rupin/gydé Windows Administration des serveurs

Windows Administration des serveurs 1

Table des matières Windows Administration des serveurs...1 Présentation des ateliers...3 Atelier 1 Conception logique de l'active Directory...4 Atelier 2 Installation d'active Directory...5 Atelier 3 Création d'une zone de recherche inverse DNS...12 Atelier 4 Création d'un Contrôleur de domaine répliqué...15 Atelier 5 Le serveur d'impression...22 Atelier 6 : Joindre un client au domaine...36 Atelier 7 Créer la structure logique d'active Directory...41 Atelier 8 Les profils et répertoires personnels...52 Atelier 9 Serveur de fichiers pour les services de l'entreprise...61 Atelier 10 Les GPO...70 1 Présentation de Samba...89 2 Présentation du déroulement du TP...90 3 Installation et premiers tests...92 Principaux fichiers et programmes de Samba...98 4 Notions de base...101 Le fichier de configuration Samba: smb.conf...101 NETBIOS...105 Types de réseaux Windows NT...111 Le voisinage réseau...112 5 Samba, en tant que client...115 6 Samba serveur autonome...120 7 Samba et le partage des imprimantes...130 8 Samba en tant que contrôleur de domaine...140 9 Les ACL windows sous samba...149 Références...152 2

Présentation des ateliers Vous disposez chacun d'une machine, sur laquelle vous avez un réseau privé Vmware. Chacun d'entre vous dispose de trois machines virtuelles: Deux Windows 2003 server et une machine windows Xp. Le but de ces ateliers est de vous faire de mettre en œuvre un domaine windows et différents services de base comme un serveur d'impression et des serveurs de fichiers. Dans la salle vous disposez d'une imprimante qui n'est pas sur le même réseau que votre domaine, vous aurez entre autre, à configurer un serveur d'impression pour votre domaine qui la prendra en compte. 3

Atelier 1 Conception logique de l'active Directory Votre société, ARS, spécialisée dans l'ingénierie des systèmes d'information veut passer son système d'information sous Active Directory: Nom de domaine: ars.org Personnel: 100 Organisation de la société: - Une Direction - Un service Système d'information - Un service Ingénierie et deux sous services: développement et études - Un service financier Créer un diagramme, représentant la structure logique de votre Active Directory, et les différents objets qui seront contenus. Représentez uniquement les objets et conteneur représentant l'organisation et ses acteurs. Représente la racine de votre organisation Représente une unité d'organisation Représente un groupe de sécurité du domaine local Représente un groupe de sécurité global du domaine Représente un utilisateur membre d'un service 4

Atelier 2 Installation d'active Directory Pour démarrer l'installation du controleur de domaine sur le serveur utilisez l'assistant: 'gérer votre serveur' menu démarrer -> Outils d'administration -> Gérer votre serveur Cliquez sur Ajouter ou supprimer un rôle et selectionner le rôle Contrôleur de domaine 5

Il faudra choisir l'option configuration personnalisée: Le contrôleur de domaine sera le premier de l'organisation, il faut donc créer un contrôleur de domaine pour un nouveau domaine et c'est aussi une nouvelle foret: 6

7

Notre serveur n'est pas encore un serveur DNS, le programme d'installation n'ayant pas trouvé notre zone, il propose de créer le serveur DNS maintenant, sélectionnez cette option et cliquer sur suivant Le domaine ne contiendra pas de versions de windows antérieures à windows 2000 n'activez pas la compatibilité de version: 8

Ici entrez le même mot de passe que celui de l'administrateur 9

Nous avons demandé d'installer le serveur il faut donc enregistrer les paramètres réseau du serveur de façon statique avant de poursuivre: 10

Une fois l'installation du contrôleur de domaine terminée, vous allez redémarrer le serveur et vous connecter en tant qu'administrateur du domaine: Une fois le serveur configuré en contrôleur de domaine vous ne pouvez plus vous connecter avec un compte sans privilèges. 11

Atelier 3 Création d'une zone de recherche inverse DNS Pour lancer l'outil d'administration du serveur DNS allez dans: menu démarrer -> Outils d'administration -> DNS Puis, déroulez l'arborescence de la zone ars.org et faites un clic droit sur zone de recherche inverse puis nouvelle zone. 12

Choisissez l'option créer une zone principale Vous allez configurer la zone pour qu'elle soit répliquée sur les contrôleurs de domaine. 13

Le nom de la zone inverse correspond à votre identifiant réseau, renseignez le: Comme nous utilisons Active Directory pour stocker les zones DNS, configurez la mise à jour dynamique sécurisée uniquement: Le dernier écran vous permet de vérifier les information concernant la zone créée: 14

Atelier 4 Création d'un Contrôleur de domaine répliqué Le but d'avoir un second contrôleur de domaine opérationnel est d'assuré la disponibilité du service. En effet si le premier contrôleur de domaine tombe en panne et que le domaine n'a pas de second contrôleur de domaine, l'accès aux services sera interrompu. Dans un soucis de conserver un domaine opérationnel, avoir un deuxième contrôleur de domaine permet d'assurer la disponilibité des services réseau du domaine. Voici la procédure: Dans un premier temps joignez votre serveur au domaine ars.org. Dans le menu démarrer, faites un click droit sur le poste de travail puis cliquez sur propriétés puis l'onglet nom de l'ordinateur. Pour l'instant l'ordinateur appartient au groupe de travail WORKGROUP. Cliquez sur modifier. 15

La jonction échoue avec le message d 'erreur suivant, pourquoi? 16

Configurez alors le serveur dns dans les paramètres réseau: puis réessayez, vous devez obtenir une fenêtre d'authentification vous demandant le login et le mot de passe de l'administrateur. 17

Saisissez les identifiants de l'administrateur du domaine puis cliquez sur ok. Un redémarrage du système est nécessaire. Au redémarrage connectez vous en local, en faisant dérouler le menu se connecter à. 18

Puis lancez l'assistant Gérer votre serveur, puis choisissez ajouter un rôle, sélectionnez Active Directory. Cette fois ci il s'agit d'un contrôleur de domaine supplémentaire. saisissez le login et le mot de passe de l'administrateur du domaine. 19

et renseignez les champs. une fois le processus d'installation terminé vous devez redémarrer. Au redémarrage connectez vous dans le domaine avec le compte administrateur. 20

Sur le premier contrôleur de domaine, DC01, vérifiez l'inscription dans le DNS et dans l'active Directory du nouveau contrôleur de domaine DC02. Et pour finir vérifiez le rôle du serveur DC02. 21

Atelier 5 Le serveur d'impression Cet atelier va permettre d'installer une imprimante sur le serveur et de la publier dans l'active Directory. Les clients qui voudront installer l'imprimante, la chercheront dans Active Directory, et installeront les pilotes automatiquement et de façon transparente. Rappel: Dans la configuration de l'atelier, l'imprimante est située sur un réseau différent. Procédure: Dans le menu démarrer, cliquez sur Imprimantes et télécopieurs. Puis double cliquez sur ajouter une imprimante, pour lancer l'assistant d'ajout d'imprimante. 22

Sélectionnez imprimante locale et décochez la détection automatique. Pour ajouter une nouvelle imprimante réseau il faut créer un nouveau port Tcp/ip. 23

