Samba, contrôleur principal de domaine

La résolution des noms NetBios

Le problème

• Le problème essentiel pour permettre la communication entre les réseaux utilisant NetBios et TCP/IP est la "résolution des noms", c'est-à-dire l'utilisation d'un service réseau qui se charge de la traduction nom NetBios de machine / adresses IP
• Il y a 4 procédés de résolution, que le "démon" nmbd s'efforce de mettre en oeuvre. Leur ordre d'utilisation est fixé par la clause name resolve order dans /etc/smb.conf.
  Par exemple :
  name resolve order = wins host bcast lmhosts
  
• Par défaut, en l'absence de service de résolution de noms (paramètrage standard dans /etc/smb.conf), la résolution est tentée par diffusion (broadcast), Samba fait alors du "porte à porte".
• Si on utilise la méthode lmhosts, le fichier /etc/lmhosts doit être renseigné sur chaque machine, comme /etc/hosts, sous forme d'une table :
  adresse IP (ou nom DNS)   nom NetBios
• La commande nmblookup nom fournit si possible l'adresse IP de la machine, connaissant son nom Netbios.

  $ nmlookup serveur
  querying serveur on 10.177.200.255
  10.177.200.100 serveur
  

Installer un serveur WINS

Configuration station

Voisinage réseau / Propriétés 
propriétés TCP/IP 
onglet configuration WINS 
Activer la résolution WINS et ajouter l'adresse IP du serveur WINS
et bien sûr redémarrer ..

Configuration d'un serveur Samba

# Activer un serveur Wins pour la résolution des noms NetBios
name resolve order = wins host lmhosts bcast
wins support = yes
# alors ne pas déclarer l'adresse IP d'une autre machine comme étant serveur Wins
; wins server = xxx.xxx.xxx.xxx

Samba, contrôleur principal de domaine

• Un contrôleur principal de domaine (PDC) est un service chargé du contrôle de l'authentification des requêtes de connexion sur un réseau, par nom de connexion (login) et mot de passe (password).
• Samba peut assurer ce service partiellement (à ce jour) en quelque sorte en émulant les fonctionnalités d'un serveur NT. Il en résulte de meilleures fiabilité et sécurité de la connexion sur le mode client/serveur, à la place d'un pseudo-voisinage réseau et ses aléas ...

Paramétrage du serveur

# dans la section [global]
[global]
workgroup = FCTICE77
netbios name = SERVEUR
server string = Serveur Samba
# active le service PDC
domain logons = yes
# sécurité au niveau utilisateur
security = user
# les mots de passe doivent être encryptés dans le fichier /etc/smbpasswd
encrypt passwords = yes
smb passwd file = /etc/smbpasswd
# pour être aussi serveur de temps
time server = yes  
# niveau d'exécution du serveur ?
os level = 34 
# ce serveur est le controleur du domaine
domain master =yes
# pour forcer la demande d'authentification pour tout partage (non recommandé)
; revalidate 

• Le nom donné à la rubrique workgroup est le nom choisi pour le domaine.
  C'est le nom à indiquer sur chaque client Windows (voir ci-dessous).

• La valeur de netbios name est le nom du serveur Samba qui l'identifie sur le réseau.
  A défaut, le serveur sera visible sur le réseau sous son nom DNS d'hôte (le nom donné sous Linux, lors du paramétrage TCP/IP).

• domain logons = yes va activer le service de controleur de domaine.
• l'option revalidate renforce la sécurité, mais devient vite fastidieuse pour les usagers

Paramétrage des stations

Sélectionner Voisinage réseau/propriétés Client pour les réseaux Microsoft/Propriétés Cocher Validation de l'ouverture de session Ecrire le nom Workgroup, ici FCTICE77 comme nom de Domaine Windows NT Reconnexion des lecteurs réseau : cocher Connexion rapide Et bien sûr ... redémarrer ! Résultats A la prochaine connexion, la boite de dialogue sera modifiée. Le 3ème champ Domaine y sera ajouté. A chaque demande de connexion, nom et mot de passe sont exigés, leur existence et validité sont vérifiés sur le contrôleur du domaine indiqué, sinon la connexion au réseau est refusée.

Les scripts de connexion

• Principe
  Samba accepte la demande de script de connexion Windows (c-à-d les fichiers de commande .bat) liés à la connexion d'un utilisateur, et renvoie le fichier correspondant sur la station Windows, afin que celle-ci l'exécute.
  Ce mécanisme permet donc d'adapter complétement et dynamiquement la configuration du poste client au profil de l'utilisateur.

• Les variables NetBios
  On peut utiliser ces variables dans le paramétrage de Samba, mais pas dans les scripts shell
  

  %U	Nom utilisateur
  %m	nom NetBios de la machine cliente
  %T	date et heure de la [dé]connexion
  %I	N° IP de la station
  %S	nom du partage courant
  %L	nom NetBios du serveur
  %G	nom du groupe principal de %U

• Configuration serveur Modifications à apporter à smb.conf

  [global]
  # ---- voir ci-dessus -----
  # le script de connexion porte le nom Windows %U de l'utilisateur
  cette clause suppose l'écriture d'un partage appelé [netlogon] 
  logon script = %U.bat
  # Pour indiquer le chemin du répertoire personnel dans le script
  # Ceci va permettre de le connecter avec use net H: /home
  logon home = \\%L\%U
   ......
  [netlogon]
    comment = Service de connexion réseau
    # répertoire d'accueil choisi pour les scripts de connexion
    path = /home/netlogon
    # ce partage est privé, invisible et protégé en écriture
    public = no
    writeable = no
    browseable = no
  

• Script pour l'utilisateur stagex
  ATTENTION ! Il s'agit d'un fichier "batch" qui va s'exécuter sur la station Windows juste après l'authentification. Il doit donc être écrit avec un éditeur de texte DOS, sur la station, puis ensuite placé sur le serveur dans /etc/netlogon par root ou un utilisateur autorisé.

