LP Henri Becquerel - Tours

CHILLOUX David TMRIM Du 10/11/2003 au 12/12/2003 LP Henri Becquerel - Tours

Nom : CHILLOUX Prénom : David Lycée : L.P. Henry Becquerel Classe : TMRIM Entreprise : CNRS Orléans Centre de Biophysique Moléculaire Service : Informatique Tuteur : M. CHARRON Franck Dates : du 10/11/2003 au 12/12/2003 2

SOMMAIRE REMERCIEMENTS 4 INTRODUCTION 5 A. PRESENTATION 6 I. Le CNRS 6 II. Le Centre de Biophysique Moléculaire 6 Carte d identité 6 Animation de la vie scientifique 7 Financement des programmes 7 Organigramme du CBM 8 III. Présentation du service 9 IV. Le réseau du CBM 9 B. BASE DE DONNEES 11 I. Introduction 11 II. Microsoft Access 11 III. Structure 11 IV. Problèmes rencontrés 12 C. INTEGRATION DE LINUX DANS UN DOMAINE 2000 13 I. Introduction 13 II. Mise en place d un réseau test 14 III. Installation de Windows 2000 Server 15 IV. Modification du schéma Active Directory 16 V. Installation de la station Linux 17 VI. Configuration de Kerberos 17 VII. Configuration de Name Service Switch 19 VIII. Configuration de ldap 20 IX. Test de ldap 21 X. Configurer PAM 22 XI. Installation d un serveur de fichiers Samba 23 XII. Script de connexion 26 XIII. Test de samba 26 Annexes : 27 Authentification Kerberos 28 Samba 29 Module PAM 30 Accès à un fichier sur un poste Linux 31 CONCLUSION 32 3

REMERCIEMENTS Je tiens tout d abord à remercier Messieurs Franck Charron et Cédric Hillembrand pour m avoir accueilli pendant ma période de stage et pour leur aide précieuse. Je remercie toute l équipe du CBM pour leur accueil et en particulier Justo Torres, Thierry Cantalupo et Mathieu Réfrégiers. Merci également à Monsieur Adam pour m avoir aidé à trouver ce stage. 4

INTRODUCTION Les stages au service informatique du CBM sont basés sur un projet. Ainsi, chaque stagiaire étudie, pendant toute la durée de sa formation, un logiciel, une structure, ou un système d exploitation. Ces projets sont souvent basés sur une idée du service informatique. L objectif de mon stage était d étudier et de tester l intégration de Linux dans un domaine Active Directory. La première semaine fut consacrée à la recherche de documentation et à la mise en place d un réseau de test. Pendant les deux semaines suivantes, j ai testé différents paramètres et systèmes d authentification. La quatrième semaine fut consacrée à la rédaction d une documentation, présente en partie C de ce rapport : «Intégration de Linux dans un domaine Active Directory». La dernière semaine, j ai réalisé une base de données pour la gestion du stock des fournitures, et j ai rédigé mon rapport. 5

A. PRESENTATION I. Le CNRS Le Centre national de la recherche scientifique (CNRS) est un organisme public de recherche fondamentale (Etablissement public à caractère scientifique et technologique, placé sous la tutelle du Ministre chargé de la Recherche). Il produit du savoir et met ce savoir au service de la société. Avec 25 000 personnes (dont 11 400 chercheurs et 13 600 ingénieurs, techniciens et administratifs), un budget qui s'élève à 2 532,779 millions d'euros TTC pour l'année 2002, une implantation sur l'ensemble du territoire national, le CNRS exerce son activité dans tous les champs de la connaissance, en s'appuyant sur 1256 unités de recherche et de service. II. Le Centre de Biophysique Moléculaire Acteur essentiel du développement de la biophysique en France et en Europe, le Centre de biophysique moléculaire est le laboratoire de recherche le plus important de la région Centre. Unité propre de recherche du CNRS (UPR), le Centre de biophysique moléculaire est rattaché au département des Sciences chimiques et reçoit le soutien du département des Sciences de la vie au titre de laboratoire interface. Situé sur le campus d Orléans-la Source, il dépend administrativement de la délégation Centre-Auvergne-Limousin du CNRS (DR8) Carte d identité UPR 4301 du CNRS (département des Sciences chimiques du CNRS) conventionnée avec l'université d'orléans et affiliée à l'inserm Rattachement au : - pôle orléanais : Physique et chimie du vivant. Systèmes biologiques - à l école doctorale Sciences et technologies de l Université d Orléans - au pôle de recherche régional : Biologie-santé / Physique et chimie du vivant 5800 m2 de laboratoires, 100 permanents et environ 60 non permanents 55 chercheurs et enseignants-chercheurs (29 CNRS, 5 Inserm et 21 universitaires) 46 ingénieurs et techniciens (44 CNRS, 1 Inserm et 1 Itarf) 30 doctorants et post-doctorants et ~70 stagiaires (soit 30 équivalents temps plein/an) 6