L'assistant d'installation d'imprimante tcp/ip démarre. Renseignez l'adresse ip de l'imprimante. Laisser l'option type de périphérique standard. 24

Puis suivant pour terminer l'assistant. 25

Ensuite le système vous demande de sélectionner le pilote de l'imprimante, indiquez lui le chemin où il se trouve. 26

À ce stade vous avez le choix de partager l'imprimante, pour une publication dans Active Directory il est nécessaire de le faire. 27

Vous avez la possibilité d'ajouter un commentaire, faites-le, cela vous aidera dans l'administration de votre domaine pour localiser vos objets et renseignera vos utilisateurs sur l'imprimante qu'il devront choisir lorsqu'ils l'installeront. Imprimez une page de test pour vérifier que l'installation s'est bien passé. 28

Puis quittez l'assistant 29

Le job a bien été envoyé à l'imprimante 30

À présent nous allons configurer une console de gestion du serveur d'impression, ce sera une première approche des MMC. Dans un premier temps il faut installer des composants additionnels à Windows Server 2003. Allez dans le panneau de configuration et cliquez sur ajout/suppression de programmes, puis sur ajout ou supprimer des composants windows. Sélectionnez Outils de gestion et d'analyse puis cliquez sur détails. 31

Sélectionnez Composants de gestion de l'impression Ensuite vous allez lancer l'utilitaire MMC -Microsoft Management ConsoleDans menu démarrer -> executer, tapez : mmc Une console vierge s'affiche, allez dans Fichier-> ajouter/supprimer composant logiciel enfichable. 32

Ajoutez le composant Gestion de l'impression. 33

Puis spécifier le serveur DC01. Déroulez l'arborescence Domain Controllers, puis sur DC01, faites un click droit, allez sur affichage et cliquez sur Utilisateurs, groupes et ordinateurs en tant que conteneurs. 34

L'imprimante partagée et accessible via Active Directory s'affiche alors. Dans le prochain atelier le client Winstation installera cette imprimante via Active Directory. 35

Atelier 6 : Joindre un client au domaine À présent vous devez être plus familiarisé avec l'environnement Windows, les ateliers suivants auront pour objectif de vous laisser faire tout en vous indiquant comment effectuer certaines tâches qui n'ont pas été abordées. Dans cet atelier vous devez joindre la machine Windows Xp, au domaine ars.org. 36

Une fois que la machine a rejoint le domaine, redémarrez et connectez-vous avec le compte administrateur du domaine. Vous devez maintenant installer l'imprimante déclarée dans Active Directory, ATTENTION la procédure sera quelque peu différente de celle déjà abordée. 37

38

39

Finissez en testant l'impression. 40

Atelier 7 Créer la structure logique d'active Directory Le schéma conçu dans le premier atelier va nous permettre de créer l'arborescence de notre annuaire, ainsi que quelques objets. 1: Ouvrez la console Utilisateurs et ordinateurs Active Directory à partir du menu Outils d'administration 2:Créez sous la racine du domaine ars.org une unité d'organisation nommée Direction. 3: Dans cette unité d'organisation Direction, créez un utilisateur Pierre Dupond dont le nom de connexion sera pdupond@ars.org. initialisez lui son mot de passe avec toto*1900 et configurez son compte pour qu'il change son mot de passe lors de sa première connexion. 41

42

4: Une fois créé, connectez vous avec cet utilisateur depuis la machine windows xp. Le système doit vous demander de changer le mot de passe, saisissez titi*1900 43

44

Vous devez être connecté avec l'utilisateur Pierre dupond et le nom doit s'afficher. 45

À présent que vous savez créer manuellement une unité d'organisation et un utilisateur, vous allez maintenant utiliser un fichier ldif pour effectuer ces tâches, et finir de créer l'arborescence de l'active Directory. Rappel: Active Directory est une implémentation de la norme de la norme X500, qui définit le standard LDAP (Lightweight Directory Protocole). LDIF (LDAP Data Interchange Format) est un format de fichier standard qui permet l'échange des données d'un annuaire. Il permet de créer, de modifier, et détruire des données dans un annuaire. Ldifde est un outil de Windows 2003 server qui permet d'effectuer des opérations avec ce standard de fichiers. Active Directory n'est pas le seul annuaire à les utiliser, notons aussi openldap, Apache Directory Server et bien d'autres les utilisent. Voici à présent, un apperçu non exhaustif de sa syntaxe: dn: OU=Direction,DC=ars,DC=org changetype: add objectclass: top objectclass: organizationalunit ou: Direction Détaillons un peu: Ce fichier Ldif décrit une Unité d'organisation, il s'agit de l'ou Direction Que nous avons créé manuellement mais qui aurait pu être créée par ce fichier ldif.* La première ligne dn: OU=Direction,DC=ars,DC=org, décrit l'attribut Distiguished Name, cela correspond au nom complèt de l'ou Direction. Par analogie, avec le système de fichiers unix on peut le comparer au chemin absolu d'un répertoire. La seconde ligne changetype: add décrit le type d'opération que nous voulons effectuer. Ici nous voulons ajouter une donnée. Les trois opérations permises sont add, mod (modifier une entrée), et delete (supprimer une entrée). 46

Ensuite le fichier décrit les classes d'objet, qui décrivent notre future instance OU. objectclass: top objectclass: organizationalunit Top est la racine, et tous les objets créés dans l'annuaire héritent de cette classe. ou=direction Le nom de l'ou. La syntaxe d'un fichier Ldif doit être rigoureusement respectée. 5: Vous devez donc créer le reste de l'arborescence des Unités d'organisation de l'active Directory en vous inspirant de ce modèle de fichier Ldif. Créez un fichier nommé importou.ldf avec notepad. ldifde /? vous donnera la syntaxe de la commande. ldifde -i -f importou.ldf -s DC01 47

Créer des utilisateurs avec Ldifde. Maintenant que les conteneurs sont créés vous allez pouvoir créer des utilisateurs. Voici un fichier Ldif qui permet de créer un utilisateur dans l'ou Direction dn: CN= Pierre Dupond,OU=Direction,DC=ars,DC=org changetype: add objectclass: top objectclass: person objectclass: organizationalperson objectclass: user cn: Pierre Dupond givenname: Pierre samaccountname: pdupond displayname: Pierre Dupond userprincipalname: pdupond@ars.org useraccountcontrol: 514 On retrouve sur la premiere ligne le distinguished name. Apparaissent ensuite deux nouvelles classes d'objet: user et person qui décrivent l'objet comme étant un utilisateur (avec un login, un mot de passe etc...), mais aussi ayant des attributs plus étendus comme une adresse, un numéro de téléphonne... L'attribut useracountcontrol positionner à 514 désactive le compte, alors que 512 l'active. Ici comme aucun mot de passe n'est spécifié nous devons le désactiver pour rester cohérent avec la politique de mots de passe du système. Tous les attributs et leurs héritages sont décrits dans le schema de l'annuaire. 6: créez les utlisateurs suivants avec un fichier ldif. bernard durand service Financier marcel martin service SI pierre mathieu et bob Dylan service Developpement 48

Retour à la méthode manuelle: 7: Créez les groupes globaux suivants - Ingenierie dans OU Ingenierie dont le membre est l'utilisateur de l'ou - Developpement dans OU Developppement dont le membre est l'utilisateur de l'ou - Etudes dans OU Etudes dont le membre est l'utilisateur de l'ou - Financier dans OU Financier dont le membre est l'utilisateur de l'ou - SI dans OU SI dont le membre est l'utilisateur de l'ou - Direction dans OU Direction dont le membre est l'utilisateur de l'ou 49

