Création des utilisateurs Le choix du type de profils que vous allez utiliser sur votre contrôleur de domaine Samba aura un impact direct sur les performances de votre réseau, sur la vitesse d ouverture de session de vos utilisateurs et de l espace disque nécessaire sur votre contrôleur de domaine. Il existe trois types de profils différents disponibles: Profil utilisateur local: Ce profil est créé lors de la première ouverture de session sur un poste local ou sur le domaine et réside sur le disque dur local du poste client que vous retrouverez dans le répertoire "Documents and Settings". Toutes les modifications apportées au profil utilisateur local sont propres à l ordinateur sur lequel elles ont eu lieu. Profil utilisateur itinérant: Ce profil est créé lors de la première ouverture de session sur le domaine et réside sur le contrôleur de domaine. Il est disponible chaque fois que vous ouvrez une session sur un ordinateur du réseau peut importe le poste où l utilisateur ouvre sa session. Les modifications apportées au profil utilisateur itinérant sont mises à jour sur le serveur. Profil utilisateur obligatoire: Ce profil est un profil itinérant créé par votre administrateur réseau et réside sur le serveur. Il permet de préciser des paramètres particuliers pour certains individus ou un groupe entier d utilisateurs. Seuls les administrateurs réseau peuvent modifier les profils utilisateurs obligatoires. Donc tout dépend de vos besoins et la robustesse de votre réseau, vous devrez choisir entre un profil sauvegardé directement sur le poste de travail de l utilisateur ou encore un profil sauvegardé sur le serveur Samba. Nous vous présentons donc les avantages et les désavantages de chacun de ses profils afin de vous aider à bien définir et à voir les implications de votre choix. NOTE: Nous vous recommandons d utiliser des profils locaux mais avec l utilisation du déplacement du répertoire "Mes Documents" de l utilisateur. Voyez pour plus de détail l unité 4 de ce module. 188
Type de Avantages profil utilisateur Local Utilisation négligeable de l espace disque nécessaire sur le serveur; Aucun encombrement du réseau suite à une ouverture ou fermeture de session par le transfert du profil utilisateur. Seules les trames d authentification entre le serveur et les clients seront échangées. Itinérant Profile unique sans distinction du poste de travail où l on s authentifie, tant que l ont reste sur le même type de système d exploitation; Le transfert d information du poste de travail vers le serveur peut être limité et définie. Obligatoire Profile unique sans distinction du poste de travail où l on s authentifie, tant que l ont reste sur le même type de système d exploitation; Le transfert d information du poste de travail vers le serveur peut être limité et défini. Contrôle sur le profil de l utilisateur. Désavantages Profil différent sur chacun des postes de travail sur lequel l utilisateur va s authentifier; Le profil de l utilisateur sur le poste de travail ne peut être limité en taille directement par le serveur Samba. L information emmagasinée localement sur les postes client est plus complexe à prendre en sauvegarde. Dons la sécurité de vos données peuvent être mit en danger. L espace disque sur le serveur doit être prit en considération selon le nombre d utilisateur; Les heures d achalandage peuvent ralentir considérablement votre réseau. Prévoir un serveur BDC serait sûrement une bonne alternative à considérer. L espace disque sur le serveur doit être prit en considération selon le nombre d utilisateur; Les heures d achalandage peuvent ralentir considérablement votre réseau. Prévoir un serveur BDC serait sûrement une bonne alternative à considérer. Nécessite plus de manipulation en changeant le ntuser.dat en ntuser.man 189
Profils utilisateurs locaux La création d un serveur PDC Samba permettant uniquement des profils locaux nécessite certaines manipulations tant sur le poste client que du côté du serveur PDC. A noter que cela n empêche en rien la création de profils locaux pour certains utilisateurs du domaine et de profils itinérants pour une autre portion d utilisateur. Cela a comme désavantage de nécessité une meilleure discipline de gestion de vos profils utilisateurs. Pour plus d efficacité, nous vous conseillons d utiliser les CyGPO de Cybionet qui vous permettront de faire une gestion centralisée des profils locaux sur votre domaine. Préparation des postes clients Windows Professionnels. Cette opération doit êtes faites sur chacun des postes clients Windows dont vous désirez qu ils utilisent uniquement les profils locaux. Pour définir un profil utilisateur local (côté client). Faites la modification permettant la désactivation des profils itinérants du côté client. Cette modification va différer selon si votre client Microsoft est sous le système d exploitation Windows 2000 Professionnel, Windows XP Professionnel ou Windows Vista Professionnel. 1. Sur chacun des postes clients, ouvrez une console MMC: Démarrer, Exécuter, puis saisir MMC. 2. Ensuite allez dans le menu Fichier, puis Ajouter/Supprimer un composant logiciel enfichable. 3. En cliquant sur le bouton Ajouter de la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable choisissez le composant Stratégie de groupe. 4. Confirmez en cliquant sur le bouton Ajouter, bouton Terminer, bouton Fermer, puis OK. NOTE: Ou pour faire plus simple, saisissez seulement gpedit.msc dans Exécuter du menu démarrer. 190
