 9) Configuration de SmbLDAP-Tools SmbLDAP-Tools comprend deux fichiers de configuration qui sont /etc/smbldap-tools/smbldap.conf, qui défini les données relatives à l annuaire LDAP et à Samba, et /etc/smbldap-tools/smbldap_bind.conf qui spécifie les paramètres du compte utilisé pour accéder LDAP. Il faut éditer le fichier /etc/smbldap-tools/smbldap.conf comme suit (insérer le SID obtenu précédemment en première ligne) : SID="S " sambadomain="cedravid" slaveldap="" slaveport="389" masterldap=" " masterport="389" ldaptls="0" suffix="dc=cedravid,dc=net" usersdn="ou=users,${suffix}" computersdn="ou=users,${suffix}" groupsdn="ou=groups,${suffix}" sambaunixpooldn="sambadomainname=cedravid,${suffix}" hash_encrypt="ssha" #defaultmaxpasswordage="55" usersmbhome="\\cedravid-pdc\%u" userprofile="\\cedravid-pdc\profiles\%u" userhomedrive="h:" userscript="" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" Attention : Il faut bien vérifier qu il ne reste aucune référence active à IDEALX ou à PDC-SRV, qui sont les paramètres par défaut du fichier. Remarques : On peut constater que, comme pour le fichier smb.conf, on spécifie ou=users pour stocker les comptes Computers. Il est possible de spécifier la lettre du lecteur monté (userhomedrive=) et le script exécuté (userscript=) lors de l ouverture de session dans ce fichier. Une fois le fichier modifié, il devrait être similaire à celui présent en annexe n III. Il faut maintenant spécifier les identifiants utilisés pour se connecter à LDAP dans le fichier smbldap_bind.conf : /etc/smbldap-tools/smbldap bind.conf : slavedn="" slavepw="" masterdn="cn=admin,dc=cedravid,dc=net" masterpw="mot de passe admin" Avant de continuer, démarrer le serveur Samba : - Page 16 / 26 -

18 # /etc/init.d/samba start Starting Samba daemons: nmbd smbd. - Page 17 / 26 -

19 10) Peuplement de la base Notre serveur configuré, il faut maintenant lui ajouter des utilisateurs et des groupes de base, tels que le groupe Administrateurs. Ces objets de base peuvent être ajoutés grâce à la commande smbldap-populate : # smbldap-populate ( ) Changing password for root New password : (mot de passe du root) Il faut maintenant enregistrer ce mot de passe dans secrets.tdb. Pour cela, on utilise la commande smbpasswd : # smbpasswd w (mot de passe du root) Setting stored password for "cn=root,dc=cedravid,dc=net" in secrets.tdb 11) Création d un utilisateur et tests Notre serveur contrôleur de domaine est maintenant prêt! Il ne reste plus qu à créer un utilisateur et de rattacher une machine au domaine afin de tester sa configuration. Les commandes permettant de créer un utilisateur nommé Testeur et de lui attribuer un mot de passe sont les suivantes : # smbldap-useradd -a -m -c "Testeur" testeur # smblap-passwd testeur Changing password for testeur New password : (mot de passe de l utilisateur) Remarque : Le paramètre -a spécifie qu il s agit d un utilisateur Windows et le paramètre -m qu il faut créer le répertoire correspondant à l utilisateur dans /home. Nous allons maintenant rattacher un poste Windows XP au domaine Cedravid.net. Pour cela, il faut ouvrir le panneau Propriétés système (Clic-droit sur le Poste de travail, Propriétés), aller dans l onglet Nom de l ordinateur, et cliquer sur le bouton Modifier. Une boite de dialogue apparaît (capture ci-contre). Sélectionner le bouton Domaine :, et entrer le nom du domaine sur lequel il faut rattacher le poste. Cliquer sur OK. Entrer le nom de l administrateur du domaine (dans notre cas root), et son mot de passe. - Page 18 / 26 -

