1 INSTALLATION D UN SERVEUR DE FICHIERS SAMBA SOUS LINUX REDHAT
2 PLAN : - introduction - installation du serveur sous Linux Redhat - présentation de Samba - configuration des clients Windows - installation et configuration de Samba - vérification des partages - outils graphiques de configuration - gestion des quotas d occupation du disque - gestion des sauvegardes - présentation de la nouvelle installation aux utilisateurs - mise en production et tests - audit et prise en compte des informations et difficultés rencontrées par les utilisateurs - optimisation et pérennisation de la gestion de l outil pour l administrateur INTRODUCTION : Etat des lieux : - configuration de type «poste à poste» pour le partage de fichiers et d imprimantes (*) - gestion des documents et sauvegardes en «local» à la charge de chaque utilisateur - pas d accès sécurisé aux ressources partagées Objectifs : - mettre en place une gestion centralisée des fichiers - gérer les sauvegardes - sécuriser l accès aux ressources partagées par l utilisation d un login et d un mot de passe - instaurer une politique de gestion de l espace disque en fonction des besoins - alléger la charge réseau par une réorganisation de la topologie solution proposée : - mise en place d un serveur de fichiers Samba Linux pour un sous réseau de 12 machines sous XP Home et Windows 98 (*) Rappel : l accès à l Internet est assuré par un serveur SLIS et un serveur Cube France Télécom
3 INSTALLATION DU SERVEUR : Recherche d une solution et choix de la distribution Linux : Au départ, différentes options ont été envisagées pour la mise en place du serveur de fichiers. Dans un premier temps, la présence d un serveur Windows 2003 utilisé comme serveur d antivirus a fait émerger l hypothèse de la création d un domaine Microsoft : - mise en place d un contrôleur de domaine avec gestion des utilisateurs et des ressources par Active Directory - création de profils itinérants - gestion centralisée des fichiers - définition de stratégies par la mise en place de GPO. Cette solution n a pas été retenue pour 2 raisons : - ce projet fait partie des évolutions futures prévues par la cellule informatique de Nantes - les O.S installés aujourd hui sur les postes clients ne sont pas adaptés à la mise en place d un domaine. Une migration vers XP Pro sera nécessaire pour le déploiement. La prise en compte de l existant et des contraintes a fait pencher la balance en faveur d une solution Linux. L alternative Samba s est naturellement imposée pour les raisons suivantes : - solution éprouvée - fiabilité du système d exploitation - possibilité d installation sur une machine de base sans grever lourdement les ressources système - gratuité La solution globale définie, il restait à arrêter définitivement le choix des outils à mettre en œuvre. Là aussi, plusieurs alternatives se sont présentées : - Pingoo - Samba Edu - Une autre distribution du monde Linux
4 Pingoo Développé par le Centre de Ressources Informatiques de Haute Savoie dès 1997, Pingoo est un ensemble de logiciels libres basé sur une distribution Debian. Conçu pour les établissements scolaires, il regroupe plusieurs types de serveurs qui peuvent être utilisés conjointement ou séparément : - Serveur de communication accès Internet, serveur de messagerie, proxy - Serveur «IGWan» (Internet Gateway to Wan) routeur ADSL, firewall et VPN - Serveur de fichiers Samba Samba Edu3 Samba Edu est un serveur de fichiers sous Linux/Samba développé par plusieurs académies, dont celle de Caen. Samba Edu est une alternative crédible à la mise en place d un domaine Microsoft : Pour les postes clients : Pour les serveurs : - Prise en charge des clients Windows 9x/2000/XP et Linux - Distribution centralisée des raccourcis (bureau et menu «Démarrer» Windows) - Interface de configuration distante de la base de registre des clients (9x/2000/XP) - Gestion de l'environnement par utilisateur, groupe, machine ou parc de machines. - Mise en place d'espaces personnels, et d'espaces partagés prédéfinis - Possibilité de créer de nouvelles ressources avec droits délégués - Gestion fine des droits au niveau du système de fichiers - Création automatique de ressources Classes avec droits prédéfinis - Possibilité de déployer des fichiers dans les espaces personnels des utilisateurs
5 Pour l administration de Samba Edu : - Possibilité de délégation de droits - Interface de création de sauvegardes sur bande - Mise à jour par l'interface web - Interface complète de gestion de l annuaire LDAP - Importation/exportation totale ou partielle de l'annuaire - Monitoring des ressources système et de l'occupation mémoire. - Affichage pour l'administrateur des connexions Samba en cours et passées J ai eu la possibilité de tester ces 2 excellents produits sur un serveur dédiés à des tests. Ils n ont cependant pas été retenus pour la raison suivante : Pingoo et Samba Edu3 ont été développés pour répondre aux besoins spécifiques des établissements scolaires. Ils sont très adaptés à la gestion de grands réseaux et leur administration est axée sur l existence de classes, d élèves, d enseignants, de personnels d administratifs, etc. Les besoins du CDDP ne m ont pas semblés correspondre aux prestations offertes. Après concertation avec Monsieur Parasie, le compromis Linux /samba plus léger, s est imposé comme le plus adapté au projet de déploiement du serveur de fichiers. Il restait à tester et à retenir une distribution pour la machine, un DELL Pentium IV modifié pour une utilisation serveur : - remplacement du disque de 40 Go par un d une capacité de 160 - augmentation de la RAM à hauteur de 1Go
6 Test des distributions : Au départ, j ai retenu «Ubuntu» est un ancien mot africain qui signifie «humanité aux autres» et «Je suis ce que je suis grâce à ce que nous sommes tous» Cette distribution sud-africaine, développée par la société Canonical, est construite sur Debian. Elle se distingue surtout par la simplicité de sa procédure d installation et sa prise en main accessible. Elle conserve cependant les atouts de la Debian (stabilité et sécurité) avec en prime une reconnaissance très performante du matériel. L installation sur le Dell s est déroulée sans difficulté, avec une reconnaissance parfaite du matériel (carte mère Intel avec chipsets graphique, son et réseau intégrés) J ai malgré tout rencontré des dysfonctionnements, notamment avec Swat, l utilitaire d administration de Samba. Devant la persistance des problèmes et après plusieurs installations, j ai abandonné Ubuntu au profit de la Debian Woody J ai malheureusement rencontré des problèmes avec cette version ; problèmes liés à détection des périphériques du Dell, en particulier la carte graphique pour laquelle aucun pilote n était disponible. Dans l impossibilité d utiliser correctement le serveur graphique de la Debian avec un pilote générique, j ai abandonné cette solution. J ai arrêté mon choix sur la distribution RedHat que je pense mieux maîtriser. Nous avons en effet travaillé sur la version 8 durant la formation de la CCI.
7 Installation de la RedHat 9 : L accès préalable au setup permet de modifier l ordre de démarrage. Le CDRom est choisi comme premier périphérique de boot. L installation débute par le choix du langage
8 Puis par celui du clavier
9 Configuration de la souris Par défaut RedHat reconnaît les souris de type PS/2, ce qui simplifie l installation par rapport à d autres distributions où la navigation dans les menus est assurée par les flèches de direction.
10 Ce menu apparaît si une installation antérieure est détectée. L utilisateur a ainsi la possibilité de mettre son système à niveau par l installation de logiciels supplémentaires ou bien de migrer vers une distribution plus récente comme Fedora Core. Une nouvelle installation impliquera éventuellement la perte de données existantes.
11 Sélection de la configuration : RedHat permet de choisir la configuration la plus adaptée à l objectif poursuivi. 4 choix sont proposés : - ordinateur personnel pour une utilisation familiale ou bureautique - station de travail qui offre en supplément des outils de développement et d administration système - serveur qui propose toutes les fonctionnalités nécessaires à la mise en place d un serveur de messagerie, de fichiers, serveur Web,etc. - personnalisée qui laisse à l utilisateur la liberté du choix des paquetages à installer et qui adapte ainsi la configuration à ses besoins spécifiques. Cette option a été choisie pour la machine du CDDP car elle permet d alléger le système. Par exemple, seule l option «serveur de fichiers» a été retenue parmi les différentes proposées.