Animation de la vie scientifique Les chercheurs du Centre de biophysique moléculaire participent aux activités de plusieurs sociétés savantes françaises et internationales, notamment à la Société française de biophysique qui a vu le jour à Orléans en 1982 et à l European Biophysical Societies Association (EBSA). Ils ont notamment redonné vie au Congrès européen de biophysique en 1997 à Orléans (650 participants). Entre 1998 et 2003, ils ont contribué à l organisation de 14 rencontres et colloques nationaux et de 17 écoles ou congrès internationaux. Financement des programmes En plus du soutien financier dans le cadre du Contrat de plan état-région, le Centre de biophysique moléculaire est impliqué dans des programmes de recherche soutenus par le CNRS, le CNES, le Conseil régional du Centre, la communauté européenne, l Otan, Intas, l Arc, la Ligue nationale contre le cancer, l ANRS (Association nationale de recherche contre le sida), la Fondation recherche médicale, l Association française contre les myopathies, Vaincre la mucoviscidose, la fondation Jérôme Lejeune, Biotechnocentre. Il entretient des collaborations avec les parfums Christian Dior, Biotec, IDM, Appligene Oncor, Société Entomed, Sartorius, Sanofi, Delalande, Rhône-Poulenc, Synthélabo Recherche, Pierre Fabre, EDF SOURCES : - site Internet national du CNRS : www.cnrs.fr - site Internet du CNRS-CBM d Orléans : www.cnrs-orleans.fr/cbm 7

Organigramme du CBM 8

III. Présentation du service L informatique tient une place très importante dans le laboratoire. Elle est utilisée par les chercheurs pour réaliser des calculs, créer des représentations 3D de molécules, ou analyser des résultats. Chaque poste doit donc fonctionner de manière optimale. Le réseau doit être capable de supporter des transferts de fichiers importants, en plus d une utilisation plus classique, comme la bureautique (MS Office), Internet et en particulier la messagerie électronique. Une équipe technique est présente pour accompagner les équipes de recherche. Cette équipe est chargée de l entretien des bâtiments, du matériel scientifique, des appareils électroniques, et de l informatique. La partie informatique est gérée par deux techniciens : Cédric HILLEMBRAND et Franck CHARRON. C est avec l équipe de ce service que s est déroulée ma période de stage. IV. Le réseau du CBM Le réseau du laboratoire est composé d environ 250 machines dont : - 100 PC Windows NT4-80 PC Windows 2000-5 serveurs 2000 (dont 2 contrôleurs de domaine) - 25 postes Linux - 22 stations Unix - 4 clusters Linux de 4, 6, 10 et 21 stations bi-processeur PC - 30 PC sous Dos, Windows 3.11, Windows 95 et quelques Macs Le protocole utilisé est TCP/IP avec adressage manuel. Le laboratoire dispose de deux adresses réseaux de classe B (une classe par bâtiment) : 163.9.6.0 et 163.9.8.0. @ réseau CNRS Labo CBM Poste 163. 9. 6. 0 Chaque ordinateur dispose donc d une adresse IP sur Internet. 9

Le cœur du réseau du campus CNRS est composé de trois routeurs Alpine d Extreme Networks reliés entre-eux par fibre optique. Le routeur DCAL est relié à Internet par le réseau national RENATER. Le réseau RENATER (RÉseau NAtional de Télécommunications pour la technologie, l Enseignement et la Recherche), est une structure connectant plus de 800 sites. Ce réseau leur permet de communiquer entre eux, d accéder aux centre de recherche privés, aux établissements d enseignement du monde entier et à Internet. 10