20 Si l ordinateur à bien été rattaché au domaine, un message vous souhaite la bienvenue dans le domaine : Une fois le redémarrage de la machine effectué, l invite d ouverture de session apparaît, avec une nouvelle option : Se connecter à. Sélectionner le domaine pour cette option, entrer les identifiants de l utilisateur créé précédemment et valider. Lorsque l utilisateur ouvre sa session, un lecteur réseau H: est automatique monté, et le script présent dans netlogon exécuté. Remarque : Lors de l ouverture de session, Windows créé un nouvel utilisateur, se basant sur le modèle défini dans \Documents and Settings\Default User\. Pendant le temps de la session, le profil de l utilisateur est stocké sur le poste, mais lors de la fermeture de session, les fichiers sont rapatriés sur le serveur, pour être récupérés sur n importe quel poste lors de la prochaine ouverture de session. Notre contrôleur de domaine est maintenant fonctionnel. Cependant, afin de faciliter l administration des utilisateurs et des groupes, nous allons installer un interface graphique de gestion de LDAP / Samba. 12) Paramètres de journalisation Afin de procéder au dépannage des différents services, il peut être intéressant de pouvoir consulter les journaux détaillés de chacun des services : Pour Samba : dans le fichier /etc/smb.conf, il faut spécifier : log file = /var/log/samba/log.%m max log size = 1000 syslog only = no loglevel = 3 syslog = 0 Ces paramètres vont permettre d enregistrer les évènements dans /var/log/samba/. Pour LDAP : dans le fichier /etc/slapd.conf, il faut spécifier : loglevel 296 Le syslog va ainsi contenir les requêtes LDAP et leurs résultats. On peut le consulter avec le fichier /var/log/syslog. Remarque : Les niveaux de journalisation loglevel peuvent être définis à 0 afin d économiser les ressources systèmes. - Page 19 / 26 -

21 IV. INSTALLATION D UNE INTERFACE GRAPHIQUE 1) Introduction Notre serveur opérationnel, nous avons pensé qu il pourrait être intéressant, et surtout plus pratique d installer une interface graphique afin de gérer les utilisateurs du domaine. Nous avons rapidement trouvé de nombreuses interfaces graphiques gratuites, et accessibles via un client Web, du type WebMin. La principale limite dans le choix de l interface fût qu il fallait que celle-ci supporte un système Samba 3 + LDAP. Nous avons finalement retenu et testé 3 interfaces : Samba Console, GOsa, et LAM. 2) Samba Console d IDEALX : Cette interface, très intéressante de part sa convivialité et sa stabilité, reste cependant très difficile à installer. Samba Console repose sur le framework IDEALX Management Console (IMC), nécessitant de nombreux modules Perl (SSL, XML, etc.). Site officiel : La principale difficulté vient du fait qu IDEALX travaille surtout avec la distribution Fedora, et fourni ses programmes en RPM. Une installation tarball en.tar.gz, disponible pour les autres distributions, est sensée résoudre les problèmes de dépendance en installant les modules nécessaires. Malheureusement, après de nombreux essais (installation des modules requis séparément, conversion du RPM en package Debian), et un script d installation débugué, le daemon gérant le serveur Web et l IMC n a jamais voulu démarrer. - Page 20 / 26 -