50

8: - Dossier Ingenierie dans l'ou Ingenierie - Dossier Developpement dans l'ou Developppement dont le membre est le groupe Developpement - Dossier Etudes dans l'ou Etudes dont le membre est le groupe Etudes - Dossier Financier dans l'ou Financier dont le membre est le groupe Financier - Dossier SI dans l'ou SI dont le membre est le groupe SI - Dossier Direction dans l'ou Direction dont le membre est le groupe Direction 51

Atelier 8 Les profils et répertoires personnels 1: Sur DC02 Créez un répertoire c:\utilisateurs. Utilisateurs User1 User2 52 User3

2: modifiez les permissions NTFS, de façon à supprimer l'héritage, et activez le partage avec comme nom de partage: Utilisateurs. Modifiez les permissions de niveau partage pour que tout le monde soit en contrôle total. 53

54

3: le créateur propriétaire aura le contrôle total sur les sous dossiers. 55

4: configurez les utilisateurs pour que lors de l'ouverture de session leur répertoire personnel soit monté et accessible via le lecteur z: 5: Testez votre configuration en vous connectant avec les différents utilisateurs depuis la machine XP. 56

Les profils itinérants: 6: sur DC01 créez un répertoire c:\profils Profils user1 user2 user3 7 : Assignez lui les mêmes permissions que le répertoire des utilisateurs, bloquez l'héritage et activez le partage avec comme nom de partage: Profils. Modifiez les permissions de niveau partage pour que tout le monde soit en contrôle total. 8: Configurez les utilisateurs afin qu'ils se connectent avec un profil itinérant. Vous devez utiliser la variable %username% 57

9: connectez vous depuis la machine windows XP et vérifiez la création du profil itinérant. 10: profils obligatoires créer un compte générique developpeur 58

connectez-vous avec ce compte sur la station xp configurez le bureau: interface et menu classique copiez Configurez un utilisateur pmatieu pour que son profil pointe vers le dossier: \dc01\profils\utilisateurs: Se connecter en tant qu'administrateur du domaine sur la station xp dans les propriétés avancées: allez dans le menu profil des utilisateurs. puis sélectionner le profil \ars\developpeur faites copier dans indiquer le chemin \dc01\profils\utilisateurs du dossier qui n'existe pas encore. dans l'onglet modifier sélectionner le groupe : utilisateurs puis ok le répertoire va être créé sur le serveur 59

Sur le serveur renommez c:\profils\utilisateurs\ntuser.man le fichier c:\profils\utilisateurs\ntuser.dat en connectez vous avec l'utilisateur pmartin Modifiez l'interface déloguez vous puis reconnectez vous,les modifications ont disparu. Copiez le répertoire c:\profils\utilisateurs en c:\profils\pmartin assignez lui les modifications pour que pmartin soit le propriétaire et qu'il ait le contrôle total du répertoire. Enfin modifiez le compte de pmartin pour que son profil pointe sur ce nouveau répertoire de profil. 60

Atelier 9 Serveur de fichiers pour les services de l'entreprise Sur le serveur DC01, qui est contrôleur de domaine, serveur d'impression et serveur de fichiers, vous allez créer une nouvelle arborescence de répertoires à partir de la racine c:\ Services Direction SI Ingenierie Financier Etudes Voici les permissions qui doivent être positionnées sur cette arborescence: Répertoire Services: Administrateurs du domaine et System Contrôle Total 61 Developpement

Créateur propriétaire Contrôle total sur les sous-dossiers et les fichiers seulement Ajoutez le groupe des utilisateurs pour votre domaine et attribuez lui les droits lecture et exécution, affichage du contenu du dossier et lecture. 62

Puis partagez le dossier Services, et attribuez les autorisations de partage en contrôle total à Tout le monde. Ensuite pour chaque sous dossier de ce répertoire vous devez bloquer l'héritage. Et attribuez pour chaque service les permissions au groupe de sécurité 'Dossier du service' en modification. exemple pour le dossier Etudes Pour le dossier ingenierie, le groupe Dossier Ingenierie ne devra pas avoir les droits en modification mais juste lecure exécution, affichage du contenu du dossier et lecture. Une fois votre arborescence créée et les permissions NTFS correctement positionnées, vous allez créer de nouveaux comptes d'utilisateurs et de nouveaux groupes de sécurité. Dans l'unité d'organisation Ingénierie, créez les comptes d'utilisateurs suivants: dev1, dev2, etu1, etu2 et le groupe global de sécurité projet1 63

Puis ajoutez dev1 et dev2 aux groupes globaux Ingenierie et developpement etu1 et etu2 aux groupes globaux Ingénierie et Etudes Créer un Groupe de sécurité du domaine local, intitulé Dossier projet1 ayant pour membre le groupe Projet1. Créez ensuite un sous-dossier du répertoire Developpement et positionnez les permissions sur l'arborescence de façon à ce que le groupe du projet1 puisse travailler dans ce dossier. 64

65

66

Pour finir créez une blacklist pour le répertoire projet1, contenant etu2. Créez dans Active Directory Un groupe local BlacklistDossierProjet1 Créez un groupe global BlacklistProjet1 membre de BlacklistDossierProjet1 et dont le membre est etu2. 67

Puis sur le sous-dossier Projet1 positionnez les permissions NTFS de façon à refuser le Contrôle Total pour BlacklistDossierPrjet1 68

Les refus explicites sont prioritaires sur les autorisations, c'est ce que rappel le message suivant. L'utilisateur etu2 n'a plus d'accès au dossier projet1 alors qu'il est toujours dans le groupe autorisé. 69

Atelier 10 Les GPO À travers cet atelier, vous aller apprendre à manipuler les Stratégies de groupe, qui sont un moyen efficace de paramétrer l'environnement des utilisateurs et des machines du domaine. Rappelez vous que les stratégies de groupe sont de plusieurs niveaux: - les gpo locales - les gpo de site - les gpo de domaine - les gpo des Unités d'organisation Les stratégies s'appliquent dans cet ordre. Vous allez dans un premier temps paramétrer une GPO, sur le poste windows XP. Connectez vous en tant qu'administrateur local de la machine et lancez depuis le menu démarrer exécuter la commande gpedit.msc Dans la console qui s'ouvre, allez dans Configuration utilisateur->système->ouverture de session->executez ces programmes à l'ouverture. Activez ce paramètre et ajoutez iexplore et notepad. 70

Démarrez une session avec l'utilisateur du domaine pdupond. 71

Les programmes se lancent. 72

À présent depuis un contrôleur de domaine, allez dans Active Directory pour voir où sont stockés les GPO. Depuis la console Utilisateurs et ordinateurs Active Directory dans le menu affichage activé les fonctionnalités avancées. 73

L'arborescence d'active Directory s'est élargie Dans system allez sur Policies pour voir les objets objets stockés physiquement dans le répertoire Sysvol d'active Directory. 74

Vous allez devoir installer l'outil de gestion des Stratégies de groupe: la console GPMC. Faites un double click sur gpmc.msi pour lancer l'installation. cliquez sur oui pour continuer l'installation 75