B. BASE DE DONNEES I. Introduction La réalisation d une base de données pour gérer le stock des fournitures m a été confiée pour la dernière semaine de stage. Il s agissait de créer un interface convivial permettant d enregistrer les achats de fournitures de bureau de chaque équipe. Il fallait ensuite pouvoir exporter un fichier récapitulatif au format Excel destiné aux comptables. II. Microsoft Access Une base de données est un ensemble d informations concernant un sujet particulier. On peut ajouter ou modifier ces données grâce à des formulaires, les trier avec des requêtes Toutes les informations sont stockées dans des tables. Le type de données (enregistrement) est défini selon le champ. Microsoft Access est un des logiciels de gestion de base de données les plus utilisés. C est celui que j ai choisi pour créer ma base. III. Structure La base de données est articulée autour d une table «Achats», dans laquelle sont enregistrés la date de l achat, la référence du produit, le n de l équipe, et le prix d achat. Trois tables permettent d enregistrer les équipes et les produits disponibles. Des formulaires, organisés autour de deux menus (voir à gauche) permettent la saisie et le traitement de données pour les utilisateurs. La fonction d export au format Excel est directement intégrée à Access. 11

IV. Problèmes rencontrés La principale difficulté venait du fait que c était ma première réalisation sous Access, qui est un système très complexe. Les messages d erreurs sont parfois incompréhensible, et la moindre erreur de code peut se répercuter sur toute la base. L autre problème était qu il fallait verrouiller certaines données afin que l utilisateur n endommage pas la base (en renommant un produit involontairement par exemple). Il à donc fallu scruter et éliminer les failles dans chaque formulaire. Ci dessous le formulaire permettant d enregistrer une commande 12

C. INTEGRATION DE LINUX DANS UN DOMAINE 2000 I. Introduction Le réseau du CNRS est un réseau hétérogène du point de vue des systèmes d exploitation. Des stations de travail Linux cohabitent avec des postes Windows 2000. Les systèmes Linux devenant de plus en plus répandus, le besoin d interopérabilité entre Linux et Windows est devenu une réelle nécessité. Actuellement, l authentification des utilisateurs Windows est gérée grâce à un domaine Active Directory W2K Server utilisant l authentification Kerberos et l annuaire ldap, et un contrôleur de domaine Linux administre les utilisateurs Linux. Un utilisateur disposant d un compte dans l annuaire Active Directory et d identifiants (login + mot de passe) dans le domaine W2K peut bénéficier d une authentification unique pour tout les services W2K disponibles dans le domaine. En contre partie, pour accéder à une serveur Linux, l utilisateur W2K doit s authentifier à nouveau pour chaque service étant donné que chaque service Linux requiert une authentification propre. De même, un utilisateur Linux doit se ré-authentifier pour chaque service W2K. Cela à pour conséquence une administration lourde : Il faut configurer les utilisateurs et leurs droits pour chaque environnement. La sécurité n est pas identique sur les deux systèmes. De plus, l utilisation de serveurs hétérogènes n est pas transparente pour un utilisateur W2K, qui doit se re-authentifier pour chaque serveur Linux et vice-versa. Il existe différentes méthodes pour résoudre cette problématique : Administrer tout les serveurs Linux à l aide d un contrôleur de domaine Kerberos tournant sur un poste Linux et utiliser l implémentation OpenSource de ldap (openldap) puis effectuer un trust (ou relation d approbation) entre le domaine Linux et W2K. Intégrer les machines Linux directement dans le domaine W2K en utilisant le package Service For Unix de Microsoft. Intégrer les machines Linux dans le domaine W2K en remplaçant les mécanismes propriétaires de Microsoft par des composants Opensource (openkerberos, openldap, samba, pam). Si la possibilité de disposer d un domaine distinct pour chaque type d environnement paraît séduisante, elle est toutefois envisageable uniquement avec un domaine Windows tournant sur NT4, étant donné que W2K ne permet plus de trust avec des domaines non W2K. 13

Utiliser le package Service For Unix est sans conteste la solution la plus efficace, mais est la seule non OpenSource. La solution pour intégrer un poste Linux dans un domaine W2K se basera donc sur une intégration OpenSource de tous les mécanismes de Microsoft. C est à dire : Authentification centralisée par Kerberos. Utilisation d openldap pour accéder à Active Directory. Utilisation des modules Pam pour centraliser des identifiants dans le cas d un utilisateur Linux. Utilisation de samba pour permettre une communication entre les postes Linux et Windows. Une documentation sur ces mécanismes d authentification est fournie en annexe (page 27). II. Mise en place d un réseau test Pour tester le fonctionnement de openldap, openkerberos et samba dans un réseau Windows 2000, un réseau test va être installé. Ce réseau sera composé de 3 machines : - Un serveur Windows 2000 Server - Un client Windows 2000 - Un client Linux Redhat 9 C est un réseau TCP/IP avec adressage manuel. Tous les postes sont reliés à un switch 10/100 3Com avec un câble RJ45 droit. Le nom de domaine choisi est stagiaire.com. 14