12 Partionnement : Pour l étape essentielle de la création des partions, Linux RedHat propose deux possibilités : - le partionnement automatique (avec différentes options de conservation ou de destruction des partitions et d utilisation de l espace libre) - le partionnement manuel par l utilitaire «Disk Druid» spécifique à cette distribution.
13 L installation manuelle a été choisie pour la création du serveur. Elle permet de garder la main sur le découpage du disque et offre plus grande souplesse, par exemple pour une machine en comprenant plusieurs Représentation graphique du disque dur Boutons de contrôle Présentation des partitions créées
14 Rappel sur le système de fichiers Linux : Le système de fichiers constitue la base de toutes les données du système Linux. Sous cet O.S, l espace fichier visible pour les utilisateurs est fondé sur une arborescence dont la racine se situe au sommet. Les répertoires et les fichiers se trouvent dans des branches au dessous de la racine. / Exemple d arborescence /sbin /home /usr /etc /lib /var Pour assurer la compatibilité et la portabilité, les systèmes Linux respectent la norme FHS (File Hierarchy Standard) / la racine contient les répertoires principaux /bin contient des exécutables essentiels au système, par exemple, les commandes ls, rm, cp, chmod /boot contient les fichiers qui permettent le démarrage de Linux /dev contient les points d'entrée des périphériques /etc contient les commandes et les fichiers de configuration ( passwd, group, inittab, lilo.conf, smb.conf ) Des sous répertoires existent dans /etc ( par exemple Samba) /etc/opt contient les fichiers de configuration spécifiques aux applications installés dans /opt /home répertoire personnel des utilisateurs /lib contient des bibliothèques partagées essentielles au système lors du démarrage /mnt contient les points de montage des partitions temporaires (cd-rom, disquette,...) /opt contient des packages d'applications supplémentaires /root répertoire de l'administrateur root /sbin contient les binaires système essentiels (par exemple la commande useradd) /tmp contient les fichiers temporaires /usr hiérarchie secondaire /usr/local /usr/sbin /var contient les données relatives aux programmes installés sur la machine locale par root contient les fichiers binaires non essentiels au système réservés à l'administrateur système contient des données variables
15 Disk Druid : La fenêtre graphique de Disk Druid représente visuellement le découpage des partitions sur le disque. Le disque hda comprend 3 partitions : hda1,hda2,hda3 Sous Linux et Unix, à la différence de Windows, il n existe pas de lettres pour représenter le disque ou la partition comme C :, D :, etc. Linux identifie et organise les disques de la façon suivante : pour les IDE, préfixe «hd» suivi par une lettre qui varie suivant le disque ou la partition - hda pour le disque maître sur le 1 er contrôleur IDE - hdb pour le disque esclave sur le 2 ème contrôleur IDE - hdc pour le disque maître sur le 2 ème contrôleur IDE - hdd pour le disque esclave sur le 2 ème contrôleur IDE Les lecteurs de CDRom apparaissent avec la même appellation que les disques. Les disques SCSI sont pris en charge de la même façon, seule l identification est différente : «sd». Les périphériques de stockage externes (disques durs externes, clés USB,etc.) sont aussi reconnus par le préfixe «sd» Les partitions sont identifiées par le nom du disque dur suivi d un chiffre de numérotation : hda1,hdb3,etc. Sous Unix/Linux, les partitions sont attachées à des répertoires de l'arborescence, ou «points de montage». Un point de montage est un simple répertoire vide au départ (situé de préférence dans le répertoire /mnt). Une fois monté, il représente le contenu de la partition. Les opérations de montage et de démontage sont effectuées par les commandes mount et umount.
16 Les montages pérennes sont créés par la modification du fichier «fstab» qui se trouve dans le répertoire «/etc» Exemple de montage d une clé USB : 1. création d un répertoire dans /mnt # mkdir /mnt/usbkey (en chemin absolu) 2. création du point de montage # mount /dev/sda1 /mnt/usbkey Les opérations sur les partitions sont exécutées grâce au boutons de contrôle : Création d une nouvelle partition Suppression d une partition Configuration pour la mise en place d un système RAID Permet de modifier les attributs d une partition Fait revenir Disk Druid à l état initial. Tous les changements sont abandonnés Création d un disque dynamique
17 Cette fenêtre du menu donne des informations sur le partionnement - disque concerné et partitions (hda1,hda2 ) - point de montage (/, /home ) - type de fichiers (ext2, ext3, vfat ) - statut du formatage (le caractère indique que la partition sera formatée) - taille en Mo - Numéro de début et numéro de fin du cylindre En général, 3 partitions sont nécessaires dans le cas d un seul disque. (une 4 ème supplémentaire, peut-être envisagée pour stocker les images disques de sauvegarde créées avec un logiciel comme «System Rescue») - une partition / (racine) pour les fichiers systèmes (2 ou 3Go suivant la quantité de logiciels installés) - une swap (pour environ 1 Go) La taille du fichier d échange peut varier en fonction de la quantité de RAM du système - une partition /home qui contiendra les fichiers des utilisateurs Dans le cas du serveur du CDDP, une partition supplémentaire «/samba» a été définie pour répondre à l augmentation des besoins des utilisateurs (création de nouveaux répertoires)
18 Le bouton de la barre de contrôle lance le menu suivant : Choix du type de fichiers (ext3 par défaut) La création de la Swap est également faite ici Choix du point de montage Disques présents Permet de choisir la taille : - fixée - jusqu à X Mo maximum - remplissage de tout l espace disponible Taille (100 Mo par défaut) Création d un partition primaire (cas le plus fréquent sous Linux) et vérification des secteurs défectueux ( elle augmente sensiblement la durée de l installation
19 Configuration du chargeur de démarrage GRUB (Grand Unified Bootloader) est un chargeur de démarrage à l instar de LILO. Le «chargeur» est le premier logiciel qui s exécute après le setup quand l ordinateur à booté. Il charge le Kernel de l O.S et lui transfère le contrôle. Le noyau à son tour, initialise le reste du système d exploitation. GNU/GRUB est un chargeur très puissant qui peut démarrer une grande variété de systèmes d'exploitation libres et propriétaires.
20 L option permet d installer le chargeur dans le Master Boot Record ou sur le premier secteur de la partition root : Bloc de démarrage maître Le bloc de démarrage maître est l'emplacement recommandé pour installer le chargeur, à moins qu'il ne démarre déjà celui d un autre O.S. Le MBR est une zone spéciale du disque automatiquement chargée par le BIOS de l ordinateur. C'est le premier point à partir duquel le chargeur de démarrage peut prendre le contrôle du processus de démarrage. S il est installé dans le MBR, une invite GRUB (ou LILO) s'affiche. Il est possible ensuite de démarrer RedHat Linux, ou tout autre système d'exploitation pour lequel le chargeur est configuré. Premier secteur de la partition root Cette option est recommandée s il existe déjà un autre chargeur de démarrage sur le système (exemple : gestionnaire de démarrage de OS/2) Un disquette de démarrage peut par ailleurs être utilisée si aucun chargeur n est installé.