L'assistant démarre. Une fois l'installation réalisée la console d'administration est disponible dans les outils d'administration: Group Policy management. 76

À travers l'usage de cette console vous avez une vue logique des GPO, contrairement à tout à l'heure dans le stockage d'active Directory. 77

Vous allez créer un nouvel objet stratégie de groupe. 78

Vous devez l'intituler Interface utilisateur et lui attribuer les paramètres suivants. Une fois cette stratégie réalisée liez là à l'unité d'organisation Direction. 79

Une fois que la stratégie de groupe est liée à l'unité d'organisation Direction, connectez vous sur la station xp, avec l'utilisateur de cette OU pdupond, et vérifiez que les paramètres de la GPO ont pris effet. 80

Avant de déployer une stratégie de groupe vous pouvez simuler l'application de cette stratégie pour un ordinateur, cela permet de connaître l'impact qu'aura votre stratégie au sein du domaine en prenant en compte les stratégies héritées. Allez sur group policy modelling et lancez l'assistant. Choisissez votre domaine pour la simulation 81

et votre conteneur 82

83

84

à la fin de l'assistant, vous avez accès au rapport sur la simulation de votre stratégie de groupe. 85

Une autre fonctionnalité intéressante est le jeu de stratégie résultant RsoP, qui vous indique pour un ordinateur donné, quelles sont les stratégies qui s'appliquent. Depuis Gpmc, lancez l'assistant RsoP. sélectionnez la station de travail. 86

Puis l'utilisateur pdupond Une fois la procédure effectuée, vous avez accès au rapport dans la gpmc. 87

SAMBA 88

1 Présentation de Samba. Samba est un logiciel libre sous licence GPL, mettant en œuvre le protocole SMB/CIFS (Send message block/ Common Internet file System), présent dans les réseaux Windows. Il permet l'accès à des ressources partagées à travers le réseau, à des systèmes hétérogènes windows, unix, Macintosh. SAMBA 3 est étroitement lié à un second protocole: NETBIOS. Pour accéder à un serveur Samba depuis un client Windows, il faut donc activer Netbios over Tcp/ip. Le projet Samba est actif, et le wiki Samba accessible par ce lien: http://wiki.samba.org/index.php/ Main_Page est une source d'informations considérable. Actuellement il y a une branche du projet Samba qui s'occupe du développement de la version 4, future mise à jour majeure. En 1991 Andrew Tridgell, le développeur, donna le nom Samba en effectuant une recherche sur le dictionnaire à l'aide de l'expression régulière suivante : grep "^s.*m.*b" /usr/dict/words Samba permet: le partage de fichiers, le partage de fichiers à travers une arborescence réseau DFS (Distributed File system), le partage d'imprimantes, l'exploration réseau avec la mise oeuvre de Netbios, Une authentification centralisée depuis un contrôleur de domaine, la résolution de nom netbios avec un serveur WINS (Windows internet name service). Samba ne permet pas: d'être contrôleur de domaine secondaire d'un contrôleur de domaine principal NT4, de se passer de netbios lorsqu'il est PDC (Primary domain controler). Samba 4 est en cours de développement et tentera de combler le retard vis à vis de Microsoft. La version Samba 3 s'appuie sur des protocoles et mécanismes désuets tels que Netbios et NTLM. Samba 4 visera à concurrencer les domaines Microsft, basés sur la technologie Active Directory. 89

2 Présentation du déroulement du TP Chacun dispose d'une machine Hôte sur laquelle vont tourner 3 machines virtuelles dans un réseau privé vmware. La machine PDC est un serveur Debian linux qui aura pour fonction de devenir, contrôleur de domaine SAMBA. La machine Server est un serveur Debian qui deviendra un serveur SAMBA membre. La machine win-server est un serveur windows 2003, qui servira pour démontrer l'hétérogénéité de Samba. PDC SERVER win-server Réseau vmware NAT HOST Réseau de la salle de cours Imprimante 90

Le cours est essentiellement axé sur la pratique, bien que nous nous arrêterons sur des notions et des concepts qu'il est indispensable de comprendre. Les pré-requis pour ce cours, sont: la maîtrise du shell unix, la maîtrise d'outils d'administration de base comme VI, la connaissance de la configuration de cups pour l'impression, la connaissance des principes de base de la gestion des utilisateurs sous windows. connaissance de tcp/ip Les machines unix que nous utiliserons n'ont pas d'interface graphique. Conventions d'écriture ~/># c e ci e st une c o m m a nde s h ell a d mini s atreur ~/>$ c e ci e st une c o m m ande s h ell utili s ateur Les versions de SAMBA La série des versions 2.x de samba est obsolète, il n'y a donc plus de raison de la mettre en production. Nous utiliserons pour ce cours la version 3.0.24a qui fait partie des repositories debian 4.0 stable. C'est une des versions qu'il convient d'utiliser, et ce que nous mettrons en œuvre, sera portable sur des versions plus récentes comme la version 3.0.28a. La série des versions de Samba 3.2 est une branche de développement du projet samba, il ne faut pas l'utiliser pour la mise en production d'une machine. La version 4 du projet samba, est toujours disponible en version Alpha, ce sera la prochaine mise à jour majeure de Samba qui rendra obsolète la version 3. Elle apportera de nouvelles fonctionnalités pour essayer de combler son retard vis à vis de Microsoft. Citons par exemple l'annuaire embarqué de samba, le support de DNS et de Kerberos. 91

3 Installation et premiers tests. Ensuite utilisez le gestionnaire de packages apt pour installer la suite Samba: pd c~/># apt-g et in st all s a m b a s a m b a-do c s w at winbind s m b client winbind cette commande va procéder à l'installation de samba, mais aussi de la documentation du serveur, et du serveur web swat pour la configuration de Samba via un navigateur web. Nous détaillerons l'utilisation de cette interface après avoir une bonne connaissance de la configuration classique de samba. Winbind quant à lui est le démon qui permettra à samba de devenir serveur membre d'un domaine. 92

93

Arrivé à ce stade les principaux composants de samba sont installés sur la machine. Il faut refaire cette opération sur le second serveur Debian. Premiers tests: Il faut dans un premier temps éditer une configuration minimale pour notre serveur samba: Dans un premier temps faites une copie du fichier de configuration par défaut, puis avec l'éditeur de texte vim éditer le fichier de configuration /etc/samba/smb.conf: Dans le nouveau fichier de configuration rédiger ces 3 lignes: /etc/samba/smb.conf [global] workgroup = WORKGROUP netbios name = PDC Une fois créé ce fichier de configuration minimal, vous pouvez quitter vim, et revenir sur le shell. À présent vous allez utiliser un premier outil de diagnostique: Testparm. 94

À l'invite de la ligne de commande taper ceci: Cet outil vous renseigne en cas d'erreur dans la syntaxe, ou dans l'emploi de certains paramètres, et il vous donne un résumé de votre configuration. Une fois que votre configuration est correcte, vous allez utiliser un autre outil, qui va vous afficher, l'état de vos connexion Samba: Smbclient Les premiers tests sur la machine PDC semblent indiquer que tout est correctement installé sur cette machine. À présent il va falloir s'assurer que tout fonctionne également depuis la machine windows: 95