Schéma du réseau test : III. Installation de Windows 2000 Server La mise en place du domaine commence par l installation de Windows 2000 Server sur un des postes. Lors de l installation, la compatibilité avec les systèmes antérieurs à Windows 2000 est activée. Si le serveur n acceptait que des connections provenant de systèmes W2K, il serait impossible de se connecter avec Linux. Une fois l installation terminée et les pilotes du système installés, un interface permet de configurer le serveur selon son utilisation. Cet interface propose un assistant qui va installer automatiquement le serveur DNS, Active Directory, et le schéma de base du domaine. Un serveur DNS permet de faire le lien entre l adresse IP d un client, et son nom sur le domaine (ex : machine.domaine.fr). Ce composant de W2K Server est indispensable au fonctionnement d Active Directory. Un test peut-être réalisé en créant un utilisateur et en se connectant à partir de la station Windows 2000. 15

IV. Modification du schéma Active Directory La base de donnée Active Directory est basée sur le standard X.500. Cette norme définie la façon dont est structurée l arborescence de la base. Les objets (utilisateurs ou groupes) sont organisés de façon hiérarchisée et vont hériter leur propriétés d un certain nombre de classes, d une manière définie par le schéma. Ce type d organisation permet de résoudre le problème d informations dupliquées. Le schéma d origine permet seulement l enregistrement d informations relatives à des utilisateur Windows. Par exemple, l identifiant d un utilisateur Windows est de la forme utilisateur@domaine.com et est identifié comme l attribut samaccountname. De nouveaux attributs doivent être définis pour permettre de stocker les informations relatives aux utilisateurs Linux. Les principaux attributs Posix sont : l uid (n de l utilisateur), le gid (n de groupe), le shell (interface) et le home (emplacement du répertoire utilisateur). Ces nouveaux attributs peuvent être stockés dans un fichier LDIF (.ldf). L extension du schéma AD, peut être réalisée manuellement avec la commande ldifde i k f <schema.ldf> ou avec le plug-in AD4Unix. La deuxième solution est la plus simple. Avant de pouvoir ajouter des attributs au schéma, il faut autoriser sa modification. Cette étape peut-être réalisée grâce aux outils d administration et à la console (MMC). - Installer le pack «outils d administration» se trouvant sur le CD de Windows 2000 Server. ( /i386/adminpack.msi). Si les outils refusent de s installer, il faut relancer l installation, choisir «désinstaller tout les outils» puis recommencer. - Lancer la console (Démarrer, exécuter, MMC). Dans le menu [Console], aller dans [Ajouter/supprimer un composant enfichable], [Ajouter], et choisir Schéma Active Directory. Valider. Clic-droit sur Schéma Active Directory, [Maître d opérations], puis cocher «le schéma peut être modifié sur ce contrôleur de domaine». - Pour pouvoir récupérer la base en cas de problème, il est possible de faire une sauvegarde avec l Assistant sauvegarde. Il n est pas utile de sauvegarder tout les fichiers, seul l état du système est important. - Télécharger le plug-in AD4Unix : http://www.padl.com/download/mksadplugins.msi - Avant d installer AD4Unix, il est conseillé de configurer le système avec l emplacement «Anglais (US)». Ce réglage permet d éviter une incompatibilité de langage et peut être réalisé dans le panneau de configuration, icône options régionales. Cette option peut être redéfinie sur français une fois l installation terminée. - Exécuter le fichier d installation. Le programme demande si il faut étendre le schéma, répondre oui. Si aucun problème ne survient, le schéma intègre maintenant les attributs pour un utilisateur Linux. - Un icône à été rajouté dans le menu démarrer. Il permet de configurer AD4Unix. 16