21 Configuration réseau Choix de la, ou des cartes à activer au démarrage Choix du nom d hôte Saisie de l adresse de la passerelle et des DNS Le mode DHCP est l option par défaut ouvre le menu de configuration de l interface réseau Saisie de l adresse IP et du masque de sousréseau
22 Configuration du firewall RedHat propose plusieurs options pour le paramétrage du firewall. L option «aucun pare-feu» a été choisie pour le serveur Samba car il n est pas directement relié à l Internet. Un serveur de communication Cube gère en effet les accès au Wan (firewall et NAT) WAN Cube F.T SERVEUR SAMBA - Firewall - Network Adress Translation LAN
23 Choix de langages supplémentaires à installer et configuration du fuseau horaire
24 Saisie du mot de passe du superutilisateur RedHat 9 impose un minimum de 6 caractères pour le mot de passe «root» Il doit être saisi 2 fois.
25 Authentification des utilisateurs Md5 est un algorithme qui permet d'encoder les mots de passe. Cet algorithme non réversible est basé sur les nombres premiers. Les mots de passe sont stockés dans le fichier /etc/passwd. Ce fichier est accessible en lecture par n'importe quel utilisateur du système et même si les mots de passe contenus sont cryptés, le codage n est pas inviolable, à fortiori si le mot de passe est mal choisi (trop court ou présent dans un dictionnaire). Il n'est donc pas souhaitable de les conserver ici. L alternative consiste à utiliser les shadow passwords Les mots de passe ne sont plus alors cryptés dans le fichier /etc/passwd mais dans le fichier /etc/shadow. Ce fichier n'est accessible que par l'utilisateur root. NIS est l'abréviation de Network Information Service (Service d'information Réseau). Son but est de fournir des informations qui doivent être connues par les toutes les machines connectées sur l'ensemble du réseau. Les informations susceptibles d'être distribuées par NIS sont: - noms de login, mots de passe, répertoires d'ouverture (/etc/passwd) - renseignements sur les groupes d utilisateurs, etc.
26 LDAP (Lightweight Directory Access Protocol) peut-être utilisé pour les authentifications. LDAP est un protocole standard permettant de gérer des annuaires, autrement dit d'accéder à des bases d'informations sur les utilisateurs d'un réseau par l'intermédiaire de TCP/IP. Kerberos est un protocole réseau qui permet aux utilisateurs de s'authentifier par l'intermédiaire d'un serveur sécurisé. Des services comme l'ouverture de session et la copie à distance, la copie sécurisée de fichiers entre systèmes et autres fonctionnalités sensibles deviennent ainsi plus sûres et contrôlables. SMB Authentification s appuie sur PAM afin d utiliser le serveur pour identifier les utilisateurs.pam est un système de bibliothèques qui gère les tâches d'authentification. Sélection des packages à installer RedHat propose un choix d installation par défaut ou personnalisé
27 Sélection personnalisée des packages
28 Installation des packages Jauge d installation Fenêtre d état Une fois que les problèmes éventuels des dépendances sont résolus, le programme d'installation formate toutes les partitions sélectionnées. Ensuite commence l installation des packages. La fenêtre d'état contient différentes informations : - «Total» : nombre total de packages à installer - «Effectué» : nombre de packages déjà installés - «Restant» : nombre de packages restant à installer
29 Création d une disquette de boot : Cette disquette permet de lancer le système en cas de défaillance du chargeur de démarrage
30 Configuration de la carte vidéo et de la résolution du moniteur RedHat utilise XFree86 comme système X Window.
31 L interface graphique a été conservée sur le serveur du CDDP pour simplifier le travail de l administrateur. ( la gestion en «local» reste cependant exceptionnelle, l essentiel de l administration se faisant à distance grâce à des utilitaires dédiés ) XFree n est pas activé par défaut car le fichier «inittab» a été modifié pour que la machine démarre au niveau 3 ( «inittab» décrit l ensemble des processus qui doivent être lancés au démarrage ) L administrateur peut si le besoin s en fait sentir, activer le serveur graphique par la commande : # init 5 et revenir ensuite au niveau 3 par : # init 3
32 Extrait du fichier «inittab» # inittab This file describes how the INIT process should set up # the system in a certain run-level. # # # Default runlevel. The runlevels used by RHS are: # 0 - halt (Do NOT set initdefault to this) # 1 - Single user mode # 2 - Multiuser, without NFS (The same as 3, if you do not have networking) # 3 - Full multiuser mode # 4 - unused # 5 - X11 # 6 - reboot (Do NOT set initdefault to this) # id:5:initdefault: Le niveau de démarrage est modifié ici Un niveau de démarrage (ou «runlevel» ) correspond à un état de GNU/Linux. Chaque état est défini par un certain nombre de services qui s'exécutent à chaque niveau. Il existe par convention 7 niveaux de démarrage : 0.Arrêt 1.Système mono-tâche, mono-utilisateur 2.Système multi-tâches, multi-utilisateurs, pas de services réseau 3.Système multi-tâches, multi-utilisateurs, services réseau activés 4.Niveau réservé à un usage local / est peut utilisé 5.Niveau 3 + démarrage en mode graphique On peut connaître le niveau de démarrage de la machine par la commande : # runlevel Fin de l installation de la RedHat 9
33 Présentation de Samba : Description générale Il existe des protocoles comme FTP qui permettent le transfert de fichiers à travers un réseau constitué de postes de types et de systèmes d'exploitation différents. Ces protocoles, basés sur des commandes (get, put ), n offrent pas une grande souplesse car les manipulations sont souvent mal adaptées à un contexte classique d utilisation ( ex : réseau administratif d une entreprise) Les réseaux Microsoft de type «Workgroup» offrent la possibilité de partager des fichiers par l intermédiaire du voisinage réseau. Cette topologie «Peer to Peer» n autorise pas cependant le partage avec d autres machines fonctionnant sous des OS différents. La solution libre Samba, sous licence GNU GPL, permet de contourner ce problème. Samba permet en outre de définir des niveaux d'accès très fins sur les ressources. Ces autorisations sont très proches de celles proposées par un serveur Windows 2000 ou 2003. Samba est donc une alternative économique et fiable à la mise en service d un serveur Microsoft. Le protocole SMB Samba est l'implémentation sous Linux, du protocole SMB de partage de fichiers utilisé sur les réseaux Microsoft. Il est décrit par la RFC 1340. SMB est l'abréviation de «Server Message Block» Il s agit d un protocole orienté client/serveur qui travaille sur la base de requêtes et de réponses (en Anglais «request» et «response» ) Un Client envoie des requêtes SMB à l'aide de NetBIOS vers un serveur afin d utiliser des ressources : imprimantes, fichiers, etc. SMB request Client Windows SMB response Serveur Samba
34 Samba s exécute de manière totalement «transparente» pour les clients Windows et donne l illusion parfaite de la présence d un serveur de fichiers Microsoft. Les clients pour les réseaux Microsoft deviennent en quelque sorte des clients Linux. Bien entendu, Samba permet la cohabitation sur le même sous-réseau de machines fonctionnant sous d autres O.S. Fonctionnement de SMB SMB a été mis au point par Microsoft en 1987 sur la base du concept IBM «NetBios» (Network Basic Input/Ouput System ).SMB s appuie sur ce protocole ainsi que sur TCP/IP. L'intérêt de TCP/IP provient du fait qu'il a été très largement adopté. TCP/IP est en effet implémenté sur la plupart des systèmes d'exploitation (Unix, Linux, MacOS, OS/2...) TCP/IP APPLICATIONS SMB NETBIOS NETBEUI PILOTE RESEAU IPX/SPX Historique du projet SAMBA Le projet Samba a été initié dès 1991 puis développé par l Australien Andrew Tridgell. Celui-ci lui donna un nom voisin de SMB, en interrogeant un dictionnaire Unix par la commande grep : # grep " s.*m.*b" /usr/dict/words Il obtint le mot Samba en retour.