Le premier test sur Windows va être de s'assurer que le voisinage réseau fonctionne correctement. Ouvrez une fenêtre explorateur, puis allez dans tout le réseau, Réseau microsoft windows et sélectionnez workgroup: Comme le montre la figure ci-dessus l'explorateur windows doit faire apparaître vos deux machines samba (PDC et Serveur) ainsi que votre machine windows (win-server). La machine mercure qui apparaît ici est la machine hôte vmware. Puis nous allons tester que swat, l'outil web de configuration de samba fonctionne également: Ouvrez internet explorer et entrez l'url du serveur swat à tester. Par exemple: http://172.16.12.142:901 96

Une boite de dialogue doit vous inviter à saisir le login et le mot de passe de root. Une fois l'authentification réussie, vous accédez à l'interface de swat: 97

Nos outils et notre réseau semblent donc opérationnels. Composants de Samba Samba se compose de trois démons : smbd, nmbd et winbindd. Smbd est le démon qui se charge des partages et de l'authentification. Nmbd quant à lui fournit le service de noms Netbios, il peut faire office de serveur WINS, et il participe à l'exploration du réseau (Browsing). Winbindd est le démon qui va permettre d'intégrer des comptes windows sur le système unix de manière transparente, par un système de mapping des UID GID unix, avec les SID Windows. Il permet donc de faciliter l'intégration de samba dans un Domaine. Liste des ports Samba : 137 udp exploration Netbios 138 udp service de noms Netbios 139 tcp Partages 445 tcp/udp Utilisé par Windows 2000/XP lorsque Netbios over Tcp/ip est désactivé. 901 tcp Swat Principaux fichiers et programmes de Samba Le Répertoire /etc/samba contient différents fichiers de configuration de Samba dont le fichier smb.conf Le répertoire /var/lib/samba contient les bases de données des différents types de comptes utilisés par Samba. le fichier secrets.tdb stocke les identifiants de sécurité (SID). Le fichier passdb.tdb stocke les comptes. 98

Le répertoire /var/log/samba contient les fichiers de journalisation. findsmb programme donnant des informations sur les systèmes répondants aux interrogations netbios testparm programme qui permet de tester la configuration de Samba pdbedit programme de gestion des comptes smbpasswd programme de gestion des mots de passe. smbstatus énumère les connexions en cours smbclient programme qui offre un jeu de commandes, comparable à un client FTP. swat interface web de configuration de Samba nmblookup outil pour la résolution de noms Netbios. winbind permet d'obtenir des informations sur les utilisateurs et groupes, sur un serveur Windows NT/2000, et de mettre en correspondance les RID (identifiants relatifs) avec les UID unix. 99

net ensemble de commandes permettant d'effectuer certaines tâches d'administration. smbmount/smbumount montage et démontage d'un système de fichiers SMB. 100

4 Notions de base Le fichier de configuration Samba: smb.conf C'est le fichier de configuration smb.conf qui indique aux différents démons de samba comment se comporter. L'édition de se fichier peut se faire via un éditeur de texte classique tel que vi, mais aussi via l'interface web Swat que nous avons installé. Ce fichier possède une structure organisée en sections. Ces sections sont identifiables par leur nom placé entre crochets : [Section] Certaines de ses sections sont obligatoires, d'autres jouent un rôle particulier et leur nom est réservé, et l'administrateur peut aussi créer les siennes. De manière générale une section correspond à un partage. Il s'agit donc soit d'un partage personnalisé, soit d'un partage prédéfini. Règles de syntaxe: Chaque section contient des paramètres qui vont définir son comportement, on les retrouve sous cette forme [Section] paramètre = valeur Les noms des sections et des paramètres sont insensibles à la casse. Les valeurs des paramètres par contre peuvent être sensibles à la casse, par exemple quand un paramètre prend comme valeur une commande shell il est indispensable de respecter la casse. Les espaces entre le signe = et le paramètre et sa valeur est ignoré, mais le fichier gagne en lisibilité donc il convient de le mettre. Les signes '#' et ';' en début d'une ligne indique un commentaire. Par convention '#' indique un commentaire de l'administrateur alors que ';' indique une commande en commentaire. 101

Par exemple: [global] # Paramétrage du voisinage réseau workgroup = workgroup netbios name = machine ; server string = %s Les modifications sur le fichier de configuration sont détectées par samba dans un délai d'une minute environs. Mais il est possible de forcer la relecture du fichier smb.conf sans redémarrer le serveur. Les variables du fichier de configuration Samba utilise des variables qui sont utiles pour constituer la valeur de certains paramètres. Voici une liste non exhaustive de variables reconnues par Samba. Une variable est identifiée par le signe '%' place devant. %u. Nom d'utilisateur. %g. Nom du groupe primaire de l'utilisateur %u. %U. Nom d'utilisateur pour le service courant. %G. Nom du groupe primaire de l'utilisateur %U. %H. Répertoire personnel (home) de %u. 102

%v. Version de Samba. %S. Le nom du service courant (par exemple le nom du partage). %P. Le répertoire principal du service courant. %h. Le nom Internet de la machine (hostname) sur laquelle tourne Samba. %M le nom DNS du client %m. Le nom Netbios de la machine cliente. %L. Le nom Netbios du serveur Samba. C'est le nom utilisé par le client, peut être utile pour différencier le comportement de Samba avec plusieurs noms Netbios. %R. Niveau de protocole utilisé (CORE, COREPLUS, LANMAN1, LANMAN2 ou NT1). %d. Numéro de process du processus serveur courant. %a. Architecture du système client. Reconnait actuellement Samba, WfWg, WinNT et Win95. Le reste renvoie UNKOWN %I. Adresse IP de la machine cliente %T. La date et l'heure courante %$(envar). La valeur de la variable d'environnement envar. %N. Nom du serveur hébergeant le répertoire personnel (home) NIS. %p. Chemin du répertoire personnel NIS, obtenu à partir de l'entrée NIS auto.map. 103

Les sections prédéfinies. Les sections qui suivent jouent un rôle particulier. [global] Cette section contient les options générales de la configuration des services de samba, c'est ici que sera indiqué par exemple à quel groupe de travail ou à quel domaine le serveur appartient, quel est le niveau de sécurité désiré, le niveau des logs, et bien d'autres paramètres. Si certaines options peuvent se retrouver dans les sections de partages, d'autres n'ont leur place que dans cette section. C'est la section globale qui détermine le comportement de Samba. [homes] Cette section permet de partager les répertoires des utilisateurs du système unix. Cela présente l'avantage de ne pas avoir à recréer autant de sections de partages nominatives qu'il y a d'utilisateurs sur le système. [printers] Cette section joue un rôle similaire à la section [homes] mais pour le partage des imprimantes. Grâce à cette section, Samba va récupérer la liste des imprimantes du système d'impression unix, et proposer la liste des imprimantes disponibles dans le voisinage réseau. [print$] Cette section sert à créer un répertoire de partage pour les pilotes d'impression afin de réaliser les installations de pilotes automatiques. [Profiles] Cette section est utilisée pour la mise oeuvre des profils itinérants. [netlogon] Ce partage est utilsé pour les scripts de connexion. [IPC$] Ce partage est utilisé par les commandes RPC 104