22 Pour conclure, nous pouvons déconseiller cette interface pour deux raisons : Le manque de compatibilité pour des distributions autres que Fedora. Le manque de support et de communauté active. (Ce dernier point est compréhensible du point de vue d IDEALX. En effet, cette SSII fournissant, entre autres, des solutions de contrôleurs de domaine pour des entreprises, il n est pas dans leur intérêt de fournir un «paquet magique» réalisant l installation de Samba, LDAP et d une interface conviviale.) 3) GOnicus System Administrator (GOsa) La deuxième interface que nous avons voulu installer est GOsa². Cet ensemble de scripts, développé par la société Gonicus, est basé sur un serveur Apache. Site officiel : Son installation est relativement simple. Il faut créer un groupe et un utilisateur GOsaAdmin, de type GOsaObject. En effet, la principale caractéristique de GOsa, qui va se révéler être un inconvénient, est qu il utilise ses propres schémas afin de créer des objets LDAP. Le problème est qu il n utilise pas les mêmes noms d attributs que ceux que nous avons utilisés jusqu alors. Par exemple, un utilisateur possèdera un attribut ProfilePath au lieu de sambaprofilepath, ou LMPassword au lieu de sambalmpassword, etc. Il serait possible de redéfinir ces noms d attributs en modifiant les schémas utilisés par GOsa. Mais, faute de temps, nous avons décidé de ne pas envisager cette solution. De plus, l interface GOsa possède une communauté peu active et est faiblement documentée. Cependant, GOsa semble être très répandue. - Page 21 / 26 -

23 4) LDAP Account Manager (LAM) La troisième et dernière interface que nous avons testée est LDAP Account Manager, communément appelée LAM. Ce projet Open source possède l avantage d avoir été porté en package Debian, et de fournir une quantité importante de documentations. De plus, basé sur un serveur Apache, il est assez facile à installer. Le seul inconvénient que nous pouvons noter est le design des fenêtres, incomparable avec les solutions testées jusqu alors. C est cette interface que nous avons décidé d installer sur notre serveur. Site officiel : Le moyen le plus simple d installer LAM est d utiliser les packages Debian, permettant de répondre aux différentes dépendances et de ce fait d installer le serveur Apache, PHP et PHP- LDAP de façon automatisée : # apt-get install ldap-account-manager Type d installation d Apache : Apache SSL Il faut ensuite autoriser le serveur Apache (www-data) à modifier les fichiers de configuration et à accéder aux scripts : # cd /var/lib/ldap-account-manager # chown www-data * LAM utilise des profils afin de gérer les différentes bases LDAP. Il faut lui spécifier le nom du profil par défaut, et le mot de passe utilisé pour modifier les profils. Il faut donc éditer le fichier /var/lib/ldap-account-manager/config/config.cfg et spécifier : password : votremotdepasse defaultprofile : lam - Page 22 / 26 -

24 Il faut maintenant éditer le profil /var/lib/ldap-account-manager/config/lam.conf comme suit : admins: cn=admin,dc=cedravid,dc=net passwd: passwd usersuffix: ou=users,dc=cedravid,dc=net groupsuffix: ou=groups,dc=cedravid,dc=net hostsuffix: ou=users,dc=cedravid,dc=net treesuffix: dc=cedravid,dc=net domainsuffix: sambadomainname=cedravid,dc=cedravid,dc=net pwdhash: SSHA L interface doit maintenant être configurée. Il suffit de se connecter à l adresse pour contacter le serveur. Si la page n est pas trouvée, vérifier si le fichier de configuration d Apache httpd.conf contient bien un include vers le répertoire de LAM. L interface est relativement simple et permet de réaliser les tâches les plus courantes d administration d utilisateurs, de groupes, etc. Après quelques tests, cette interface nous parait efficace. Nous pouvons ouvrir des sessions avec les utilisateurs créés par LAM sans problèmes. De plus, LAM évolue rapidement et est donc un projet prometteur. Remarque : Une documentation détaillant l utilisation de LAM pour administrer un domaine est présente en annexe n IV. - Page 23 / 26 -