35 Architecture de Samba Samba est constitué d'un serveur et d'un client plus quelques outils (services pratiques, test de la configuration) le serveur est constitué de deux démons (services) : - smbd, le noyau du serveur qui gère les connexions des clients et tout ce qui est lié à la sécurité: fournit les services d'authentification et d'accès aux ressources. - nmbd, serveur de nom NetBios qui permet l affichage des machines dans le voisinage réseau Ces 2 services doivent être impérativement lancés pour que le serveur Samba fonctionne. le client : - smbclient est un client pour Linux. Il fournit une interface permettant de transférer des fichiers et d accéder à des imprimantes. Un utilitaire comme «testparm» permet de vérifier la syntaxe du fichier de configuration «smb.conf» «smbtar» permet d effectuer le transfert d une archive tar. Résumé des fonctionnalités Samba autorise en version serveur standard : - le partage de fichiers se trouvant sur un serveur Unix/Linux - l utilisation pour les clients des imprimantes gérées par le serveur - le contrôle des accès aux ressources par l authentification des utilisateurs soit nativement (fichier «smbpasswd» ) soit en faisant appel à une source externe comme LDAP (protocole d annuaire sur TCP/IP) - peut assurer la fonction de PDC ( «Primary Domain Controler» ) Samba autorise en version client standard : - la connexion de machines Unix/Linux à une ressource partagée par le protocole SMB
36 Toutes les distributions Linux sont équipées d une version de Samba. Le site www.samba.org propose les sources ainsi que les binaires en téléchargement. La dernière version disponible est la 3.0.1.4. Il existe également une version spéciale appelée «Samba-tng». Cette version alpha diffère sur plusieurs points dont : support avancé pour LDAP, contrôleur de domaine Windows, etc. Elle ne possède cependant pas la stabilité de la 3.0 et certaines fonctionnalités ne sont pas implémentées. INSTALLATION & CONFIGURATION DE SAMBA : Installation de Samba L installation du site du CDDP ne concerne que le serveur dans la mesure où aucun client Linux n est présent sur le réseau. Clients : Les machines clientes Windows ne nécessitent aucune modification. Deux vérifications sont par contre importantes : - présence des protocoles TCP/IP et NetBios - le groupe de travail doit être le même pour tous les postes 1. cliquer sur Démarrer > Paramètres >Connexions réseau et accès à distance
37 2. clic doit sur Connexion au réseau local et Propriétés La boîte de dialogue Propriétés de Connexion au réseau local apparaît Vérification de la présence des protocoles NetBios et TCP/IP
38 Les machines doivent appartenir au même groupe de travail pour se voir. Nom par défaut du groupe de travail Le nom du workgroup concerné est CDDP. La modification prend effet après le reboot.
39 Le nom du workgroup est précisé ici. Sa modification nécessite de relancer le poste.
40 Serveur : La commande suivante permet de vérifier si une version de Samba est déjà installée : # rpm qa grep samba Si ce n est pas le cas, les RPM ou les sources (tarball) seront téléchargés depuis l Internet. Les RPM seront utilisés pour la RedHat. Installation des RPM samba-server et samba-common : # rpm ivh samba-server-2.2.7a-8.9.0.i386.rpm # rpm ivh samba-common-2.2.7a-8.9.0.i386.rpm Pour satisfaire les dépendances, les paquetages suivants vont être installés (14 Mo): samba-common-2.2.7a-8.9.0.i386.rpm samba-server-2.2.7a-8.9.0.i386.rpm Est-ce correct? (O/n) o Préparation... ################################################## 1:samba-common ################################################## 2:samba-server ################################################## Lancement de Samba L installation terminée, le service Samba doit être démarré. Plusieurs alternatives sont possibles pour le lancement : ou # /etc/rc.d/init.d/smb start # service smb start Lancement du service smbd : [ OK ] Lancement du service nmbd : [ OK ]
41 La commande suivante permet de vérifier l état des démons smbd et nmbd : # service smb status smbd (pid 970) is running... nmbd (pid 972) is running... Tout processus est connu du système par son numéro de PID (Process ID) Automatisation du lancement de Samba au démarrage du serveur La commande suivante indique les niveaux de fonctionnement auxquels le service est démarré : # chkconfig --list smb smb 0:Arrêt 1:Arrêt 2:Arrêt 3:Démarré 4:Arrêt 5:Arrêt 6:Arrêt La configuration peut-être modifiée par : # chkconfig --level 345 smb on Dans ce cas, Samba est démarré aux niveaux 3, 4 et 5, ce qui correspond aux niveaux standards de fonctionnement des services réseau. Une autre possibilité est de modifier des liens présents dans les répertoires /etc/rc3.d/ et /etc/rc5.d/ La commande suivante permet d afficher le contenu du répertoire : # ll /etc/rc3.d
42 Kill ou Start liens lrwxrwxrwx 1 root root 13 13:11 S10network ->../init.d/network lrwxrwxrwx 1 root root 16 13:11 S30syslog ->../init.d/syslog lrwxrwxrwx 1 root root 14 13:32 S40cron ->../init.d/cron lrwxrwxrwx 1 root root 14 13:11 S50inet ->../init.d/inet lrwxrwxrwx 1 root root 13 13:11 S60nfs ->../init.d/nfs lrwxrwxrwx 1 root root 15 13:11 S70nfsfs ->../init.d/nfsfs lrwxrwxrwx 1 root root 18 13:11 S75keytable ->../init.d/keytable lrwxrwxrwx 1 root root 23 13:11 S80sendmail../init.d/sendmail.init lrwxrwxrwx 1 root root 18 13:11 S90lpd ->../init.d/lpd.init lrwxrwxrwx 1 root root 11 13:11 S99local ->../rc.local lrwxrwxrwx 1 root root 11 13:11 K35smb ->../init.d/samba Les répertoires rc0.d/ à rc6.d/ contiennent des liens vers les scripts du répertoire init.d Le nom des liens commence par un S ou un K suivi d un nombre. Le S indique que l on démarre le script en question ( Start ) et le K signifie qu'on l'arrête ( Kill ). Le nombre associé sert uniquement à ordonner le lancement des scripts. Init.d démarrera les services dans l'ordre où ils apparaissent. Modification pour lancer automatiquement un service au démarrage du serveur : rc3.d# mv K35smb S35smb La commande Linux mv permet de renommer un fichier en conservant son emplacement. Cette commande permet également de le déplacer d un répertoire à un autre. La commande ll permet de vérifier la modification (K S)
43 Préparation du serveur / Création des comptes utilisateurs et des groupes Une fois l installation terminée, une étape intermédiaire de création des comptes et des groupes est nécessaire avant de poursuivre la configuration de Samba. Préalablement, un audit des besoins a été réalisé. Demande des utilisateurs du CDDP : Impératifs de gestion : - création d un espace disque personnel pour chaque salarié plus un compte «invité» (12) - création de partages communs pour les utilisateurs des différents secteurs (7) - création d un partage commun à tout le personnel (1) - la directrice est l administrateur ont accès à tous les répertoires sauf les personnels Création des comptes utilisateurs : Les 12 comptes ont été créés par la commande useradd : # useradd u 500 -g 100 d /home/christian christian uid gid Localisation du répertoire utilisateur nom de l utilisateur crée - u = UID Le User IDentifier est un nombre qui permet d identifier un utilisateur dans un système multi-utilisateur (par exemple pour lui associer ses processus ) - g = GID Le Group IDentifier est un nombre qui permet d identifier un groupe -d L option -d permet la création du répertoire du nouvel utilisateur. Il est situé par défaut dans /home
44 Il existe une autre option qui permet l attribution d un bash à l utilisateur -s /bin/bash Dans le cas qui nous intéresse, elle n a pas été utilisée car les usagers ne sont autorisés à se connecter au serveur autrement que par Samba Le compte est activé par la commande : # passwd nom_du_compte L activation est facultative ici. Elle dépend de la stratégie choisie pour la création des partages et a une incidence sur smb.conf, le fichier de configuration de Samba : - soit les utilisateurs se connectent directement à leur compte Linux - soit des partages spéciaux Samba sont créés dans smb.conf Cette dernière option a été retenue pour des raisons de sécurité. Elle est plus fastidieuse en mettre en place, mais offre plus de souplesse pour l attribution des permissions d accès. Les informations sur les utilisateurs sont stockées dans le fichier /etc/passwd Ce fichier permet de répertorier les utilisateurs, chacune de ses lignes possède le format suivant: nom_du_compte : mot_de_passe crypté : uid : gid : commentaire : répertoire : bash