Dans l onglet «Unix Extention Properties», ajouter le domaine (stagiaire.com pour le domaine test), et sélectionner «same server where connected» si il n y a qu un seul contrôleur sur le réseau. Si cette option n est pas sélectionnée, Windows gèle quand on modifie les données Linux d un utilisateur. La partie User s defaults permet de configurer les options qui seront appliquées lors de la création d un utilisateur Linux. Les variables système (%variable%) sont utilisées. On peut également entrer le shell et le répertoire home par défaut pour les nouveaux utilisateurs. L onglet «Unix Extensions Schema settings» permet de définir le type de schéma, et l onglet «Auto Fillout Plug-in settings» sert à renseigner d autres variables comme l adresse e-mail. V. Installation de la station Linux La distribution installée est une RedHat 9.0. Une fois l installation terminée, le mode console (runlevel 3) est activé par défaut dans le fichier /etc/inittab. Cela facilite la configuration du système. VI. Configuration de Kerberos La grande différence entre Windows 2000 et NT est le protocole d authentification utilisé : Kerberos au lieu de NTLM. Kerberos est un protocole d authentification qui fournit une sécurité supplémentaire grâce à l utilisation de mots de passes cryptés. 17

Ce protocole à une implémentation OpenSource : MIT Kerberos. Cette version peut être installée grâce au packages présents sur les CD de RedHat. - Installation de Kerberos : # rpm -Uvh krb5-libs*.rpm (CD 1) # rpm -Uvh krb5-workstation*.rpm (CD 2) # rpm -Uvh krb5-devel*.rpm (CD 2) - L adresse IP du serveur Kerberos (Contrôleur 2000 Server) est ajoutée au fichier hosts (relation @IP/NetBIOS/DNS). # vi /etc/hosts Il faut ajouter la ligne suivante dans ce fichier : 192.168.0.1 SRV2000 svr2000.stagiaire.com - Il faut maintenant spécifier quel serveur Kerberos doit interroger. L adresse de ce serveur doit pouvoir être résolue par DNS (faire le test avec ping serveur.domaine.com). Kerberos peut être configuré grâce au fichier krb5.conf # vi /etc/krb5.conf Par défaut, le domaine est example.com. Il faut donc remplacer example.com par le nom du domaine (dans ce cas : stagiaire.com). Attention, le respect des majuscules est important! Les paramètres à modifier sont : [libdefaults] default_realm = STAGIAIRE.COM realm correspond au domaine dns_lookup_kdc = true indique que le serveur Kerberos doit être cherché dans la base DNS. [realms] Les lignes ci-dessous définissent le domaine stagiaire.com STAGIAIRE.COM = { kdc = srv2000.stagiaire.com :88 admin_server = srv2000.stagiaire.com :749 correspond à l adresse et au ports du serveur 2000. Laisser les ports par défaut } default_domain = stagiaire.com spécifie que stagiaire.com est le domaine par défaut. 18

[domain_realm].stagiaire.com = STAGIAIRE.COM stagiaire.com = STAGIAIRE.COM - Test de Kerberos avec la commande kinit. # /usr/kerberos/bin/kinit administrateur Kerberos demande le mot de passe pour administrateur@stagiaire.com. Si le mot de passe est incorrect, il renvoie une erreur. Si il est juste, rien ne s affiche, mais administrateur@stagiaire.com dispose d un ticket Kerberos. Si Kerberos renvoie une erreur, il faut essayer de changer le mot de passe de l utilisateur administrateur. Cela résout parfois quelques problèmes. Les tickets permettent de s identifier auprès d une ressource Kerberos (donc du domaine AD) sans redonner de mot de passe. Par exemple, la commande smbclient //serveur/ressource k permet d utiliser ces tickets. On peut lister les tickets avec la commande /usr/kerberos/bin/klist. On obtient la liste des tickets en cours et leurs date d expiration. Le protocole Kerberos requiert que les horloges système soient synchronisées (5 minutes de différence maximum). Il est possible d utiliser un serveur de temps (sur le réseau local ou sur Internet) pour synchroniser les postes. VII. Configuration de Name Service Switch NSS fonctionne avec le principe des «maps». Les maps sont des bases de données contenant des informations utiles pour le système d exploitation. Par exemple : «passwd» contient des informations sur les utilisateurs, «group» des informations sur les groupes d utilisateurs, «hosts» des informations sur le DNS, et «service» les relations entre les services et les ports correspondants. NSS utilise ces modules pour trouver l information nécessaire quand il est interrogé. Les sources des maps et leur ordre de recherche sont spécifiés dans le fichier nsswitch.conf. Il va donc falloir configurer NSS pour qu il recherche les informations telles que les utilisateurs et les mots de passe dans la base Active Directory. NSS fonctionnera donc avec nss_ldap. - Ouvrir le fichier nsswitch.conf # vi /etc/nsswitch.conf 19