25 V. CONCLUSION 1) Conclusions du test La mise en place d un contrôleur de domaine Samba / LDAP de test nous à permis de mettre en avant certains problèmes et de tirer des conclusions sur le fonctionnement de ce type de serveur. L installation d un contrôleur de domaine Linux nécessite une bonne connaissance des protocoles et des services comme Samba, LDAP ou PAM, contrairement à un contrôleur Active Directory, où la procédure d installation est automatisée. De ce fait, la localisation d une erreur devient plus évidente. Une fois le domaine mis en place, il est souvent nécessaire de procéder à sa sécurisation, car contrôleur fonctionnel ne signifie pas contrôleur stable et sécurisé. L utilisation de Samba / LDAP permet la mise en place d un contrôleur stable et performant, malgré les quelques difficultés qui peuvent être rencontrées lors de l installation. Les contrôleurs Samba / LDAP possèdent une grande modularité et permettent la mise en place de stratégies puissantes. Ce type de solutions peut être adapté autant pour une structure comme une PME / PMI ne souhaitant pas investir dans une licence Windows Server, mais souhaitant une administration et une gestion des ressources centralisée, que pour une grande entreprise nécessitant une modularité importante, que ce soit afin de rattacher des machines non Windows à un domaine, ou afin de mettre une politique de sécurité précise. 2) Conclusion générale Nous avons trouvé ce projet intéressant, car il nous confronté à la mise en place d un système de A à Z, ce qui n aurait pas été possible en séance de TP. Il nous a aussi permis de nous mettre en situation pour les dossiers de stage que nous auront à traiter ainsi que pour la soutenance de celui-ci. Le sujet était aussi intéressant, car il nous a permis de voir les difficultés que l on pouvait rencontrer pour organiser des utilisateurs et des données sur un réseau, et les moyens existant pour simplifier cette organisation. (Par exemple l ajout de l annuaire LDAP pour centraliser les données, et éviter d avoir à les insérer dans chaque service utilisé). De plus, il peut être bénéfique de savoir mettre en place ou de savoir maintenir ce type de contrôleur de domaine, répandu dans les entreprises. Ce projet nous a appris à travailler avec une certaine autonomie tout en raisonnant en équipe. Cela nous aura aussi formés à la recherche de documentations et de solutions à nos problèmes. - Page 24 / 26 -

26 Ce projet nous aura aussi rendu plus aptes à l utilisation d un système d exploitation Linux Debian, et de voir les composants disponibles avec ce système et les moyens pour les configurer. 3) Sources Afin de mener à bien la réalisation de notre projet, nous avons eu recours à de livres et des sites Internet : Livres : LDAP, Administration système par Gerald Carter, aux éditions O Reilly. Samba, Installation et mise en oeuvre par Jay Ts, Robert Eckstein et David Collier-Brown, aux éditions O Reilly. Sites Internet : The Linux Samba-OpenLDAP Howto ( par Jérôme Tournier et Olivier Lemaire d IDEALX. Installation de Samba PDC et OpenLDAP ( par Claude-Jacques Tronquet. Samba 3 by Example ( par John H. Terpstra. - Page 25 / 26 -

27 VI. ANNEXES Sommaire des annexes I. Fichier de configuration de SLAPD slapd.conf II. Fichier de configuration de Samba smb.conf III. Fichier de configuration de SmbLDAP smbldap.conf IV. Administration d un domaine avec LAM - Page 26 / 26 -

28 Annexes I. Fichier de configuration de SLAPD /etc/ldap/slapd.conf : # -=======================================================- # + Fichier de configuration de LDAP Serveur slapd.conf + # -=======================================================- # --- Paramètres globaux --- # include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema # -- Pour Samba 3 include /etc/ldap/schema/samba.schema schemacheck on pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd.args loglevel 296 modulepath /usr/lib/ldap moduleload back_bdb backend bdb checkpoint # --- Paramètres de la base cedravid.net --- # database suffix directory rootdn rootpw lastmod bdb dc=cedravid,dc=net /var/lib/ldap cn=admin,dc=cedravid,dc=net {SSHA}lDfw8xB0K2lGW9RN4m2K5b47wc+0hYdd on index objectclass,uidnumber,gidnumber eq index cn,sn,uid,displayname pres,sub,eq index memberuid,mail,givenname eq,subinitial index sambasid,sambaprimarygroupsid,sambadomainname eq access to attrs=userpassword,sambalmpassword,sambantpassword by self write by anonymous auth by * none access to * by * read