45 Fichier /etc/passwd du serveur du CDDP root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: Création des groupes : uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:ftp User:/var/ftp:/sbin/nologin nobody:x:99:99:nobody:/:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/bin/bash vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin nscd:x:28:28:nscd Daemon:/:/sbin/nologin sshd:x:74:74:privilege-separated SSH:/var/empty/sshd:/sbin/nologin rpc:x:32:32:portmapper RPC user:/:/sbin/nologin rpcuser:x:29:29:rpc Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:anonymous NFS User:/var/lib/nfs:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin pcap:x:77:77::/var/arpwatch:/sbin/nologin xfs:x:43:43:x Font Server:/etc/X11/fs:/sbin/nologin ntp:x:38:38::/etc/ntp:/sbin/nologin gdm:x:42:42::/var/gdm:/sbin/nologin desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin christian:x:502:100::/home/christian:/bin/bash dominique:x:503:100::/home/dominique:/bin/bash graziella:x:504:100::/home/graziella:/bin/bash angelique:x:505:100::/home/angelique:/bin/bash claudette:x:506:100::/home/claudette:/bin/bash fred:x:507:100::/home/fred:/bin/bash francoise:x:508:100::/home/francoise:/bin/bash raymond:x:509:100::/home/raymond:/bin/bash yann:x:510:100::/home/yann:/bin/bash profanim1:x:511:100::/home/profanim1:/bin/bash profanim2:x:512:100::/home/profanim2:/bin/bash invite:x:513:100::/home/invite:/bin/bash Les 12 comptes créés
46 Création des groupes : Fichier /etc/group du serveur du CDDP root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin,adm adm:x:4:root,adm,daemon tty:x:5: disk:x:6:root lp:x:7:daemon,lp mem:x:8: kmem:x:9: wheel:x:10:root mail:x:12:mail news:x:13:news uucp:x:14:uucp man:x:15: games:x:20: gopher:x:30: dip:x:40: ftp:x:50: lock:x:54: nobody:x:99: users:x:100:francoise,christian,dominique,graziella,angelique,claudette,fred,raymond,yann,profanim1,profanim2, invite rpm:x:37: floppy:x:19: vcsa:x:69: utmp:x:22: nscd:x:28: slocate:x:21: sshd:x:74: rpc:x:32: rpcuser:x:29: nfsnobody:x:65534: mailnull:x:47: smmsp:x:51: pcap:x:77: xfs:x:43: ntp:x:38: gdm:x:42: desktop:x:80: mediatheque:x:601:root,francoise,christian,dominique,graziella,yann librairie:x:602:root, francoise, angelique, yann tice:x:604:root,francoise,raymond,profanim1,profanim2,yann cddp:x:605:root,francoise,christian,dominique,graziella,angelique,claudette,fred,raymond,yann,profanim1, profanim2,invite edition:x:606:root, francoise, claudette, yann secretariat:x:607:root, francoise, fred, yann compta:x:608:root, francoise, fred, yann direction:x:609:root, francoise, yann invite:x:603:invite, francoise, yann
47 10 groupes correspondant aux différents services et aux besoins exprimés ont été créés : - médiathèque - librairie - tice - cddp - édition - secrétariat - comptabilité - direction - invité Pour répondre aux impératifs de gestion, la directrice et l administrateur sont affectés à tous les groupes. Le fichier /etc/group contient la liste des utilisateurs appartenant aux différents groupes. Lorsque de nombreux usagers ont accès à un système, ils sont fréquemment rassemblés en plusieurs groupes ayant chacun des droits d'accès différents aux fichiers et aux répertoires. L utilisation des groupes facilite l administration du serveur dans la mesure où les membres d un groupe héritent de ses permissions d accès. Chaque utilisateur doit au moins appartenir à un groupe, son groupe primaire. Celui-ci est défini au moment de la création du compte (par défaut, le groupe porte le nom de l utilisateur) Tous les utilisateurs ont été regroupés dans le même groupe primaire users de gid 100 ( option -g100 de la commande useradd) users:x:100:francoise,christian,dominique,graziella,angelique,claudette,fred,raymond,yann,profanim1, profanim2,invite Ainsi dans /etc/passwd, chaque utilisateur possède un groupe par défaut définit par son identifiant gid : christian:x:502:100::/home/christian:/bin/bash dominique:x:503:100::/home/dominique:/bin/bash L'appartenance au groupe primaire n'étant pas exclusive, tout utilisateur peut faire partie de plusieurs autres groupes, appelés ses groupes secondaires : mediatheque:x:601:root,francoise,christian,dominique,graziella,yann librairie:x:602:root, francoise, angelique, yann
48 La syntaxe des entrées du fichier /etc/group est la suivante : nom_de_groupe : champ_special : numero_de_groupe : membre1, membre2 Les différents champs sont séparés par le caractère : L administrateur a deux possibilités pour créer les groupes : - modification du fichier /etc/group grâce à un éditeur de texte comme Vi - création par la commande groupadd # groupadd - g 100 nom du_groupe gid Nom du groupe - g = GID Le Group IDentifier est un nombre qui permet d identifier le groupe.. Ce numéro fait le lien entre les fichiers /etc/group et /etc/passwd.
49 Smb.conf : le fichier de configuration principal de Samba L étape précédente a porté sur : - la création des comptes des utilisateurs - la création des groupes et l affectation des différents utilisateurs à ces groupes - le création des répertoires utilisateurs dans la partition /home La mise en œuvre du serveur Samba se poursuit par la configuration du fichier /etc/samba/smb.conf Ce fichier est modifiable à l aide d un éditeur de texte ou grâce à des outils graphiques de gestion comme «Webmin» ou «Swat» qui seront présentés plus loin. smb.conf est découpé en 3 sections principales : - La section [global] qui définit les paramètres généraux du serveur - La section [homes] consacrée aux partages - La section [printers] qui définit les imprimantes partagées sa syntaxe est la suivante : - Les sections sont indiquées de cette manière : [section] - Les différents paramètres sont notés comme suit : paramètre = valeur - Toute ligne commençant par " # " ou par " ; " est considérée comme un commentaire. Nota bene : le contenu de smb.conf peut légèrement varier d une distribution à l autre. Les paramètres principaux sont abordés ici.
50 Section de configuration générale : [global] Elle contient les éléments généraux de la configuration du serveur Samba : nom du groupe de travail, réseaux et machines autorisés, utilisateurs, administrateurs, etc. - workgroup : nom du groupe de travail ou du domaine ( valeur par défaut : workgroup =WORKGROUP ) - netbios name : nom Netbios du serveur Samba. Est par défaut équivalent au nom de la machine (hostname) - server string : description de la machine ( valeur par défaut : server string = Samba %v ) - printing : système d'impression utilisé pour le serveur d'impression : on rencontrera le plus souvent «lpr» et «cups» - log file /max log size /log level : configuration des logs du serveur : nom du fichier de log, taille maximum et niveau des logs (plus le niveau est élevé, plus la quantité d'informations est importante) - hosts allow : liste des IP (ex : 192.168.0.3) ou sous- réseaux ( ex : 192.168.0.) autorisés à se connecter au serveur Samba - hosts deny : liste des IP ou sous-réseaux non autorisés - invalid users: liste des utilisateurs interdits d'accès à Samba. Concerne «root» pour des raisons de sécurité. - security : ce paramètre est très important (peut-être bloquant si mal renseigné) Il indique le mode de discussion des client Windows avec le serveur Samba. Dans les versions 3.x de Samba, le défaut est user, et share pour Samba 2.x. Le mode user Ce mode propose un contrôle d accès au niveau utilisateur. Dans ce cas de figure, l'utilisateur doit s'authentifier systématiquement. Son compte Windows devra disposer d'un compte correspondant sur le serveur Linux :(«mapping» par le fichier /etc/samba/smbusers compte_linux : compte_win ) Le mode share Le mode share correspond à un contrôle d'accès au niveau de la ressource. Un mot de passe unique par ressource est défini pour l ensemble des utilisateurs Il existe également 2 autres types de paramètres possibles: domain et server qui sont utilisés lorsque Samba joue le rôle de contrôleur de domaine.
