Ce document permet de mettre en oeuvre des stratégies de sécurité sous Samba 2.2.8 pour des clients de type Windows 2000.



Documents pareils
But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

I. Présentation du serveur Samba

LINUX REMPLAÇANT WINDOWS NT

PARAMETRER SAMBA 2.2

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Faites danser votre serveur avec Samba. Association LOLITA

Aubert Coralie, Ruzand Brice GTR 2002 Bonvarlet Manuel, Desroches Alexandre, Magnin Cyril DRT Notice technique 1

TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS

Ajout et Configuration d'un nouveau poste pour BackupPC

UE5A Administration Réseaux LP SIRI

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Projet Semestre2-1SISR

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Installation et configuration d un serveur SAMBA sous linux Red Hat

1 Démarrage de Marionnet

Installation du transfert de fichier sécurisé sur le serveur orphanet

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/ bits, Windows 2008 R2 et Windows bits

Les différentes méthodes pour se connecter

Importer une bibliographie au format «texte» dans Zotero

SAMBA. partager des fichiers sous Linux par un protocole compatible Microsoft

Atelier La notion de session utilisateur sous Linux

Configuration du serveur FTP sécurisé (Microsoft)

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

0.1 Mail & News : Thunderbird

Les sauvegardes de l ordinateur

Linux Intranet. Guillaume Allègre INP-FC octobre Grenoble INP Formation Continue. G.

Comment se connecter au dossier partagé?

But de cette présentation

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

Bases pour sécuriser son Windows XP

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

14. Samba Introduction Protocoles Microsoft. Page suivante Page précédente Table des matières

Imprimantes et partage réseau sous Samba avec authentification Active Directory

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

Monter automatiquement des disques distants ou locaux avec automount/autofs

Sauvegarde sous MAC avec serveur Samba

Tutoriel Création d une source Cydia et compilation des packages sous Linux

NAS 109 Utiliser le NAS avec Linux

Présentation de Samba

Solutions informatiques

TP 4 & 5 : Administration Windows 2003 Server

INSTALLATION MICRO-SESAME

HP Data Protector Express Software - Tutoriel 4. Utilisation de Quick Access Control (Windows uniquement)

Pré-requis de création de bureaux AppliDis VDI

Tutoriel : Utilisation du serveur de calcul à distance de PSE

Déploiement de SAS Foundation

Prérequis. Résolution des problèmes WMI. Date 03/30/2010 Version 1.0 Référence 001 Auteur Antoine CRUE

Module Samba: Concepts et fonctionnement

Guide d installation des licences Solid Edge-NB RB

GROOBAX. cliquer sur le «G» Cliquer sur «options» Sélectionner le dossier qui contiendra les paramètres => Cliquer A chercher le dossier créé en 2/

COSWIN MOBILE SERVEUR DE SYNCHRONISATION GUIDE D INSTALLATION

GUIDE DE L UTILISATEUR

Installation d OpenVPN

Formation Samba 3. Ganaël Laplanche

Comment créer vos propres pages web?

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

Oracle WebLogic Server (WLS) 11gR1 ( et ) Installation sur Oracle Linux 5 et 6 Hypothèses Installation Oracle Linux 5 (OL5)

GOUTEYRON ALEXIS. SIO2 N candidat: UEpreuve E4. USituation professionnelle 2. serveurs de fichiers. Uen haute disponibilité

PROJET PERSONNALISÉ ENCADRÉ : N 6

SQL Server Installation Center et SQL Server Management Studio

TP1 - Prise en main de l environnement Unix.

TP associé au cours Samba

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

Restaurer des données

GESTION ELECTRONIQUE DE DOCUMENTS

Manuel d installation et d utilisation du logiciel GigaRunner

Introduction : L accès à Estra et à votre propre espace Connexion Votre espace personnel... 5

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

1) Installation de Dev-C++ Téléchargez le fichier devcpp4990setup.exe dans un répertoire de votre PC, puis double-cliquez dessus :

Atelier Le gestionnaire de fichier

PROCÉDURE D AIDE AU PARAMÉTRAGE

Installation Windows 2000 Server

Tutoriel XBNE Connexion à un environnement XBMC distant

Mise à jour des logiciels de vidéo de Polycom

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Guide d installation de Gael

Initiation à l informatique. Module 7 : Le courrier électronique ( , mail)

Serveur d impression CUPS

I. Objectifs de ce document : II. Le changement d architecture :

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

Comment configurer Kubuntu

MENU FEDERATEUR. Version Cabinet - Notice d installation et de mise à jour

NAS 206 Utiliser le NAS avec Windows Active Directory

Déployer une application Web avec WebMatrix et Ma Plateforme Web

Mise à jour de version

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

Installer ADONIS:CE. ADONIS:Community Edition 2.0 Français. Prérequis et procédure pas à pas. BOC Information Systems 5 rue du Helder, Paris

Formateur : Jackie DAÖN

Comment se connecter au VPN ECE sous vista

Live box et Nas Synology

2 - VMWARE SERVER.doc

Guide d installation de MySQL

Transcription:

1. Introduction Contenu de cette section Ce document permet de mettre en oeuvre des stratégies de sécurité sous Samba 2.2.8 pour des clients de type Windows 2000. 1.1 Note de copyright Ce document est GNU copyleft par Ewen PRIGENT eprigent@linux-france.org. La permission d'utiliser, copier, distribuer ce document pour n'importe quelle raison est accordée par la présente licence, à la condition que le nom de l'auteur / éditeur apparaisse dans toutes les copies et/ou documents accompagnateurs ; et que toute version non modifiée de ce document soit disponible librement. Ce document est distribué dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE, ni explicite, ni implicite. Bien que tous les efforts aient été faits pour s'assurer de la précision des informations documentées ici, l'auteur / éditeur / mainteneur ne prend AUCUNE RESPONSABILITÉ sur toute erreur ou pour tout dommage, direct ou en découlant, résultant de l'utilisation des informations documentées ici. 1.2 Informations Si vous avez des remarques à rajouter où des informations à me proposer, n hésitez pas, je suis là aussi pour ça :-) 1.3 Sources Le fichier source est disponible sur ma page personnelle à l adresse suivante : http://linux-france.org/~eprigent/ Quand je parle de source, il s agit uniquement pour l instant des fichiers au format PDF. Si vous avez le temps de les convertir en.html, honneur à vous, mais en ce moment je n ai pas trop le temps de le faire. Et n oubliez pas l informatique c est simple, c est l homme qui est compliqué :-) BONNE LECTURE SAMBA et les stratégies Windows 2000

Gestion de stratégies utilisateurs sous Samba avec Windows 2000 Pro Prérequis : On supposera que le client Windows 2000 vient de joindre un domaine géré par un PDC sous Samba. La version utilisée pour ce tutoriel est la 2.2.8 Dans mon exemple, le PDC sous Samba se nomme Server (in english). 1. Introduction : Dans certaines circonstances, il peut être très intéressant d imposer des stratégies de sécurités aux utilisateurs d un domaine géré par Samba. Les stratégies de sécurité sont relativement simples à définir lorsque l on dispose d un domaine géré sous Active Directory. Ici ça n est pas le cas. 2. Installation de Poledit : Pour que nos stratégies soient valables sur les clients Windows 2000, il faut récupérer à partir d un Windows 2000 Serveur l utilitaire poledit ainsi que les deux fichiers de modèles d administration : common.adm et winnt.adm Les deux modèles se trouvent dans le répertoire : C:\WINNT\INF Pour installer poledit sur le client Windows 2000 Pro, il suffit donc de copier l application ainsi que les deux fichiers.adm sur le client dans le répertoire sus-nommé ci-dessus. Il faut impérativement effectuer l installation sous le compte local Administrateur du client : Une fois que tout est installé, vous pouvez lancer poledit puis aller dans : SAMBA et les stratégies Windows 2000 1/9

De cette manière vous allez accéder au registre de votre client. On se retrouve avec le même environnement que Windows 98. Le principe reste relativement simple, on va demander au client Windows 2000 d aller télécharger la stratégie depuis le serveur Samba. Pour cela il suffit de double cliquer l icône Ordinateur Local puis de configurer l option : Bien vérifier que cette option est cochée. Préciser que la mise à jour est faite de manière manuelle. On indique le chemin réseau ainsi que le nom du fichier.pol qui sera téléchargé par le client Windows 2000. 3. Création des stratégies : Le but de la manipulation est de créer des stratégies en fonctions des groupes d utilisateurs. Pour cela nous allons créer deux fichiers config.pol qui contiennent deux politiques distinctes. SAMBA et les stratégies Windows 2000 2/9

Le groupe prof aura le droit de régler le panneau de configuration Affichage tandis que le groupe des eleves obtiendra le message suivant : Pour cela, il suffit en tant qu administrateur local du poste Windows 2000 d ouvrir poledit puis de créer une nouvelle stratégie : Puis de double cliquer sur Ordinateur par défaut : On sélectionne les mêmes options qu à la page 2 (Mise à jour des stratégies distantes et chemin réseau \\server\strategies\config.pol ) puis on valide par OK Une fois que c est fait on clique sur Utilisateur par défaut de manière à sélectionner les options de stratégies : Petit rappel des différentes valeurs des cases : Etat Option désélectionnée. Option qui dépend de l état antérieur. Option sélectionnée. SAMBA et les stratégies Windows 2000 3/9

Bien vérifier que cette option est cochée. On bloque tout pour notre exemple. Il n y a plus qu à enregistrer les modifications sous un nom de fichier, par exemple lockscreen.pol Une fois que c est fait, on répète l opération de la page précédente, nouvelle stratégie, Ordinateur par défaut, Mise à jour manuelle via le même chemin réseau \\server\strategies\config.pol Une fois que c est fait, on clique sur Utilisateur par défaut et cette fois-ci on décoche l option : SAMBA et les stratégies Windows 2000 4/9