29 Annexes II. Fichier de configuration de Samba /etc/samba/smb.conf : # -==============================================- # + Fichier de configuration de Samba smb.conf + # -==============================================- # ---==== Paramètres globaux ====--- # [global] # --- Paramètres NETBIOS --- # workgroup = cedravid netbios name = cedravid-pdc server string = Serveur Samba dns proxy = no # --- Paramètres des journaux et de débogage --- # log file = /var/log/samba/log.%m max log size = 1000 syslog only = no loglevel = 3 syslog = 0 panic action = /usr/share/samba/panic-action %d # --- Paramètres de sécurité et de mots de passe --- # # invalid users = root security = user obey pam restrictions = yes encrypt passwords = true passdb backend = ldapsam:ldap:// / # unix password sync = no # passwd program = # passwd chat = # --- Paramètres du contrôleur de domaine --- # domain master = Yes domain logons = Yes local master = Yes os level = 65 # --- Paramètres pour LDAP --- # ldap passwd sync = Yes ldap admin dn = cn=admin,dc=cedravid,dc=net ldap delete dn = Yes ldap suffix = dc=cedravid,dc=net ldap group suffix = ou=groups ldap user suffix = ou=users ldap machine suffix = ou=users # --- Définition des scripts Smb-LDAP Tools --- # add user script = /usr/local/sbin/smbldap-useradd -m "%u" # delete user script = /usr/local/sbin/smbldap-userdel "%u" add machine script = /usr/local/sbin/smbldap-useradd -w "%u" add group script = /usr/local/sbin/smbldap-groupadd -p "%g" #delete group script = /usr/local/sbin/smbldap-groupdel "%g"

30 Annexes add user to group script = /usr/local/sbin/smbldap-groupmod -m"%u" "%g" delete user from group script = /usr/local/sbin/smbldap- groupmod -x "%u" "%g" set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u" # --- Paramètres divers --- # # include = /home/samba/etc/smb.conf.%m Dos charset = 850 Unix charset = ISO preserve case = yes short preserve case = yes socket options = TCP_NODELAY # ---==== Définition des partages ====--- # # --- Répertoires Home --- # [homes] comment = Répertoires homes valid users = %U read only = No create mask = 0664 directory mask = 0775 browseable = No # --- Répertoire NetLogon --- # [netlogon] path = /home/samba/netlogon browseable = no read only = yes # --- Répertoire Profiles --- # [profiles] path = /home/samba/profiles read only = no create mask = 0600 directory mask = 0700 browseable = no guest ok = yes force user = %U valid users = Admins"

31 Annexes III. Fichier de configuration SmbLDAP-Tools /etc/smbldap-tools/smbldap.conf : # -==========================================================- # + Fichier de configuration de SmbLDAP-Tools smbldap.conf + # -==========================================================- # --- Paramètres généraux --- # SID="S " sambadomain="cedravid" # --- Paramètres LDAP --- # slaveldap="" slaveport="389" masterldap=" " masterport="389" ldaptls="0" verify="" cafile="" clientcert="" clientkey="" suffix="dc=cedravid,dc=net" usersdn="ou=users,${suffix}" computersdn="ou=users,${suffix}" groupsdn="ou=groups,${suffix}" idmapdn="ou=idmap,${suffix}" sambaunixidpooldn="sambadomainname=cedravid,${suffix}" scope="sub" hash_encrypt="ssha" crypt_salt_format="" # --- Paramètres Unix --- # userloginshell="/bin/bash" userhome="/home/%u" userhomedirectorymode="700" usergecos="system User" defaultusergid="513" defaultcomputergid="515" skeletondir="/etc/skel" #defaultmaxpasswordage="45" # --- Paramètres Samba --- # usersmbhome="\\cedravid-pdc\%u" userprofile="\\cedravid-pdc\profiles\%u" userhomedrive="h:" userscript="" maildomain="" # --- Paramètres SmbLDAP-Tools --- # with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" # no_banner="1"