Rechercher et modifier les lignes suivantes : passwd : files ldap group : files ldap Ainsi, NSS va d abord demander aux fichiers locaux (/etc/passwd et /etc/group) et va ensuite rechercher les utilisateurs et les groupes dans la base Active Directory. Il est raisonnable de laisser NSS chercher dans les fichiers locaux. Ainsi, en cas de problème avec le réseau ou le serveur ldap, il est toujours possible d ouvrir une session localement. VIII. Configuration de ldap Il faut maintenant définir quel serveur ldap NSS va interroger. C est à cela que sert le fichier ldap.conf # vi /etc/ldap.conf Tout comme dans le fichier krb5.conf, le domaine par défaut est example.com, il faut donc le remplacer. host 192.168.0.1 L adresse IP du serveur Active Directory base dc=stagiaire,dc=com Le nom de domaine décomposé Les lignes suivantes doivent être activées (enlever le # au début de chaque ligne) binddn cn=ldap,cn=users,dc=stagiaire,dc=com scope sub nss map objectclass posixaccount User nss map attribute uid mssfuname nss map attribute uniquemember posixmember nss map attribute userpassword mssfupassword nss map attribute homedirectory mssfuhomedirectory nss map objectclass posixgroup Group Rajouter cette ligne, qui n est pas dans le fichier d origine : nss map attribute cn mssfuname pam login attribute mssfuname pam filter objectclass=user pam password ad Les paramètre nss map permettent de faire le lien entre le nom de l attribut dans la base ldap et l attribut Linux. 20

Pour accéder à la base Active Directory, NSS utilise un compte nommé «ldap». Sur le serveur 2000, créer un utilisateur nommé ldap, sans mot de passe. Il doit avoir, pour des raisons de sécurité, les propriétés suivantes : - L utilisateur appartient au groupe Invités - Le mot de passe n expire jamais - L utilisateur ne peut pas changer de mot de passe - Carte à puce nécessaire pour ouvrir une session interactive - Interdire les accès par Terminal Server Les deux dernières lignes empêche une personne malveillante de se connecter en utilisant ce compte. Il ne peut pas ouvrir de session localement (a moins que le réseau utilise une identification par carte à puce), ou par Terminal Server. Pour tester le fonctionnement de ldap et nss, il faut créer un utilisateur de test, puis demander la liste des utilisateurs. IX. Test de ldap Créer un utilisateur test sur le serveur 2000. Dans ses propriétés, un nouvel onglet, «Unix settings» est ajouté. C est l onglet ajouté par AD4Unix, qui permet de définir les propriétés de cet utilisateur sous Linux. 21

On retrouve les mêmes paramètres que dans la configuration du plug-in, et les identifiants comme UID et GID. Une fois cette utilisateur créé, il faut interroger la liste des utilisateurs à partir de la station Linux, et voir si l utilisateur test apparaît. # getent passwd Cette commande interroge NSS, qui consulte les fichiers locaux, puis interroge le serveur ldap. Les utilisateurs Active Directory se trouvent donc à la fin de la liste, avec leurs propriétés. X. Configurer PAM PAM (Pluggable Authentification Modules) est un moyen d authentifier les utilisateurs pour tout les programmes du système. PAM est configuré avec des fichiers situés dans le répertoire /etc/pam.d. Chaque fichier contenu dans ce répertoire défini le mécanisme d authentification utilisé par un service. Les principaux services sont : «login» qui permet d ouvrir une session, «ftp» le serveur ftp, «chfn» pour changer le nom d utilisateur et «xdm» le gestionnaire de X Server. Dans un fichier de service PAM, quatre tâches sont définies : auth, account, password et session. Des modules permettent de réaliser chacune des tâches. Un interface permet de réaliser facilement l assignation de ses modules : authconfig. # authconfig On peut choisir d utiliser NIS, LDAP ou Hesiod pour les informations utilisateurs. Cocher seulement la case [Utiliser LDAP]. Si la configuration à bien été faite, les champs serveur et DN de base sont déjà remplis. Certains didacticiels recommandent de cocher [Informations de cache], mais des problèmes lors d un changement de mot de passe ou d une des propriétés de l utilisateur peuvent survenir. Aller à la page suivante, et cocher Utiliser Kerberos 5. Là encore, les paramètres du serveur doivent déjà être remplis. Valider par ok. Maintenant, tous les utilisateurs du domaine Active Directory peuvent ouvrir une session sur la station de travail Linux avec leurs identifiants : Essai d ouverture de session avec l utilisateur de test. (Un message peut s afficher si le répertoire Home spécifié dans Unix settings n existe pas sur la station.) Note : Si un utilisateur change son mot de passe sous Linux avec la commande passwd, son mot de passe et mis à jour dans la base ldap. 22

