Unknown user : Christophe a déplacé la page Samba vers Samba (avancé) sans laisser de redirection

2019-09-29T09:06:13Z

Christophe a déplacé la page Samba vers Samba (avancé) sans laisser de redirection

← Version précédente	Version du 29 septembre 2019 à 09:06
(Aucune différence)

Unknown user : /* Commandes de vérification */

2019-09-29T09:01:39Z

Commandes de vérification

← Version précédente		Version du 29 septembre 2019 à 09:01
Ligne 87 :		Ligne 87 :

	Lister les partages :		Lister les partages :
	#smbclient –L //serveur		#smbclient –L \\serveur

	Se connecter à un partage avec l’utilisateur user :		Se connecter à un partage avec l’utilisateur user :
	#smbclient //serveur/partage –U user		#smbclient \\serveur\partage –U user

	La commande smbmount monte les partages :		La commande smbmount monte les partages :
Ligne 128 :		Ligne 128 :

	<tt>#net use * /d</tt> déconnecte tous les partages.		<tt>#net use * /d</tt> déconnecte tous les partages.

	=Serveur de fichiers=		=Serveur de fichiers=
	==Création des utilisateurs (si pas de PDC)==		==Création des utilisateurs (si pas de PDC)==

Christophe : 1 version

2012-05-28T20:31:52Z

1 version

Nouvelle page

[[Category:Applications]]

Ce manuel explique la configuration samba pour
* un contrôleur de domaine
* et/ou un serveur de fichiers

=Généralités=
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/

==Configuration du serveur==

La configuration du serveur Samba s’écrit dans le fichier <tt>/etc/samba/smb.conf</tt>.
La commande <tt>testparm</tt> permet de vérifier la validité et le contenu de la configuration de <tt>smb.conf</tt>.
La commande <tt>grep</tt> permet de vérifier la configuration de paramètres précis :
#testparm | grep security
:Les lignes peuvent être commentées par un point-virgule (;) ou dièse (#) devant la ligne.

Le fichier se décompose en une section « global » définissant les paramètres généraux suivie de sections pour chaque partage.

===La section [global]===
<licode file=/etc/samba/smb.conf>
[global]
netbios name=asteroide
workgroup=WORKGROUP
security=user
log file=/var/log/samba/log.%m
log level=1
encrypt passwords=yes
hosts allow = 127. 192.168.10.
</licode>

L’exemple de configuration ci-dessus définit :
* le nom netbios du serveur
* le nom du domaine ou groupe de travail
* le type d’authentification utilisé. Il existe trois types user, share et server.
<blockquote>
Au cours d’une authentification « user », le client commence la session en envoyant un login et un mot de passe.
Le serveur accepte (ou refuse) en fonction de l’adéquation login/password et du nom de machine du client.
Le client peut alors monter tous les partages sans mot de passe supplémentaire.

L’ authentification « share » force le client a donner un mot de passe à chaque fois qu’il veut monter un partage.

L’authentification « server » est intéressante pour joindre le serveur à un domaine.
Le client donne son login/mot de passe au serveur de fichiers qui s’en sert pour vérifier l’authentification auprès d’un serveur distant (ex PDC).
</blockquote>

* la destination du fichier de logs (ici un fichier par machine d’où le %m)
* le niveau de debuggage désiré dans les logs (de 0 à 10)
* le cryptage des mots de passe
* le fichier de mot de passe
* l’option hosts allow permet de limiter les connexions à certaines adresses IPs.

Le manuel (<tt>man smb.conf</tt>) donne un description précise de chaque paramètre. On y trouve aussi la définition des variables utilisées par <tt>smb.conf</tt> :
* %m nom netbios de la machine qui se connecte
* %L nom netbios du serveur
* %u nom de l’utilisateur du partage
* %U nom de session de l’utilisateur sur le serveur
* %v numéro de version Samba

====Le fichier de mot de passe====
Le plus simple pour samba est d'utiliser la base d'authentification - utilisateur et machine - TDB (trivial database).
L'utilisation de cette base est recommandée pour les systèmes qui n'ont pas besoin d'authentification LDAP, avec moins de 250 utilisateurs.