5. Naviguez dans l arborescence du composant logiciel enfichable selon la version de votre système d exploitation. Sous Windows 2000 professionnel. Stratégie Ordinateur local Configuration ordinateur Modèles d administration Système Ouverture de Session Puis double cliquez sur N'autoriser que les profils d'utilisateurs locaux, puis sélectionné le bouton radio Activé. Faites de même avec Empêcher la propagation des modifications de profils itinérants vers le serveur, puis sélectionné le bouton radio Activé. Appliquer ensuite vos modifications de stratégies de groupe en saisissant la commande suivante: secedit /refreshpolicy machine_policy NOTE: Pour modifier cette option n autoriser que les profils d utilisateurs locaux sous Windows 2000 vous devez absolument avoir le Service Pack 3 et plus d installé. Sous les versions de Windows XP professionnel, Windows Vista Professionnel/Intégrale et Windows 7 Professionnel/Intégrale. Stratégie Ordinateur local Configuration ordinateur Modèles d administration Système Profils des Utilisateurs Puis double cliquez sur N'autoriser que les profils d'utilisateurs locaux, puis sélectionné le bouton radio Activé. 191
Faites de même avec Empêcher la propagation des modifications de profils itinérants vers le serveur, puis sélectionné le bouton radio Activé. Appliquer ensuite vos modifications de stratégies de groupe en saisissant la commande suivante: gpupdate Création d utilisateurs avec un profil local. Lors de la création d un utilisateur à l aide de l outil phpldapadmin, laisser le champ Chemin du profil utilisateur vide afin que forcer l utilisateur à utiliser un profil local. Pour définir un profil utilisateur local (côté serveur). Votre utilisateur est déjà créer et vous désirez faire la désactivation du profil itinérant pour ce dernier. Sur votre contrôleur de domaine, vous devez vous assurer que l attribut suivant n est pas défini. sambaprofilepath Cet attribut est défini dans l annuaire LDAP, utilisez donc votre outil LDAP, phpldapadmin dans notre cas, et vérifiez pour chacun de vos utilisateurs que cet attribut est bien supprimé. Il est entendu que le partage administratif profiles dans Samba n est plus nécessaire. Ce changement n empêche en rien la propagation des scripts d ouverture de session, ou encore d avoir un répertoire personnel (home directory). NOTE: Pour ceux qui n ont pas intégrés LDAP sur leur PDC, ces attributs se retrouvent dans le fichier smb.conf. 192
Profils utilisateurs itinérants Pour définir la configuration des profils itinérants sous votre contrôleur de domaine Linux, n utiliser pas les entrées du fichier smb.conf. Toutes les configurations sont centralisées et définies dans votre annuaire LDAP. Voici un tableau montrant les correspondances des entrées du fichier de configuration Samba qui seront maintenant définies dans l annuaire LDAP. Smb.conf logon home logon path logon drive logon script Annuaire LDAP sambahomepath sambaprofilepath sambahomedrive sambalogonscript L énorme avantage que cela procure, est que vous pouvez facilement choisir pour chacun des utilisateurs si son profil sera local ou itinérant. Car avec Samba 3.x il est maintenant possible de faire le même choix, ce qui n était pas le cas avec Samba 2.x. Pour pouvoir utiliser les profils itinérants, vous devez avoir défini le partage système [profiles]. Consulter le module 4 unité 1 Installation de Samba pour la configuration de ce partage système. NOTE: Ce profil ne sert pas pour les utilisateurs qui se connectent localement sur le serveur. Ce sera le home directory qui sera alors utilisé. Création d utilisateurs avec un profil itinérant. Lors de la création d un utilisateur à l aide de l outil phpldapadmin, remplissez le champ Chemin du profil utilisateur afin que l utilisateur utilise un profil local. La valeur doit être un chemin UNC valide. 193