51 - encrypt passwords / unix password sync / passwd program / passwd chat : encrypt passwords gère le cryptage des mots de passe. unix password sync permet la synchronisation entre le mot de passe de l'utilisateur Samba et son compte sur le système Linux. En l'autorisant, on permet à l'utilisateur de modifier son mot de passe à partir de la machine cliente Enfin passwd program et passwd chat indiquent le programme utilisé pour réaliser cette modification et la nature du dialogue établi avec le serveur. - character set / client code page : permettent la correspondance entre un code page Windows et un character set UNIX, pour utiliser par exemple les caractères accentués. ( par défaut : client code page = 850 et character set = ISO8859-1 ) - local master : précise si le serveur Samba doit participer à l élection du maître explorateur local ( valeur par défaut : local master = yes ) - domain master : définit si Samba est le "maître explorateur de domaine" pour son domaine. Cette option ne doit pas être utilisée si un DC existe dans le domaine. - preferred master : Samba doit-il être "préféré" à tout autre serveur pour le choix du maître explorateur? - os level : cette valeur a une incidence sur les chances de Samba de remporter l élection ( valeur par défaut : os level =20 ) - domain logons : Samba doit-il gérer les contrôles des connexions pour le domaine? - logon script : indique le script à lancer lors de l'ouverture de session d un utilisateur - logon path : chemin d accès du répertoire où de trouvent les scripts de démarrage - logon home : répertoire où sont stockés les profils itinérants des utilisateurs - socket options : liste d'options pour "affiner" la configuration et optimiser le fonctionnement. - dns proxy : configuration en proxy DNS ( retransmission au DNS du FAI des requêtes de résolution adressées à Samba) - preserve case : permet de conserver la casse des noms de fichiers (distribution minuscules / majuscules) Ce point est important car les noms de fichiers Windows sont indépendants de la casse des caractères, ce qui n est pas le cas des noms Linux. - printing : choix du système d impression (LPR ou CUPS)
52 Section de configuration des partages de fichiers : [homes] Cette section permet aux clients du réseau de se connecter au répertoire personnel d un utilisateur du serveur sans posséder d entrée explicite dans le fichier smb.conf Lorsqu il reçoit une requête, le serveur Samba recherche la section du service correspondant dans smb.conf. S il ne trouve pas le service, il cherche une section [homes]. Si celle ci existe, il consulte le fichier /etc/passwd pour connaître le répertoire personnel de l utilisateur qui a émis la requête. Une fois trouvé, le répertoire est partagé sur le réseau. [homes] comment = Home Directories browseable = no writable = yes valid users = %S create mode = 0664 directory mode = 0775 Cette section n a pas été employée dans la mise en œuvre du serveur du CDDP. Les partages ont été créés par utilisateur et par secteur. [accès personnalisée] exemple de section personnalisée : [christian] nom du partage tel qu il apparaîtra dans le voisinage réseau comment = rep_perso_christian commentaire visible dans le voisinage réseau path = /home/christian nom du répertoire à partager valid users = christian liste des utilisateurs autorisés ( noms des utilisateurs séparés par des virgules ou nom du groupe précédé par un @ exemple : @secretariat ) browseable = yes/no visibilité du partage par tous, y compris les utilisateurs non autorisés read only = yes/no ce paramètre modifie l accès au fichier : lecture seule ou non writable = yes/no ce paramètre modifie l accès au fichier : écriture seule ou non create mask = 0700 droits maximum accordés à un fichier dans la ressource. Ces droits sont en intersection (AND) avec les droits Linux (umask) directory mask = 0700 droits maximum accordés à un répertoire dans la ressource. Ces droits sont aussi en intersection (AND) avec les droits Linux (umask)
53 [accès public] exemple de création d un partage public : [public] # nom du partage = public # commentaire comment = répertoire public # le répertoire à partager est /home/samba path = /home/tmp # le répertoire est visible dans le voisinage réseau browseable = yes # le répertoire est accessible par tous les utilisateurs public = yes # le répertoire est accessible en écriture writable = yes Il est également possible de partager le lecteur de CD. Celui-ci devra être préalablement monté (commande mount ou création d une entrée dans /etc/ fstab) Le chemin d accès au lecteur sera path = /mnt/cd-rom Synthèse des principaux paramètres applicables à un partage paramètre valeur par défaut description path = chemin du répertoire partage comment = texte visible dans le voisinage réseau client Public = ou no partage en libre accès sans authentification guest ok = yes/no valid users = tous liste des utilisateurs autorises a se connecter a la ressource printable = true/false false partage d un service d impression writable = yes/no no permet ou non l écriture dans le répertoire (contraire de read only) write list = tous liste des utilisateurs autorises a écrire browseable = yes/no yes visibilité du partage par tous les utilisateurs,autorises ou non create mode mask = 0744 droits maxi accordes a un fichier créé dans la ressource directory mode mask = 0755 droits maxi accordes a un répertoire créé dans la ressource force group = impose un groupe propriétaire d un fichier lors de sa création dans le partage hide dot files= yes masque les fichiers caches de linux commençant par un. hosts allow = hosts deny = ressource réservée ou interdite a des stations (adresse ip) ou a un sous-reseau ( ex : 192.168.0.) max connections = 0 nombre de connexions a la ressource, illimité par défaut, sinon maximum autorisé
54 Configuration des partages d'imprimantes : Samba offre la possibilité de partager des imprimantes. Il peut se faire à plusieurs niveaux : - partage de la ressource ( intitulé [ printers ] ) qui nécessite l installation des drivers sur le poste client. - partage des drivers (intitulé [ print$ ] ) Dans ce dernier cas, il est inutile d utiliser un driver sur le client Windows. [global]... # système d'impression utilisé printing = cups # administrateur des imprimantes printer admin = root... # partage des ressources d'impression [printers] comment = All Printers path = /var/spool/samba create mask = 0700 guest ok = Yes printable = Yes browseable = Yes # partage des drivers des imprimantes [print$] path = /var/lib/samba/printers browseable = yes read only = yes write list = root CUPS (Common Unix Printing System) sera abordé ultérieurement dans ce document.