<licode file=/etc/samba/smb.conf>
passdb backend = tdbsam
</licode>

Pour connaître la liste des utilisateurs, taper:
#pdbedit -w -L

===Les autres sections===
Elles correspondent à différents types de partages

[netlogon] est utile pour une configuration en PDC

[home] définit automatiquement les répertoires utilisateurs (cf serveur de fichiers)

[partage] définit tous les autres partages (cf serveur de fichiers)

==Commandes de vérification==
===Commandes Linux===
Chercher une machine samba sur l’adresse 127.0.0.1:
#nmblookup –U 127.0.0.1 __SAMBA__

Rechercher sur tout le réseau local :
#nmblookup –B 192.168.10.255 __SAMBA__

Lister les partages :
#smbclient –L //serveur

Se connecter à un partage avec l’utilisateur user :
#smbclient //serveur/partage –U user

La commande smbmount monte les partages :
#smbmount //serveur/partage /mnt/partage –o ip=192.168.10.1, username=user

====smbmount====
smbmount //asteroide/Bureau /mnt/smb -o ip=192.168.111.1,username=chris
smbmount //asteroide/Bureau /home/chris/smb/
smbclient //asteroide/Bureau -U chris -I 192.168.111.1

Avec smbfs dans fstab:
<licode file=/etc/fstab>
//home/chris /mnt/home_chris smbfs user,auto,rw,uid=chris,credentials=.home.cre 0 0
//home/data /mnt/data smbfs user,exec,gid=users,credentials=.home.cre,codepage=cp850,iocharset=iso8859-15,debug=4 0 0
</licode>
ou avec cifs :
<licode file=/etc/fstab>
//home/usbdisk /mnt/usbdisk cifs user,exec,gid=users,credentials=.home.cre,iocharset=iso8859-15 0 0
</licode>

<blockquote>Attention cifs utilise le dns pour retrouver home</blockquote>

<licode file=.home.cre>
username=xxx
password=xxx
</licode>

===Commandes Windows===

<tt>#nbtstat –A 192.168.10.12</tt> donne les noms netbios enregistrés par une adresse IP

<tt>#net view</tt> donne les serveurs de fichiers sur le réseau

<tt>#net view \\serveur</tt> donne les partages disponibles sur une machine

<tt>#net use h: \\serveur\partage /user:chris</tt> connecte un partage au lecteur réseau H:

<tt>#net use * /d</tt> déconnecte tous les partages.
=Serveur de fichiers=
==Création des utilisateurs (si pas de PDC)==
Il faut créer un compte Unix et un compte samba par utilisateur :
#adduser utilisateur
#smbpasswd –a utilisateur

:L’option –a permet de rajouter le mot da passe utilisateur au fichier <tt>smbpasswd</tt>.

Il ne faut pas oublier de créer le <tt>« home »</tt> de l’utilisateur avec les bons droits :
#mkdir /home/utilisateur
#chown utilisateur.public /home/utilisateur -R

:L’utilisateur correspond à son « login » et le groupe public, correspond au groupe de partage.
#ls -l

drwxr-xr-x 3 cdelivois InterAct 4096 Dec 19 18:57 cdelivois

==Configuration de partages ==
===Le partage [homes]===
:Le partage <tt>[homes]</tt> correspond au partage propre à chaque utilisateur qui correspond à son répertoire personnel définit dans <tt>/etc/password</tt>.

<licode file=/etc/samba/smb.conf>
[homes]
guest ok=no
read only=no
</licode>
Le partage n’autorise pas l’accès aux invités et peut être utilisé en écriture.