NETBIOS Présentation de NETBIOS Netbios (Network Basic input output system) fut développé par IBM en 1984 pour fournir une interface de programmation (API) permettant la mise en réseau de ses machines. Après avoir développé le protocole Netbeui (Netbios extended user interface) qui permet aux machines d'annoncer leur nom dans un petit réseau local, c'est la version basée sur la pile tcp/ip qui va s'imposer. Alors que TCP/IP utilise des adresses pour identifier les machines Netbios utilise quant à lui des noms de 16 caractères (15+1), il se pose dès lors le problème d'unifier les deux protocoles. Un standard batisé NBT (Netbios over Tcp/ip) voit le jour, défini par les RFC 1001/1002. un service de noms, un service de communication en mode datagrammes un service de communication en mode session. Le service de nom permet la corrélation entre les adresses IP et les noms des machines Les modes datagrammes et session fournissent le moyen d'échanger des données. Les Noms NETBIOS Tous les participants d'un réseau Samba (NT4.0), sont identifiés par n nom NETBIOS unique sur le réseau. Les noms Netbios sont enregistrés de façon dynamique au démarrage des machines, et à chaque nom Netbios doit être associé une adresse IP. Un nom NETBIOS est codé sur 16 caractères. Les 15 premiers représentent le noms définis par l'utilisateur qui sera d'ailleurs affiché dans le voisinage réseau, et par qui servira pour la résolution de noms. 105

Le 16e caractère définit le type de la ressource. Le tableau suivant récapitule les types de fonctionnalités qui sont représentées. Type Valeur en hexadécimal workstation 00 Messenger service 03 RAS server 06 RAS client 21 Domain Master Browser service 1B Master Browser name 1D Fileserver (printing) 20 Network Monitor agent BE Network Monitor utility BF Certains des types sont associés à des groupes Types Valeur en hexadécimal Workgroup 00 logon server 1C Master browser name 1D Normal Group Name 1E 106

Voici un exemple de la représentation de ces informations sur un poste windows xp: La résolution des noms NETBIOS À la différence de DNS, NETBIOS est un système de nommage non hiérarchique. Son mode de fonctionnement par défaut est le Broadcast pour l'annonce des noms et la recherche des ressources sur le réseau. La meilleure alternative à ce mode de fonctionnement est la mise en place d'un serveur de noms Netbios qui se charge de l'enregistrement des machines et s'occupe de la résolution des noms en adresses IP. Un tel serveur est nommé NBNS pour NetBios Name Server. Ce rôle sous Samba est assuré par le démon Nmbd. Sous les systèmes Microsoft ce type de serveur s'appelle WINS. Une fois un tel serveur en place il convient de configurer les clients pour qu'ils effectuent des requêtes de résolution de noms en priorité en passant par un serveur de noms Netbios. Les client Windows sont configurés dans un mode appelé Hybride, qui cherche à résoudre les noms via un serveur de noms et en broadcast en cas d'indisponibilité. Aperçu des modes d'enregistrement et de résolution de nom netbios: 107

Méthode sans serveur NBNS (netbios name server): Il s'agit dans cette configuration réseau, pour chaque machine, de s'enregistrer auprès des autres machines déjà présentes sur le réseau. Chacune défend son nom, garantissant ainsi l'unicité du nom sur le réseau. Dans ce mode de fonctionnement une requête de résolution de nom s'effectue en diffusion afin d'atteindre toutes les machines. Seule la machine concernée répond à la requête. Méthode avec serveur NBNS: Dans cette configuration, les machines arrivant sur le réseau enregistrent leur nom auprès d'un serveur de noms qui va donc centraliser les informations, défendre les noms des machines déjà présentes, et se charger de la résolution des noms. L'avantage que présente un serveur NBNS est qu'il n'y pas de diffusion. Il existe plusieurs stratégies, afin qu'un client soit en mesure de déterminer quelle méthode utiliser, ce sont les types de noeuds Netbios qui les définissent: B-node: enregistrement et résolution par diffusion P-node: enregistrement et résolution par serveur NBNS m-node: (mixed) enregistrement par diffusion puis notification au NBNS résolution par diffusion si échec par NBNS H-node: enregistrement et résolution par NBNS, si pas de réponse par diffusion. Nous avons vu que Windows avait un paramétrage par défaut positionné en mode hybride, voyons à présent comment configurer Samba. Tout d'abord rappelons les différents moyens pour résoudre les noms: Un client peut utiliser un serveur de noms NBNS (WINS) La première alternative si aucun serveur NBNS n'est disponible, c'est de consulter un fichiers local d'enregistrements: LMHOSTS. Ce fichier est l'équivalent du fichier HOSTS pour DNS. Voici le contenu d'un tel fichier 1 7 2. 1 6. 1 2. 1 4 2 P D C 1 7 2. 1 6. 1 2. 1 4 0 w i n s t a ti o n 108

La résolution de noms peut aussi se faire via le fichier hosts classique d'unix Et enfin par une requête en broadcast sur le réseau. Comment paramétrer l'ordre de résolution de noms dans SAMBA? Dans la section Global, il existe un paramètre name resolve order qui peut prendre ces différentes valeurs. [gl o b a l] n a m e re s olv e or d er = w i n s l m h o sts h o st b c a st Wins va utiliser un serveur de noms, lmhosts va consulter un fichier d'enregistrements lmhosts host pour utiliser le fichier classique des noms d'hôtes sous unix. bcast pour effectuer les requêtes en broadcast sur le réseau. Pour faire de samba un serveur de noms il existe un paramètre wins support positionnable à yes/no [gl o b a l] win s su p p ort = y e s Et pour indiquer à samba d'utiliser un serveur wins en particulier: [gl o b a l] w i n s s e r v e r = 1 7 2. 1 6. 1 2. 1 4 2 On ne peut pas utiliser le paramètre wins server si le paramètre wins support est positionné à yes. Même si Samba 3 ne supporte pas totalement le système de nommage DNS, il est quand même possible d'utiliser un serveur de noms DNS dans certains cas avec l'option dns proxy. 109

[gl o b a l] dns proxy = yes exemple de requête de résolution de noms sous linux avec la commande nmblookup: 110

Types de réseaux Windows NT Les groupes de travail Un groupe de travail, regroupe un ensemble de machines au sein d'un même espace de nommage. L'exploration dans les groupes de travail, est le processus de recherche des ressources partagées et des machines, permettant d'en examiner le contenu par interface graphique. Dans un groupe de travail une machine tient un rôle spécifique pour maintenir la liste des ressources et des machines accessibles. Il s'agit d'un explorateur maître local qui maintient une liste d'exploration. Dans un groupe de travail, l'authentification est à la charge des machines et des ressources. Les domaines Un domaine Windows NT est un groupe de travail dans lequel une machine tient le rôle de contrôleur de domaine. Un contrôleur de domaine gère une base des comptes centralisée, contenant les informations relatives aux utilisateurs: la base SAM (Security Account Manager). On distingue le PDC (Primary domain controller) qui est le contrôleur principal, du BDC (Backup domain controller) qui est le contrôleur de sauvegarde. Les BDC sont des copies en lecture seule du PDC. S'il ne peut y avoir qu'un PDC en revanche il peut y avoir plusieurs BDC. 111