Concrètement dans l annuaire LDAP, pour que votre utilisateur ait un profil itinérant, vous devez vous assurer que l attribut samba ProfilePath soit bien défini dans le compte sur l annuaire LDAP. NOTE: Pour limiter les transferts de certain répertoire du profil utilisateur, vous pouvez modifier la clef de registre ExcludeProfileDirs et y ajouter le ou les répertoires que vous désirez exclure. Cette clef se retrouve dans HKEY_CURRENT_USER\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon Nous vous conseillons par contre d utiliser les CyGPR pour effectuer cet opération, car la modification de la base de registre comporte certain risque et la modification manuelle sur chacun des postes peux s avérer long. Profils utilisateurs itinérants Un profil utilisateur itinérant est un compte utilisateur [A compléter] 1. A l aide de l outil web phpldapadmin, naviguer dans l unité organisationnelle qui comprend le compte utilisateur à lequel vous désirez affecter le profil itinérant. 2. Cliquer sur le nom de l utilisateur, et dans la fenêtre de droite cliquer sur Ajouter un nouvel attribut. Sélectionner l attribut sambaprofilepath et donner lui comme valeur le nom du chemin UNC valide pour le profil désiré. \\serveurpdc\profiles\<utilisateur> 3. Sur le poste de travail, connectez-vous au domaine à l aide du compte utilisateur auquel vous avez affectée le profil itinérant. Prenez note que le profil sera créer qu à la fermeture de session de l utilisateur. 194
Profils utilisateurs itinérants obligatoires Un profil utilisateur itinérant obligatoire est un compte utilisateur dans lequel les paramètres sont préconfigurés par l administrateur. Il permettra à un utilisateur d utiliser un profil obligatoire et de modifier le profil courant sans que ces modifications soient enregistrées lors de la fermeture de session. Lorsque vous ouvrez une nouvelle session sur l ordinateur, le profil obligatoire d origine sera chargé sur l ordinateur. Création d un profil itinérant modèle. Procéder à la création d un profil itinérant qui servira de modèle pour vos utilisateurs. 1. A l aide de l outil web phpldapadmin, créer un compte utilisateur modèle disposant des mêmes autorisations que l utilisateur pour lequel vous souhaitez créer le profil obligatoire. 2. Utiliser ce compte utilisateur modèle pour vous connecter à un poste de travail client. Un profil sera créé automatiquement sur l ordinateur local dans le répertoire C:\Documents and Settings\<utilisateur_modèle>. 3. Personnaliser les paramètres de bureau comme désiré pour le profil, y compris les raccourcis, l apparence et les options du menu Démarrer. 4. Renommer le fichier Ntuser.dat en Ntuser.man situé dans le répertoire C:\Documents and Settings\<utilisateur_modèle>. 5. Fermer la session de l utilisateur sur le poste de travail. Copie du profil itinérant modèle dans un dossier partagé. Nous allons copier le modèle du profil itinérant dans un dossier partagé sur le réseau. 1. Créez un dossier partagé sur un serveur dans lequel vous souhaitez emmagasiner le profil itinérant obligatoire, par exemple /var/lib/samba/profiles/<utilisateur>. cd /var/lib/samba/profiles/ 195
mkdir <utilisateur> chown <utilisateur>:root <utilisateur> chmod 570 <utilisateur> L avantage de mettre ce profil obligatoire dans /var/lib/samba/profiles/ est qu il est généralement déjà partagé par Samba. [profiles] ; comment = Repertoire des profiles itinerants path = /var/lib/samba/profiles read only = no veto files = /desktop.ini/ hide dot files = yes Le veto files = /desktop.ini/ est important pour les systèmes d exploitation XP/Vista. 2. Redémarrer votre poste client pour vous assurez qu aucun fichier du profile obligatoire soit verrouillé par le système. Puis, ouvrez une session sur le poste en tant qu administrateur local. 3. Copier le contenu du répertoire c:\documents and Settings\<utilisateur_modèle> dans le partage \\serveur\profiles\<utilisateur>. Profile pour les systèmes Windows professionnel 2000 et XP. Profile.v2 pour le système Windows Vista. NOTE: Faites attention aux profiles. 4. Attribuez les permissions de lecture et d exécution au groupe DomainUsers pour qu il puisse utiliser ce profil. cd /var/lib/samba/profiles/ chown -R root:domainusers mandatory chmod -R 550 mandatory 196
Affecter un profil itinérant obligatoire à un utilisateur. 1. A l aide de l outil web phpldapadmin, naviguer dans l unité organisationnelle qui comprend le compte utilisateur à lequel l on veut affecter un tel profil. 2. Cliquer sur l utilisateur, et dans la fenêtre de droite cliquer sur Ajouter un nouvel attribut. Sélectionner l attribut sambaprofilepath et donner lui comme valeur le nom du chemin UNC valide pour le profil désiré. \\serveurpdc\profiles\<utilisateur> 3. Sur la station de travail, connectez-vous au domaine à l aide du compte utilisateur auquel vous avez affectée le profil obligatoire, puis assurez-vous que les configurations du profil ont bien été appliquées. 197