===Les partages « classiques »===
<licode file=/etc/samba/smb.conf>
[Assistante]
browseable=Yes
path=/home/assistante
invalid users = root
valid users = cdelivois,struttet
writeable=yes
create mask=0660
directory mask=0770
</licode>

==Création des répertoires==
Il faut créer les répertoires avec les bons droits. Par exemple pour le répertoire « films » :
#mkdir /home/films
#chown root.public /home/films
#chmod 770 /home/films

<blockquote class=note>
'''Remarque :''' Tous les utilisateurs doivent faire partie du même groupe (public en l’occurrence). Ils pourront alors accéder par l’explorateur windows aux fichiers du répertoire assistante s’ils sont référencés dans la ligne « valid users ».
</blockquote>
<blockquote class=warning>
'''Attention''', cela veut dire que si ces utilisateurs ont un accès telnet ou ssh au système, ils peuvent récupérer tous les documents auxquels ils n’ont pas accès par l’explorateur.
Si l’accès ssh est requis pour tous, le seul moyen est de créer un groupe d’accès par répertoire.
</blockquote>

:Pour inscrire un utilisateur dans un groupe, il suffit d’éditer le fichier <tt>/etc/group</tt> et de mettre l’utilisateur, à la fin de la ligne. Ex :
<licode file=/etc/group>
films::500:you,me
</licode>

===Permissions===

==Paramètres avancés==
<licode file=/etc/samba/smb.conf>
hide unreadable = Yes
cache les fichiers qui ne sont pas accessibles
veto files =/*.exe/*.dll/*.com/*.vbs/*.{*}/
hide files = /fichieracacher.txt/*.test/

veto oplock files = /*.mdb/*.MDB/
</licode>
:Op lock veut dire « Opportunist locking » : le client peut télécharger un fichier et le mettre en cache sur son disque dur pendant qu’il le modifie. Si un deuxième client veut accéder au fichier, le premier client est averti et met à jour la version sur le serveur. Cela améliore les performances mais l’oplock ne doit pas être utilisé lors de l’utilisation à plusieurs d’une base de données. Les oplocks peuvent être désactivés par les options oplocks et level2oplocks.

Autoriser la commande NET TIME \\SERVERNAME /SET /YES qui synchronise l’horloge client sur l’horloge du serveur.
<licode>time server = Yes</licode>

Optimiser les performances du serveur avec <tt>socket options</tt>.
<licode>socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192</licode>

==Problèmes rencontrés==
Le fichier <tt>docs/textdocs/DIAGNOSIS.TXT</tt> livré avec les sources de Samba permet de diagnostiquer les problèmes les plus courants.

=Configuration avancée=
http://us2.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2554333

http://www.ofb.net/~jheiss/samba/ldap.shtml

==LDAP==
===Configuration d'openldap===
<licode file=/etc/openldap/slapd.conf>
include /etc/openldap/schema/samba.schema
# Indices to maintain
## required by OpenLDAP
index objectclass eq

index cn pres,sub,eq
index sn pres,sub,eq
## required to support pdb_getsampwnam
index uid pres,sub,eq
## required to support pdb_getsambapwrid()
index displayName pres,sub,eq

## uncomment these if you are storing posixAccount and
## posixGroup entries in the directory as well
##index uidNumber eq
##index gidNumber eq
##index memberUid eq

index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub
</licode>

Create the new index by executing:
#/sbin/slapindex -f slapd.conf

Remember to restart slapd after making these changes:
#/etc/init.d/slapd restart

Before Samba can access the LDAP server you need to store the LDAP admin password into the Samba-3 secrets.tdb database by:
#smbpasswd -w secret

===Configuration de samba===
:On considère que les comptes sont dans les groupes User, Group, Computers (cf Ldap & Linux)

Il faut aussi installer les outils smbldap (cf Ldap & Linux)

smb.conf

Adapter <tt>smb.conf</tt> avec les paramètres suivant (expliqués dans man smb.conf)
<licode file=/etc/samba/smb.conf>
##ldap
ldap admin dn = "cn=Manager,dc=livois,dc=com"
ldap ssl = off #start tls|on|off
passdb backend = ldapsam:ldap://ldap.livois.com
ldap suffix = dc=livois,dc=com
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
#ldap filter = (&(objectclass=sambaSamAccount)(uid=%u))

##user & group management
add user script = /usr/sbin/useradd -d /dev/null -g workstation -s /bin/false -M %u
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
#delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
</licode>

Relancer samba.