Le voisinage réseau La fonctionnalité de voisinage réseau, encore appelée Browsing consiste à découvrir l'ensemble des ressources du réseau à travers une liste. Sous windows, cette liste est disponible graphiquement depuis l'explorateur Windows. Au sein d'un groupe de travail une machine est désignée pour maintenir la liste des ressources à jour, la 'browse list'. L'ordinateur qui tient ce rôle est appelé 'local master browser'. Une telle machine permet d'éviter que les browse lists ne soient envoyer en broadcast sur le réseau. Lorsqu'un ordinateur a enregistré son nom auprès d'un serveur de noms Netbios, il doit annoncer sa présence au 'local master browser'. Dans le cas d'un domaine éclaté sur plusieurs réseaux physiques distincts, un des 'local master browser' va tenir le rôle de 'domain master browser' afin de synchroniser les listes des différents segments réseau, il s'agit du PDC. Par contre le 'local master browser' quant à lui est désigné à la suite d'un élection entre les systèmes. En fonction du système d'exploitation, une machine se voit attribuer une valeur d'élection, par exemple: windows NT/2000 en tant que PDC = 32 windows NT/2000/XP = 16 windows 95/98/Me =1 Depuis un poste windows la commande nbstat permet de savoir si une machine est 'local master browser'. 112

et sous linux la commande nmblookup permet d'obtenir l'information: Le paramétrage de Netbios dans Samba. La configuration de Netbios s'effectue pour une bonne part dans la section [global]. Nous avons déjà abordé quelques unes des options utiles à la résolution des noms. Voici à présent, les options qui définissent les rôles de samba dans le Browsing. os level = Niveau du serveur pour remporter l'élection du maître d'exploration preferred master = Si à YES Samba provoquera une élection d'explorateur maître au démarrage domain master = Si à YES, le serveur Samba devient explorateur maître du domaine local master = autorise ou non Samba, à participer aux élections de l'explorateur maître local exercice: D'après ce que nous avons vu jusqu'à présent, essayer de déterminer ce qu'implique le paramétrage dans cette configuration Netbios. [gl o b a l] loc al m a ster = y e s o s lev el = 255 preferre d m a ster = ye s D'après vous est-il judicieux de configurer un second serveur Samba de cette façon? [gl o b a l] do m ain m a ster bro w ser = yes loc al m a ster = y e s 113

o s lev el = 255 preferre d m a ster = ye s Dans cette nouvelle configuration nous avons rajouter un paramètre, quel en est la signification? Option Netbios des sections de ressources Pour en terminer avec netbios, voyons une dernière option qui trouve sa place des sections de partage. Browsable ou browseable : cette option permet ou non de faire apparaître la ressource dans le voisinage réseau. Les SID/RID Le SID (security identifier ) est un identifiant d'utilisateur ou de groupe, qui provient du monde Microsoft. L 'équivalent sous unix est l'uid pour l'utilisateur, et le GID pour le Groupe. Il existe des SID locaux à une machine, par exemple sur une machine autonome, pour la gestion des utilisateurs et accès aux ressources locales à la machine. Et il existe des SID locaux de Domaine, qui vont identifier les utilisateurs du domaine. Un SID se compose de deux parties : Une partie qui identifie le domaine ou la machine S-1-5-21-12345987-425361820-142553678 et une seconde partie, le RID (relative identifier), qui va identifier l'utilisateur ou le groupe : 512 par exemple. La gestion des identifiants sous windows et sous linux étant différente, nous verrons quels mécanismes mettre en oeuvre pour mapper les utilisateurs de ces deux mondes. 114

5 Samba, en tant que client. Premières manipulations des outils de samba pour accéder à des ressources réseau. Nous connaissons déjà quelques manipulations parmi elles la vérification de la configuration, qu'il est préférable de faire après chaque modification du fichier de configuration. Ajoutez le paramètre local master à votre configuration minimale puis exécutez Testparm: Pour faire prendre en compte les modifications immédiatement vous pouvez redémarrez le serveur. Vous pouvez recharger le fichier de configuration sans redémarrer le serveur mais dans ce cas, seul le démon smbd sera actualisé: 115

Avant de se connecter à partage nous allons lister les ressources disponibles sur une machine: Ici nous voyons la liste des différents partages disponibles, vous allez vous connecter à la ressource ''Mes Documents'' toujours avec l'outil smbclient Une fois connecté vous pouvez faire du transfert de fichiers, par exemple pour transférer un fichier samba.txt du répertoire courant de la machine unix vers le partage exécutez la commande suivante 116

Puis vous pouvez lister le répertoire partagé sur lequel vous êtes connecté: puis quittez avec la commande 'quit'. Depuis la machine windows vous remarquez que le fichier est bien présent: 117

Smbmount la commande smbmount fait partie du package smbfs, il faut l'installer avec la commande : apt-get install smbfs Une autre possibilité pour accéder à la ressource partagée consiste à la monter dans le système de fichiers, pour pouvoir y accéder comme s'il s'agissait d'un répertoire local. Tout d'abord créez le répertoire qui servira au montage. Par exemple : #mkdir -p /samba puis pour faire le montage : 118

Si vous lister le répertoire vous avez bien accès au contenu de ce qui se trouve sur la machine windows. Et pour démonter le partage : 119

6 Samba serveur autonome. À présent que nous savons manipuler samba en tant que client, nous allons étoffer notre configuration minimale pour proposer des ressources en partage, et faire de notre machine unix un serveur samba. Le premier partage sera une ressource publique, accessible à tout le monde [global] workgroup = workgroup netbios name = pdc # Options netbios local master = yes # Option de gestion des logs log level = 3 log file = /var/log/samba/%m.log [public] comment = partage public path = /tmp guest ok = yes writeable = yes browseable = yes 120

En quittant n'oubliez pas de tester votre fichier avec Testparm. Redémarrer le serveur samba puis tester la connexion depuis windows. 121

Vous devez pouvoir créer des dossiers et fichiers dans ce partage, depuis la machine windows. Notez qu'aucune authentification ne vous est demandée, ce qui est normal puisque notre ressource est configurée pour être accessible à tous. Précisions sur les comptes. L'un des rôles de Samba est de permettre à des comptes de types Windows de se connecter à serveur de type Unix, hors nous l'avons vu quand nous avons abordé les SID/RID, que les deux systèmes ont une manière bien différente de gérer les utilisateurs et les groupes. Samba tente entre autre de fédérer ces deux systèmes pour que cela soit le plus transparent possible pour les utilisateurs. Pour y parvenir, samba entretien une table de correspondance située dans /var/lib/samba/mapping.tdb. Pour mapper les deux systèmes il est indispensable qu'à un compte windows corresponde un compte unix. C'est pour quoi, pour créer un utilisateur il faut à la fois créer un compte unix avec la commande useradd et un compte windows correspondant à cet utilisateur avec la commande smbpasswd -a. 122

Création d'une ressource avec authentification Modifiez la section [global] du fichier de configuration pour ajouter les paramètres security = user et passdb backend. puis ajoutez la section de partage [prive] [global] workgroup = workgroup netbios name = pdc security = user passdb backend = tdbsam # Options netbios local master = yes # Option de gestion des logs log level = 3 log file = /var/log/samba/%m.log [public] comment = partage public path = /tmp guest ok = yes writeable = yes browseable = yes [prive] path = /samba/private comment = partage privé writeable = yes 123

browseable = yes guest ok = no valid users = @ smbusers Samba est configuré mais ce n'est pas encore suffisant. Créez le répertoire /samba/private, puis deux comptes utilisateurs user1 et user2 ainsi que le groupe smbusers. À ce stade vous avez deux utilisateurs unix auxquels correspondent des comptes windows. Il ne vous reste plus qu'à tenter la connexion avec les deux utilisateurs notez la différence. 124