55 le fichier smb.conf du CDDP # Global parameters [global] workgroup = CDDP server string = Samba Server encrypt passwords = Yes obey pam restrictions = Yes pam password change = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentication*tokens*updated*successfully* unix password sync = Yes log file = /var/log/samba/%m.log max log size = 0 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 dns proxy = No printing = cups #[homes] # comment = Home Directories # valid users = %S # read only = No # create mask = 0664 # directory mask = 0775 # browseable = No # available = No La section [homes] mise en commentaire [printers] comment = All Printers path = /var/spool/samba printable = Yes browseable = No [christian] comment = rep_perso_christian path = /home/christian valid users = christian,@sambadmin browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700
56 [dominique] comment = rep_perso_domininique path = /home/dominique valid users = dominique browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 Partages personnels des utilisateurs [graziella] comment = rep_perso_graziella path = /home/graziella valid users = graziella browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [angelique] comment = rep_perso_angelique path = /home/angelique valid users = angelique browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [claudette] comment = rep_perso_claudette path = /home/claudette valid users = claudette browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [fred] comment = rep_perso_fred path = /home/fred valid users = fred browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700
57 [francoise] comment = rep_perso_francoise path = /home/francoise valid users = francoise browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [raymond] comment = rep_perso_raymond path = /home/raymond valid users = raymond browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [yann] comment = rep_perso_yann path = /home/yann valid users = yann browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [profanim1] comment = rep_perso_profanim path = /home/profanim1 valid users = profanim1 browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [profanim2] comment = rep_perso_profanim2 path = /home/profanim2 valid users = profanim2 browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700
58 [invite] comment = rep_perso_invite path = /home/invite valid users = invite browseable = Yes public = No writable = Yes create mode = 0700 directory mask = 0700 [mediatheque] comment = rep_partage_mediatheque path = /home/mediatheque valid users = @mediatheque,yann browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [librairie] comment = rep_partage_librairie path = /home/librairie valid users = @librairie,yann browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [edition] comment = rep_partage_edition path = /home/edition valid users = @edition,yann browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [secretariat] comment = rep_partage_secretariat path = /home/secretariat valid users = @secretariat,yann browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770
59 [compta] comment = rep_partage_comptabilite path = /home/compta valid users = @compta,yann browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [direction] comment = rep_partage_direction path = /home/direction valid users = @direction,yann browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [tice] comment = rep_partage_tice path = /home/tice valid users = @tice browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [cddp] comment = rep_partage_cddp path = /home/cddp valid users = @cddp browseable = Yes public = No writable = Yes create mode = 0770 directory mask = 0770 [cdrom] comment = partage lecteur CD-Rom path = /mnt/cdrom browseable = Yes public = Yes writable = No Partage du CD-Rom
60 Commentaires sur l affectation des droits sur les ressources : La mise en place des comptes génère la création : - d un répertoire dans /home - d un groupe qui porte le nom de l utilisateur. Rappel : dans la cas du serveur du CDDP, les utilisateurs ont été rassemblés dans un groupe unique «users» de gid 100 puis affectés à des groupes secondaires suivant les besoins. L «umask» dont le rôle est de fixer les droits globaux a une valeur par défaut de 022. Cette valeur empêche d autres utilisateurs, «le reste du monde», et les autres membres du groupe principal de modifier les fichiers de l utilisateur (accès lecture/exécution) - 777 022 755 7 fixe les droits en octal à 421 soit rwx (lecture/écriture/exécution) 5 fixe les droits en octal à 4-1 soir r - x (lecture/exécution) Dans les sections de création des répertoires personnels, les permissions sur les droits maximum accordés à un fichier créé dans la ressource (create mode)et les droits maximum accordés à un répertoire créé dans la ressource (directory mask) ont été fixés à 700 soit : - rwx pour le propriétaire (lecture/écriture/exécution) - rien pour le groupe - rien pour le reste du monde Dans les sections de création des répertoires partagés de secteurs, les droits ont été fixés à 770 soit : - rwx pour le propriétaire (lecture/écriture/exécution) (root) - rwx pour le groupe (lecture/écriture/exécution) - rien pour le reste du monde Pour ces derniers, le changement de propriétaire du groupe a été nécessaire. En effet les répertoires communs ont été créés par «root», ils appartenaient donc par défaut au groupe «root» (rwx rwx --- root root ---) La commande chmod a permis d attribuer des répertoires aux autres groupes pour autoriser l accès rwx : ex: # chmod 770 root : mediatheque /home/mediatheque
61 Synchronisation des utilisateurs La commande smbpasswd sert à synchroniser les comptes utilisateurs Windows/Linux # smbpasswd -a nom_utilisateur # smbpasswd nom_utilisateur New SMB password: Retype new SMB password: L option -a indique que le nom d utilisateur doit être ajouté au fichier smbpasswd. (cette option est ignorée si une entrée existe déjà ) Par ailleurs, les utilisateurs doivent impérativement «exister» dans le fichier des mots de passe du système (/etc/passwd) Dans le cas contraire, la requête smbpasswd a échoue Test de la syntaxe de smb.conf La commande testparm permet de tester les options utilisées dans le fichier et vérifie sa syntaxe Elle spécifie également (après parcours du fichier ) : - les partages effectifs - le statut du serveur Si testparm ne retourne aucun message d erreur, la syntaxe du fichier est correcte. # testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[public]" Loaded services file OK. Server role: ROLE_STANDALONE Press enter to see a dump of your service definitions La touche entrée lance l affichage du contenu de smb.conf
62 Il est conseillé d utiliser la commande testparm après chaque modification du fichier de configuration de Samba # tesparm Il est également nécessaire de relancer les démons smbd et nmbd : # service smb restart VERIFICATION DES PARTAGES : La vérification s effectue à partir d un poste client. Le groupe de travail CDDP apparaît dans le voisinage réseau.
63 Un clic sur le workgroup donne accès aux machines connectées (ici le client Pentasonic1 et le Serveur) La connexion au serveur nécessite un compte Linux ainsi qu une entrée dans smbpasswd
64 Un login et un mot de passe valides ouvrent la fenêtre des partages. Les partages sont accessibles ou non suivant les autorisations données à chaque utilisateur dans le fichier smb.conf Répertoire personnel Répertoire groupe
65 OUTILS GRAPHIQUES DE CONFIGURATION : Il existe différentes solutions graphiques qui permettent de procéder à des manipulations sur le serveur sans utiliser la console. Trois outils installés pour faciliter l administration sont présentés ici : - webmin - swat - cups Le logiciel Webmin est une interface d administration d un serveur via un navigateur Web. Sur la dernière version, l accès au serveur se fait à travers un canal sécurisé https sur le port 10 000. Si Webmin est dédié à l administration à distance, il est néanmoins possible de l utiliser en local. N importe quel navigateur est utilisable sous réserve qu il accepte une connexion sécurisée et que l interpréteur Java soit activé. Installation La version 1.200 est la dernière disponible à cette date. Suivant la distribution Linux utilisée, il est possible de l installer à partir d un rpm ou d un tarball. «Perl» devra si ce n est pas le cas, être installé préalablement sur le système. La même chose pour «OpenSSL» si Webmin est utilisé en mode sécurisé https.
66 méthode d installation par le tarball : - téléchargement de webmin-1.200.tar.gz à partir du site www.webmin.com - décompactage de l archive # tar zxvf webmin-1.200.tar.gz - ouverture du répertoire webmin # cd webmin-1.200 - exécution du script d installation inclus # sh setup.sh La connexion à Webmin se fait en saisissant l adresse du serveur et le numéro de port dans le navigateur. ex : https://192.168.0.70:10000 Une fenêtre de connexion s ouvre et l identification comme super utilisateur (root + mot de passe) est demandée. Connexion sécurisée
67 Fenêtre principale de Webmin Barre des liens vers les modules Configuration de Webmin
68 Les outils les plus importants sont détaillés ici : Fenêtre de configuration Tous les modules ne sont pas installés dans le Webmin de base. Ils peuvent être téléchargés depuis le site de l éditeur et installés à partir de l interface en cliquant sur l icône «Modules Webmin»
69 Fenêtre Système Gestion des utilisateurs et groupes La fenêtre «système» affiche les outils fondamentaux d administration tels que la gestion du démarrage et de l arrêt du serveur, la gestion des utilisateurs et des groupes ainsi que celle des mots de passe.