=Contrôleur de domaine=

L’avantage de créer un contrôleur de domaine est le SSO (Single Sign On).
Une fois que l’utilisateur est connecté au domaine, il n’a plus à donner son mot de passe pour se connecter à différentes applications.
Le contrôleur de domaine le fait à sa place.
Le contrôleur de domaine permet aussi d’imposer des paramètres de sécurité à chaque utilisateur.

==Configuration du serveur==
===Configuration de base===

<licode file=/etc/samba/smb.conf>
[global]
domain logon=yes
workgroup=INTERACT
domain admin group=@admins
encrypt passwords=yes
passwd program = /usr/bin/passwd
</licode>

Les paramètres propres au PDC sont simples.
Il faut indiquer que le serveur est un PDC (domain logon) ainsi que le groupe administrateur de domaine (admins).
Il faut donc créer le group admins dans lequel on rajoutera l’utilisateur root :
#groupadd admins

puis éditer le fichier
<licode file=/etc/group>admins:x:502:root</licode>

Indiquer aussi le nom du domaine et demander que les mots de passe soient cryptés.

===Configuration avancée===
====Ajout automatique de machine (A FAIRE)====
La ligne suivante dans <tt>/etc/samba/smb.conf</tt> crée automatiquement un compte Unix pour les machines qui se connecte au PDC.
<licode file=/etc/samba/smb.conf>
add user script = /usr/sbin/useradd –d /dev/null –g workstation –s /bin/false –M %u
</licode>

Il faut créer au préalable le groupe workstation.
#groupadd workstation

<blockquote class="note">
'''Remarque :''' cette option ne sert pas pour les machines W95/W98. En effet cet système d’exploitation ne fournit aucune authentification machine.
</blockquote>

====Synchronisation des mots de passe SAMBA/UNIX (Echec)====
La synchronisation de mots de passe SAMBA/UNIX a posé des problèmes.
Son utilité est limité. Cependant, voici la théorie :

Dans la section global, rajouter les lignes :
<licode file=/etc/samba/smb.conf>
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = "New SMB password:" %n\n "Retype new SMB password:" %n\n *changed*
</licode>

La première ligne demande à samba de synchroniser les mots de passe à l’utilisation de la commande smbpasswd.

La deuxième ligne indique l’emplacement du programme passwd (/bin/passwd) par défaut.

La troisième ligne (la plus difficile à configurer) indique la syntaxe de smbpasswd.
<blockquote>
Les espaces sont des délimiteurs entre chaque type de caractères. 
L’* correspond à 0 ou plusieurs caractères de tout type. 
Le %n correspond au nouveau mot de passe. 
Le \n correspond à la touche entrée. 
</blockquote>

Exemple de syntaxe de <tt>smbpasswd</tt> sur Gentoo :
#smbpasswd cdelivois

New SMB password:
Retype new SMB password:
Password changed for user cdelivois.
Password changed for user cdelivois.

Pour debugger :
<licode file=/etc/samba/smb.conf>
passwd chat debug = yes
log level=100
</licode>

Pour plus d’info, se référer au livre « Using Samba », Chapitre 6.