32 Annexes IV. Administration d un domaine avec LAM Cette annexe est principalement destinée aux utilisateurs du domaine, et en particulier aux personnes chargées de la gestion des utilisateurs. Nous allons donc détailler, étapes-parétapes, la marche à suivre afin de créer des utilisateurs, des groupes, et des partages. Nous verrons également comment restreindre l accès d un partage à un groupe sous Linux et sous Windows. a) L interface LDAP Account Manager (LAM) Afin d administrer le domaine, il est nécessaire de créer des utilisateurs et des droits d accès associés à ceux-ci. Le meilleur moyen de réaliser cette tâche est d utiliser l interface LDAP Account Manager, accessible par navigateur. Pour se connecter à cette interface, ouvrir un navigateur et entrer l adresse La page suivante apparait : Cette page permet d ouvrir une session sur l interface LAM. Sélectionner l utilisateur admin, entrer le mot de passe correspondant, et cliquer sur Login. Une fois la session ouverte, on peut remarquer quatre liens principaux. Ces liens permettent la gestion des domaines, des utilisateurs, des groupes, et des machines rattachées au domaine. Cliquer sur Users.

33 Annexes b) Création d un utilisateur L interface de gestion des utilisateurs présente la liste des utilisateurs déjà créés sur le domaine et permet leur édition. Pour ajouter un nouvel utilisateur, cliquer sur New user. Une nouvelle fenêtre apparaît. Tous les champs suivis par * sont obligatoires. Nous allons, par exemple, créer un utilisateur classique (sans droit d administration) nommé Pierre. Il faut donc entrer les valeurs suivantes : Attention : Il est important de sélectionner Domain Users pour limiter les droits de l utilisateur. Cliquer ensuite sur le bouton Samba. La même fenêtre va réapparaitre, afin de permettre la validation des champs laissés vides (UID number, etc.). Cliquer de nouveau sur Samba si les nouveaux paramètres semblent corrects. Une nouvelle fenêtre apparaît, permettant le choix des paramètres utilisés par Samba pour cet utilisateur.

34 Annexes Remplir les champs comme dans l exemple ci-dessous : Attention : Il est important de sélectionner Domain Users pour limiter les droits de l utilisateur. Home path est \\cedravid-pdc\$user et Profile path \\cedravid-pdc\profiles\$user. Il faut décocher Use unix password afin que l utilisateur puisse ouvrir une session. Cliquer ensuite sur Final pour valider. Tout comme précédemment, la page est affichée une deuxième fois pour valider. Lorsque tous les paramètres semblent corrects, cliquer sur Create Account. Notre utilisateur Pierre doit maintenant pouvoir ouvrir une session sur n importe quel poste de travail du domaine. Cependant, comme celui-ci n est pas un administrateur du domaine, certaines fonctions seront désactivées comme, par exemple, les options Système du Panneau de configuration. Le message suivant apparaitra s il veut y accéder :

35 Annexes Voyons maintenant comment créer un groupe et comment rattacher Pierre à ce groupe. c) Création d un groupe Nous allons créer un nouveau groupe, nommé Compta. Cliquer sur le lien Groups, puis sur New group. Pour créer ce groupe, il faut indiquer : Cliquer ensuite sur le bouton Members. La colonne de droite représente les utilisateurs du domaine, et la colonne de gauche les membres du groupe. Il suffit de sélectionner un utilisateur et de cliquer sur une des flèches pour le faire basculer d un groupe à l autre. Cliquer sur Final pour valider. Dans la page suivante, il suffit d indiquer le Display name, et de valider par Final. Nous avons créé un utilisateur Pierre et rattaché cet utilisateur au nouveau groupe Compta. Voyons maintenant comment utiliser ce groupe pour définir des règles d accès sur un partage.