On enregistre les modifications, sous un autre nom de stratégies, par exemple nolockscreen.pol : Maintenant on va s intéresser au serveur Samba. 4. Configuration de Samba : Je ne vais pas revenir sur la manière dont on configure Samba en PDC, il existe pas mal de documents pour ça. Une recherche sur Google suffit. Par contre je vais tout de même expliquer les subtilités de cette configuration! Le fichier de configuration sera le suivant : 1 [global] 2 netbios name = SERVER 3 workgroup = GRETA 4 server string = Server Samba %v 5 log file = /var/log/samba/log.%u 6 security = user 7 encrypt passwords = yes 8 domain master = yes 9 local master = yes 10 preferred master = yes 11 domain logons = yes 12 logon script = logon.cmd 13 logon path = \\%N\profiles\%U 14 logon drive = H: 15 logon home = \\SERVER\%U 16 [netlogon] 17 path = /home/netlogon/%g 18 writeable = no 19 browseable = no 20 [profiles] 21 path = /home/profiles 22 browseable = no SAMBA et les stratégies Windows 2000 5/9

23 [strategies] 24 path = /home/strategies/%g 25 browseable = yes 26 writeable = yes 27 [partage] 28 path = /home/partage/%g 29 browsable = yes 30 writeable = yes 31 [homes] 32 invalid users = root 33 comment = Repertoire Perso 34 writeable = yes 35 browseable = no 36 [tout] 37 path = /home 38 valid users = root 39 writeable = yes Création des comptes : Pour que cet exemple fonctionne, il est nécessaire de créer deux groupes linux distincts. Sous root : #groupadd profs #groupadd eleves Une fois les groupes créés il suffit de rajouter deux utilisateurs : #useradd -g profs prof1 #useradd -g profs eleve1 On oublie pas d affecter des mots de passe Samba à ces deux personnes : #/usr/local/samba/bin/smbpasswd -a prof1 New SMB password: Retype new SMB password: Password changed for user prof1. #/usr/local/samba/bin/smbpasswd -a eleve1 New SMB password: Retype new SMB password: Password changed for user eleve1. Création des répertoires : Par rapport au fichier de configuration, il est nécessaire de créer un certain nombre de répertoires et sous-répertoires. On crée les répertoires qui contiendront les stratégies des groupes d utilisateurs : #mkdir p /home/strategies/profs #mkdir p /home/strategies/eleves #mkdir p /home/strategies/root On crée les répertoires qui contiendront les fichiers batch : #mkdir p /home/netlogon/profs #mkdir p /home/netlogon/eleves #mkdir p /home/netlogon/root SAMBA et les stratégies Windows 2000 6/9

On crée les répertoires qui seront accessibles en fonction des groupes : #mkdir p /home/partage/profs #mkdir p /home/partage/eleves #mkdir p /home/partage/root Explications et subtilités : 17 En utilisant l option %g, le chemin d accès du partage sera fonction du nom du groupe auquel appartient l utilisateur qui se connecte sur le PDC. Si c est l utilisateur eleve1 qui se connecte au serveur, la variable %g sera remplacée par eleves et donc le partage [netlogon] pointera sur le répertoire /home/netlogon/eleves 24 Même remarque que précédemment, cette fois-ci cela concerne le partage qui va contenir nos stratégies de sécurité. 36 Au niveau de la sécurité ça n est pas très optimisé, l utilisateur root aura accès à tous les répertoires de /home via le client Windows 2000. Ce partage devra être mis en commentaire une fois que les stratégies et fichiers batch auront été configurés sur le serveur. 5. Mise en place des stratégies sur le serveur : Une fois notre serveur correctement configuré, il ne vous reste plus qu à vous connecter sous l utilistateur root sur le client Windows 2000 : Une fois que vous êtes connecté il ne vous reste plus qu à placer dans les sous répertoires strategies/profs et strategies/eleves les fichiers nolockscreen.pol et lockscreen.pol, voir page 8. Bien évidemment vous n oublierez pas de les renommer en config.pol et vérifier en ce qui concerne les droits unix que les groupes respectifs ont la possibilité de les lire. Je vous fait confiance pour vérifier ces droits. SAMBA et les stratégies Windows 2000 7/9

Attention : L arborescence affichée ne correspond pas complètement à celle du fichier smb.conf Déposez dans ce répertoire le fichier lockscreen.pol que vous allez renommer en config.pol Déposez dans ce répertoire le fichier nolockscreen.pol que vous allez renommer en config.pol Vous pouvez procéder de manière analogue avec les scripts de connexion logon.cmd : Il faudra éditer avec le notepad un fichier logon.cmd qui contiendra par exemple : SAMBA et les stratégies Windows 2000 8/9

Les deux fichiers se nomment logon.cmd ils sont à placer respectivement dans les deux sousrépertoires eleves et profs Il n y a plus qu à se déconnecter du compte root puis se connecter sous l un des deux utilisateur et normalement les stratégies seront appliquées. SAMBA et les stratégies Windows 2000 9/9