==Le partage NETLOGON==
Le partage netlogon contient :
* les scripts de logon
* et les politiques systèmes utilisées à la connexion

Créer le répertoire netlogon :

#mkdir --mode=0775 /home/netlogon
#chown root.admins /home/netlogon

Etant donné l’importance du contenu de ce répertoire, ses permissions sont critiques!
<licode file=/etc/samba/smb.conf>
[netlogon]
path=/home/netlogon
logon script=logon.bat
read only=yes
write list=@admins
</licode>

===Scripts de logon (TODO)===
===Politiques systèmes (TODO)===
==Création des utilisateurs==
http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html

Créer un groupe « public » :
#groupadd public

Il faut créer un compte Unix et Samba :

* pour tous les utilisateurs du domaine
#adduser utilisateur –s /dev/null –G public
#pdbedit –a utilisateur

:Il ne faut pas oublier de créer le « home » de l’utilisateur avec les bons droits :

#mkdir /home/utilisateur
#chown utilisateur.public /home/utilisateur –R
#chmod 700 /home/utilisateur -R

:L’utilisateur correspond à son « login » et le groupe public, correspond au groupe de partage.
#ls -l

drwx------ 3 cdelivois interact 4096 Dec 19 18:57 cdelivois

<blockquote class="note">
'''Remarque :''' pour ajouter des utilisateurs à un domaine, il faut d’abord créer un utilisateur root pour samba (#smbpasswd -a root).
</blockquote>

<blockquote class=gentoo>
Remarque Gentoo: on peut imaginer le script suivant pour créer un nombre important d’utilisateurs
</blockquote>

<licode file=script>
#!/bin/bash
USERS="user1 user2 you me"
GROUP=mygroup

for USER in $USERS; do
useradd $USER -g $GROUP -s /dev/null
mkdir /home/$USER
chown $USER.$GROUP /home/$USER -R
chmod 700 /home/$USER -R
done
</licode>

* pour toutes les machines clientes du domaine
Cela doit être fait automatiquement en utilisant la commande <tt>add user script</tt> de <tt>smb.conf</tt>.
Cependant, il est possible de créer le compte manuellement en ajoutant un « $ » à la fin du nom de machine :

#adduser –g workstation –d /dev/null –s /bin/false –n ‘nom_de_machine$’ smbpasswd –m –a machine

==Jonction d’utilisateurs au domaine==
===Windows NT et 2000===
====Joindre la machine et un utilisateur au domaine ====
Vérifier que les services WINS et netbios sont lancés

* Cliquer avec le bouton droit sur l’icône de poste de travail puis cliquer sur :
<tt>propriétés -> Identification Réseau -> ID Réseau</tt>.
* Choisir les options pour se rattacher à un domaine (J’appartiens à un réseau d’entreprise) puis rentrer successivement :
**Information sur le domaine et le compte utilisateur (Les coordonnées du compte à créer sur l’ordinateur)
**Le domaine de l’ordinateur (son nom et le domaine à intégrer)
**Nom d’utilisateur et mot de passe pour le domaine (coordonnées de root pour le domaine)

Il faut ensuite redémarrer l’ordinateur.

<blockquote class=note>
'''Remarque :''' le compte samba root doit être créé au préalable.
</blockquote>

====Créer un profil et le laisser en local pour l’utilisateur.====

:Une fois que le compte utilisateur est créé, il faut se connecter avec l’utilisateur pour créer un profile.
Ensuite on clique avec le bouton droit sur l’icône du poste de travail, on choisit <tt>« propriétés »</tt>, et <tt>« Profil des utilisateurs »</tt> .

:Cliquer sur « Modifier le type » puis choisir « Profil local » pour laisser le profil en local sur la machine.

===Windows 95/98===
<tt>Panneau de configuration -> Réseau-> Client pour les réseaux Microsoft</tt>

:Si le client n’est pas installé, il faut l’installer avec un CDROM Windows.
Il se peut qu’un CD pour W95 soit nécessaire pour la configuration suivante.
<tt>-> Propriétés</tt>

Cocher la case « ouvrir une session sur un domaine Windows NT »

Spécifier le nom du domaine.