70 Fenêtre Serveurs Cette fenêtre affiche les différents services ou serveurs logiciels comme Apache, le gestionnaire DHCP, les services courriers «Postfix» et «Sendmail», le service FTP, etc. Configuration du serveur Apache Gestion des partages Samba
71 Fenêtre Réseau Configuration réseau du serveur : carte(s), adresse IP, netmask Partages NFS Elle traite de la configuration du réseau ainsi que des services comme «NFS» (Network File System) pour le montage de fichiers distants.
72 Fenêtre Matériel La fenêtre «Matériel» donne accès à divers outils de gestion. On y retrouve la configuration du démarrage, la gestion de l espace disque et le partionnement, la configuration des imprimantes.
73 Fenêtre Cluster Elle expose l administration des grappes de serveurs. Il s agit ici de configurer plusieurs serveurs comme une seule entité.
74 Fenêtre Autres Diverses options sont présentées ici, parmi lesquelles la possibilité d ouvrir une session «Telnet» ou «SSH», l accès à la hiérarchie, la visualisation des fichiers de trace ou le téléchargement de fichiers.
75 Webmin et Samba Webmin dispose d un outil de configuration de Samba, cependant des interfaces «spécialisées» comme «Swat» autorisent un paramétrage plus fin du fichier smb.conf Webmin propose un module qui permet d accéder à «Swat» via son interface. Accès à Swat par Webmin
76 Swat est un outil graphique de configuration du fichier smb.conf. Il est possible de le lancer à partir de Webmin ou directement dans un navigateur en précisant l adresse IP du serveur suivie du numéro de port 901 Exemple : http://192.168.0.70:901 Swat peut être activé au démarrage par le démon inetd. Pour cela, il est nécessaire de vérifier dans le fichier /etc/services la présence de cette ligne : Swat 901/TCP #SWAT (901 correspond au numéro de port ) Le fichier /etc/inetd.conf doit également contenir la ligne suivante (elle peut déjà exister sous la forme d un commentaire ) Swat stream tcp nowait.400 root /usr/sbin/swat swat Pour les distributions Mandrake et RedHat, le démon xinetd est concerné. Le fichier /etc/services sera modifié comme ci-dessus. Le fichier /etc/xinetd.d/swat devra comporter les éléments qui suivent : # lancement à la demande de swat service swat { port=901 socket_type=stream wait=no user=root server =/usr/bin/swat log_on_failure @=USERID disable=no } Ces modifications nécessitent le redémarrage des démons inetd ou xinetd : ou # /etc/rc.d/init.d/inetd restart # /etc/rc.d/init.d/xinetd restart
77 L accès à Swat est sécurisé et nécessite le login et le mot de passe de l administrateur (root) Fenêtre d accueil Cette fenêtre traite de la documentation de Swat. Les différents items sont accessibles par des liens.
78 Fenêtre Globals Cette page permet de modifier les composants de la section [global] du fichier smb.conf. Elle sert à définir les paramètres généraux du serveur.
79 Fenêtre Partages Cette fenêtre permet de modifier la section [shares] de smb.conf Elle est dédiée à la création des partages réseau.
80 Fenêtre Imprimantes Cette fenêtre agit sur la section [printers] de smb.conf
81 Fenêtre Wizard La fenêtre Wizard fournit des informations sur la nature du serveur : - simple serveur - serveur membre d un domaine - contrôleur de domaine Des boutons radio permettent de configurer Wins en client ou serveur. Les serveurs Wins font un travail un peu analogue à celui des serveurs DNS. La différence se situe au niveau de la résolution : la corrélation ne se fait pas entre adresses IP et FQDN mais entre adresses IP et noms NetBios.
82 Fenêtre Statut La fenêtre «Serveur Status» renseigne sur l état des démons smbd et nmbd et permet de les arrêter ou de les démarrer.
83 Fenêtre Vue Cette page affiche le contenu du fichier smb.conf en supprimant la totalité des commentaires. Elle permet de comprendre comment les changements effectués dans les pages de configuration affectent le contenu de smb.conf Comme Swat ne génère pas de sauvegarde, la création d une copie de sécurité est recommandée avant toute modification Exemple : # cp smb.conf smb_old.conf
84 Fenêtre Mot de Passe L administrateur a la possibilité de changer son mot de passe de connexion à l interface. Conclusion : s il simplifie le paramétrage, Webmin n est pas conçu pour tout faire. Les interfaces spécialisées restent indispensables pour certains services. Swat est un complément idéal pour administrer Samba.
85 OMMON UNIX PRINTING SYSTEM Le système d impression Unix/Linux se fonde sur des démons qui prennent en charge les requêtes. Le plus répandu est «lpd» (Line Printer Daemon) sous Unix. Sous Linux, il est de plus en plus délaissé au profit de «Cups» (Common Unix Printing system) Le serveur Cups est accessible à distance via un navigateur pour simplifier l administration. L interface de Cups
86 Cups s installe au moyen d un rpm. Il est possible de compléter l installation par des pilotes d imprimantes supplémentaires. Cups est lancé au moyen d un navigateur web, localement ou à partir d une machine distante. http://192.168.0.70:631 L ajout d une imprimante s effectue par le lien «Manage Printers» puis par le lien «Add Printer»
87 PuTTY PuTTY est un client SSH, Telnet et Rlogin gratuit et open source. Il permet grâce à l un des ces 3 protocoles de se connecter à une machine distante. Aussi bien pour Telnet que pour Rlogin, les paquets (dont le login et le mot de passe) traversent les réseaux en clair. Rlogin est cependant plus sûr que Telnet. L utilisation de SSH est conseillée pour sécuriser les transferts car les informations circulent cryptées. SSH (Secure Shell) est à la fois la définition d un protocole et un ensemble de programmes utilisant ce protocole. Il permet d ouvrir des sessions interactives à distance sur des serveurs et de transférer des fichiers entre deux machines. Client SSH Connexion SSH cryptée Serveur SSH PuTTy ne nécessite pas d installation. Il suffit de lancer l exécutable en double cliquant sur son icône. Une connexion réussie entraîne l ouverture d un terminal sur le client Windows. Les commandes Linux sont alors accessibles pour effectuer des manipulations sur le serveur (maintenance, transfert de fichiers, gestion des utilisateurs, etc. )
88 Fenêtre de configuration Nom ou IP du serveur Linux Choix du protocole de connexion Lancement de la session
89 Ouverture du terminal Demande du login superutilisateur Saisie du mot de passe root Le terminal autorise l administration du serveur par les commandes Linux
90 WinSCP WinSCP est un client open source SCP/SFTP dont la fonction principale est la copie de fichiers entre 2 ordinateurs (par exemple un serveur Linux/Unix et un client Windows ) La dernière version stable est la 3.7.4 WinSCP transfère les fichiers de manière sécurisée (cryptage) en s appuyant sur SSH. les commandes SCP et SFTP assurent les transferts. - SCP : SCP est l abréviation de «Secure Copy» Cette commande copie les fichiers d une machine à l autre en utilisant le tunnel SSH. -SFTP : SFTP signifie «Secure File Transfer Protocol» Il s agit d un protocole similaire à FTP, mais sécurisé : toutes les opérations de transport sont encryptées par SSH. Le protocole SSH utilise le modèle clé publique/clé privée. L établissement d une session est constituée de plusieurs étapes : - négociation entre serveur et client sur la méthode de chiffrement à employer (ex : algorithme RSA) - réception par le client de la clé publique envoyée par le serveur - le client génère à son tour une clé de session qu il retourne au serveur en la cryptant avec la clé publique reçue - le serveur décrypte la clé de session avec sa clé privée Après installation, l exécution du programme ouvre une fenêtre de configuration.
91 Le bouton «New» permet d ouvrir une session Hostname ou adresse IP Login S.U et mot de passe Le démon sshd écoute sur le port 22 Choix du protocole WinSCP offre la possibilité de créer des profils de connexion La configuration terminée, la connexion est initiée par le bouton «Login»