XI. Installation d un serveur de fichiers Samba Après avoir configuré la station Linux pour quelle s intègre dans un environnement Windows contrôlé par Active Directory, il serait intéressant de la transformer en serveur de fichiers Samba. La gestion des utilisateurs devra être réalisée avec l annuaire ldap, donc il n y aura pas d utilisateurs Samba à créer. Lorsqu un utilisateur ouvrira sa session sur un poste Windows, il faudra qu un lecteur réseau R: soit automatiquement créé. Ce lecteur correspondra au répertoire personnel de l utilisateur sur la station Linux. Si l utilisateur ne dispose pas de répertoire personnel, il devra être crée. - Installation de Samba. Seule la version 3 permet d utiliser les tickets Kerberos. Il est donc conseillé de télécharger la dernière version sur www.samba.org. Le fichier téléchargé est un rpm de la version 3.0.0-2. # rpm Uvh samba-3.0.0-2_rh9.i386.rpm - Samba doit maintenant être configuré pour utiliser la base ldap comme base de données utilisateur. Ce paramètre est situé dans le fichier smb.conf #vi /etc/samba/smb.conf Le fichier original contient un certain nombre de commentaires (lignes bleues commençant par un #). Il vaut mieux enlever ceux dont on connaît déjà la signification afin d éclaircir un peu le fichier. Voici le fichier final (seules les lignes en rouge ont été modifiées). Les lignes désactivées ne sont pas affichées. #======================== Global ================================== [global] workgroup = STAGIAIRE Groupe de travail de la machine server string = Serveur samba Description netbios name = LINUX Le nom NetBIOS du poste hosts allow = 192.168.0. 127.0. Cette ligne spécifie quelles adresses IP pourront accéder à la machine. Ici toutes celle du réseau 192.168.0.0 log file = /var/log/samba/log.%m max log size = 50 Paramètres du fichier journal security = ADS C est cette ligne qui spécifie que Samba doit utiliser Active Directory comme base de données utilisateur. 23

realm = STAGIAIRE.COM Nom du domaine Active Directory password server = srv2000.stagiaire.com Nom du serveur Active Directory guest account = invité Spécifie le nom de l utilisateur invité dans ldap allow trusted domains = yes nt acl support = yes encrypt passwords = yes Indique que le système doit envoyer les mots de passe cryptés smb passwd file = /etc/samba/smbpasswd unix password sync = Yes passwd program = /usr/bin/passwd %u pam password change = yes username map = /etc/samba/smbusers obey pam restrictions = yes Tout ces paramètres concernent les mots de passe socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 local master = no os level = 33 domain master = no preferred master = no Lignes relatives au domaine. On spécifie que le serveur samba n est pas contrôleur principal du domaine dns proxy = no preserve case = no short preserve case = no default case = lower case sensitive = no Permet de spécifier si le système doit faire la différence entre majuscules et minuscules #============================ Partages ============================ [homes] Ce partage correspondra au répertoire de l utilisateur qui sera mappé au lecteur réseau R: comment = Répertoire personnel path = /home/partages/%u Le chemin du répertoire sur le disque. La variable %U correspond au nom de l utilisateur connecté browseable = no Spécifie que le partage n apparaîtra pas dans la liste des partages de la station. C est l équivalent du $ de Windows. writable = yes Autorise l écriture valid users = %S Contrôle les utilisateurs qui se connectent. %S représente les utilisateurs connectés au Samba. force create mode = 0764 Les permissions par défaut sur les fichiers créés par le samba (en octal) directory mode = 0775 Gère les droits des répertoires par rapport à aux droits Windows 24