125

Avec l'utilisateur user1 vous pouvez vous connecter mais il vous est impossible de créer un document dans le répertoire. Par contre avec l'utilisateur user2 la connexion échoue 126

vous pouvez supprimer l'utilisateur user2 avec les commandes suivantes : Comme nous avons une base des comptes de type tdbsam, vous allez pouvoir manipuler les comptes avec l'outil pdedit. Par exemple pour avoir des information sur un utilisateur lancez cette commande: 127

Pour lister l'ensemble des comptes : pdbedit -L Nous avons vu qu'il était impossible pour l'utilisateur autorisé à se connecter, de créer un document dans le répertoire privé. Cela est dû aux permissions du système de fichiers, car dans samba nous n'avons configurer que les autorisations concernant les connexions au partage. 128

Pour configurer les autorisations pour le répertoire exécutez les commandes suivantes : Puis connectez vous sur le répertoire partagé ''prive'' avec user1 et créez un dossier, cela doit fonctionner. 129

7 Samba et le partage des imprimantes. Notre serveur Samba partage donc des ressources de type fichiers et répertoires, nous allons maintenant voir comment partager le système d'impression. Nous utiliserons CUPS comme système d'impression unix. Tout d'abord il faut configurer une imprimante dans cups. Nous allons configurer cups pour utiliser l'administration à distance via l'interface web. Dans le fichier /etc/cups/cupsd.conf, modifier la ligne listen localhost:631 en listen *:631 ajouter cette ligne Allow @localhost dans les sections suivantes : 130

Ensuite depuis internet explorer dans windows connectez vous à l'url de votre serveur et rendezvous dans la section administration pour ajouter une imprimante : 131

Nous allons installer une imprimante en mode RAW, ceci est très important, car c'est un mode qui permet de ne pas utiliser de drivers spécifique sous unix. 132

Renseignez l'adresse ip de votre imprimante. 133

C'est ici qu'il est important de choisir le mode RAW 134

Notre imprimante est installée sur le système unix. 135

Nous allons maintenant configurer samba pour utiliser le système d'impression CUPS, et récupérer la liste de imprimantes pour en faire un partage dynamiquement. Dans smb.conf ajouter ces lignes à la section [global] [global]... # Options d'impression load printers = yes printing = cups printcap name = cups et créer la section [printers] [printers] comment = partage des imprimantes path = /var/spool/samba printable = yes browseable = yes valid users = root, @smbusers guest ok = yes pour partager les pilotes d'impression il faut créer la section [print$] [print$] comment = partage des pilotes path = /samba/pilotes browseable = no write list = root, @smbusers writeable = no 136

Puis vérifiez les permissions sur les fichiers et créer les répertoires manquants : Ensuite connectez vous en tant que root sur PDC. Allez dans imprimantes et fax puis sur votre imprimante. Faites un click droit et quand le message d'avertissement apparaît cliquez sur non. Puis allez dans propriétés, avancé. 137

Dans cette fenêtre vous sélectionnez votre pilote. 138

Une fois le pilote téléchargé votre imprimante apparaît avec le nom du pilote dans l'explorateur. 139

8 Samba en tant que contrôleur de domaine. Nous allons à présent modifier le fichier de configuration pour faire de samba un contrôleur de domaine. Nous allons donc modifier la section globale, et rajouter des sections pour les partages particuliers. Modifiez le fichier smb.conf comme sur les figures : [global] workgroup = SAMBA netbios name = PDC server string = %h security = user passdb backend = tdbsam # Options pour le contrôle du domaine domain logons = yes encrypt passwords = yes # Options pour les scripts de creation des utilisateurs add machine script = /usr/sbin/useradd -g computers -c Machine -d /dev/null -s /bin/false '%u' add user script = /usr/sbin/useradd -g smbusers -c Utilisateur -d /home/%u -s /bin/bash '%u' #Options Netbios local master = yes os level = 255 domain master = yes preferred master = yes wins support = yes 140

# Options de gestion des logs log level = 3 log file = /var/log/samba/%m.log # Options d'impression printing = cups printcap name = cups load printers = yes printer admin = root, @smbusers show add printer wizard = yes # Options des repertoires de connexion au domaine logon path = \\PDC\profiles\%u logon drive = H: logon script = %U.cmd logon home = \\PDC\%U [public] path = /tmp guest ok = yes writeable = yes browseable = yes [prive] path = /samba/private comment = partage privé writeable = yes browseable = yes 141

guest ok = no valid users = @smbusers [printers] comment = partage des imprimantes path = /var/spool/samba printable = yes browseable = yes valid users = root @smbusers guest ok = yes [print$] comment= partage des pilotes path = /samba/pilotes writeable = no browseable = no write list = root, @smbusers [homes] path = /home/%u comment = répertoires personnels guest ok = no create mode = 700 directory mode = 2700 browsable = no writeable = yes [profiles] path = /home/%u guest ok = no writeable = yes 142

valid users= @smbusers [netlogon] path = /samba/netlogon guest ok = no writeable = no browseable = no valid users = @smbusers Créez les répertoires correspondants aux nouveaux partages : La prochaine opération consiste à créer un groupe unix pour les machines et à mapper les diiférents groupes unix avec des groupes windows. 143

Nous allons utiliser pour cela les commandes net groupmap add et net groupmap list Une fois toutes ces configurations effectuées, et vous être assuré de rien avoir oublié, Vous allez pouvoir joindre la machine windows au domaine samba. Si vous aviez des lecteurs connectés redémarrez la machine avant l'opération de jonction. Ensuite procédez comme suit: 144

145

Vous pouvez vous connecter avec l'utilisateur toto et vous assurer que son répertoire est bien monté sur le lecteur H 146

Joindre un serveur samba au domaine: Maintenant nous allons tenter de joindre un serveur samba à notre domaine, pour cela nous allons utiliser winbind. Configurer le samba de cette manière : 147

Puis éditez le fichier /etc/nsswitch.conf et modifiez le de cette façon : redémarrez les services samba et winbind. Ensuite tapez la commande : #net rpc join -S PDC -U root pour joindre votre machine au domaine. Puis lancez ces deux commandes : wbinfo- u et wbinfo -g pour lister les utilisateurs et groupes du domaine SAMBA 148

9 Les ACL windows sous samba Présentation Dans le monde windows, les acl permettent un contrôle fin des accès aux répertoires et aux fichiers par les différents groupes et utilisateurs. C'est un support plus élaboré que les tradionnelles permissions unix basées sur UGO. Sous linux, le support des acl est disponible pour les systèmes de fichiers suivants: EXT2/EXT3, JFS, XFS avec un noyau 2.6 minimum ou 2.4+ patch. Il faut spécifier au système de fichiers qu'il doit prendre en charge les acl: soit on le fait à la volée par la commande: soit en plaçant dans la fstab l'option acl au niveau du système de fichiers concerné. Depuis Windows vous pouvez dès lors positionner les permissions comma sur un système de fichiers ntfs: 149

150

Sans l'opération de remontage de la racine du système de fichiers unix cette opération est impossible. Dans le fichier de configuration samba, il y a aussi une option pour cacher l'onglet sécurité aux utilisateurs: [global]... nt acl support = no 151