<blockquote class=note>
'''Remarque :''' Si l’option connexion rapide est choisie, il est possible que les profiles Windows 95/98 ne soient pas copiés sur le serveur.
</blockquote>
==Migration des profils utilisateurs (NT)==
===Cas général===
Attention aux données du profil (notamment les documents du bureau) qui sont rarement sauvegardées.

Se connecter en tant qu’administrateur du domaine (FIXME)

Afficher les fichiers cachés (explorer->outils->options des dossiers->Affichage).

Copier (et non pas déplacer !!!) l’ancien profil vers le nouveau
<blockquote class=note>
'''Note :''' les profils se trouvent dans C:\Documents and Settings\
</blockquote>

===En cas de problèmes===
====Mozilla====
Localiser le profil sur la machine (exemple dans <tt>C:\Mozilla\Profiles\default</tt>)

Lancer le Profile Manager (en général dans le menu démarrer, sinon cela revient à lancer Mozilla avec l’option –ProfileManager).

Créer un nouveau profil et indiquer le chemin désiré.

Lancer mozilla et le tour est joué !
<blockquote class=note>
'''Remarque :''' 2 profiles ne peuvent pas avoir le même nom. Il faut parfois effacer un profile default. (Il existe une option laisser les fichiers dans la manip).
</blockquote>

====Office====

====Imprimantes====
==Problèmes rencontrés==
Il est impossible de changer son mot de passe avec W95/W98.
Ce n’est pas implémenté dans ces versions de Windows.
Une possibilité est d’utiliser une interface Webmin/SWAT.

La configuration en serveur de fichiers est plus simple. On peut s’y restreindre pour un premier niveau de debuggage.
=Migration et Restauration=
==La migration de profiles==
(cf l’installation d’un contrôleur de domaine)

==La restauration de sauvegardes (tar)==
#cd /home

* Restauration de répertoire partagés
#tar zxvf sauvegarde.tgz
#chown root.groupe rep1 rep2 ... repx –R
#chmod 770 rep1 rep2 … repx –R

* Restauration de répertoire personnel
#tar zxvf sauvegarde.tgz
#chown utilisateur.groupe rep1 rep2 ... repx –R
#chmod 700 rep1 rep2 … repx –R
=Annexes=

==Exemple de fichier de configuration smb.conf==
<licode file=/etc/samba/smb.conf>
# Global parameters
[global]
workgroup = workgroup
netbios name = biblio
server string = Samba Server %v
encrypt passwords = Yes
log file = /var/log/samba/log.%m
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = lpstat
logon script = logon.cmd
logon drive = H:
logon home = \\Haribo\%u
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
dns proxy = No
printing = cups
domain admin group=@admins
add user script=/usr/sbin/useradd -d /dev/null -g workstation -s /bin/false -M %u
[homes]
comment = Repertoire personnel
read only = No
browseable = No

[netlogon]
path = /home/netlogon
write list = @admins
read only=yes

[profiles]
path = /home/ntprofile
read only = No
create mask = 0600
directory mask = 0700

[Assistante]
comment = Echange de fichiers
path = /home/films
invalid users = root
valid users = you,me
public = no
writable = yes
printable = no
create mask = 0770
directory mask = 0770
readonly = no
</licode>

=Bibliographie=

SAMBA Project Documentation

The Unofficial Samba HOWTO – David Lechnyr

Using Samba as a PDC – Andrew BARTLETT

Using Samba (Chapitre 6) – Robert Eckstein

Liste des options de smb.conf: http://us6.samba.org/samba/docs/using_samba/appb.html

{{Copy|2007-2009|Christophe de Livois|FDL}}

Samba (avancé) - Historique des versions

Unknown user : Christophe a déplacé la page Samba vers Samba (avancé) sans laisser de redirection

Unknown user : /* Commandes de vérification */

Christophe : 1 version

Unknown user : Christophe a déplacé la page Samba vers Samba (avancé) sans laisser de redirection

Unknown user : /* Commandes de vérification */

Christophe : 1 version