  # fichier /home/netlogon/stagex.bat
    net use H: /home
    net use L: \\serveur\logiciel
    net use P: \\serveur\public
    net use S: \\serveur\stagiaire
    net time \\serveur /set/y
  

• Effets
  • Sur le client Windows, après authentification de la requête de connexion, le script attaché à l'utilisateur positionne les lettres des lecteurs réseaux qui "pointent" vers des partages valides et accessibles.
  • En particulier le lecteur H: désigne bien le répertoire personnel

• Gestion des scripts
  • En l'absence d'utilitaire de gestion par interface WEB sur une station cliente, il est indispensable que root délégue à un(e) gestionnaire la maintenance des services samba (mise en place des scripts, installation des applications ...).
    Voici comment accorder la gestion des scripts.
  • Créer un tel gestionnaire (par exemple, login=admin / passwd=admin /smbpasswd=admin), de groupe primaire admin. Ce groupe doit avoir un accès complet sur /home/netlogon et sur /appli.
    Mais attention, ce partage doit rester accessible en lecture et en parcours pour tous (permissions rx de répertoire) mais pas en écriture, donc avoir pour valeur octale 775

    chown -R root.admin /home/netlogon
    chmod -R 775 /home/netlogon 
    

  • Droits d'accès au partage [netlogon]
    Il faut aussi accorder l'accès en écriture à admin

    [netlogon] 
     .......
    # partage invisible
     browseable = no
    # en lecture seule, sauf pour le groupe admin des gestionnaires
     writeable=no
     write list = @admin
    

  • Accessibilité au partage [netlogon]
    L'invisibilité du partage (browseable = no) précédent impose de positionner un lecteur réseau pointant vers lui. Pour cela dans le script des gestionnaires, ajouter :

    # dans /home/netlogon/admin.bat
    net use N: \\serveur\netlogon
    

    Ainsi seul admin pourra accéder aux scripts sur une station cliente, les éditer dans un bloc-notes quelconque, les copier ... bref effectuer ces tâches courantes de gestion.

• Définition de scripts de groupe
  • Dans une stratégie de gestion de groupes, il peut être pratique d'utiliser des scripts collectifs. Pour cela, un script profs.bat pourrait être appelé par tous les scripts des membres du groupe profs, chacun de ces scripts pouvant être ensuite individualisé.

  • Soit l'utilisateur prof1, membre du groupe général profs, devant accéder au partage [maths] de sa discipline (nul n'est parfait ..).
    Le gestionnaire smbadmin crée le script standard profs.bat, puis celui de prof1, par exemple :

    rem script profdemath1.bat
    call \\serveur\netlogon\profs.bat
    net use M: \\serveur\maths
    

  • Avantage évident : s'il est nécessaire de modifier le script de tous les profs ...

• root a créé un utilisateur admin/admin chargé d'installer les applications sur le serveur, et de la gestion des scripts de connexion.
• Supposons que le partage [logiciels] s applications Il lui donne la propriété de /appli

  chgrp -R admin  /appli
  chmod -R 775 /appli

• Paramétrage du partage

  [logiciel]
    comment = Applications réseaux
    path = /appli
    public = yes
    writeable = yes
  # admin peut installer les applications
    write list = admin
  

• Eudora

  • admin crée sur la station le dossier Eudora dans L:
  • il y copie le fichier auto décompactable à partir du Cdrom
  • il procéde à l'installation dans L:\Eudora
  • Il crée un raccourci sur le bureau de façon à ce que les paramètres personnels se trouvent dans le répertoire personnel H: de l'utilisateur
    • cible : L:\eudora\eudora.exe  H:\eudora
    • démarrer en L:\eudora
  • root crée le sous répertoire /etc/skel/eudora, pour que le dossier H:\Eudora soit généré automatiquement à la création d'un nouvel utilisateur

• StarOffice

  Naturellement, il s'agit ici d'installer la version Windows sur le serveur Samba.
  • Se connecter comme root ou administrateur du partage [logiciel]
  • Le lecteur réseau L: pointe vers \\serveur\appli
  • Clic sur l'archive so51a_win_33.exe de 62 Mo ! Indiquer le répertoire de décompression L:\StarOffice-source, et Unzip
  • Lancer l'installation par Exécuter : L:\StarOffice-source\so51inst\office51\Setup.exe /net
    Indiquer L:\StarOffice comme répertoire d'installation
  • Installation des composants locaux sur chaque station :
    Lancer L:\StarOffice\soffice.exe, choisir Installation d'utilisateur standard et indiquer un répertoire local, par défaut C:\Office51 est indiqué.
  • L'installation a créé une entrée dans le Menu Démarrer du disque de la station, dans C:\Windows\Menu Démarrer\programmes, qui pointe vers L:\StarOffice\soffice.exe. Si on veut que tous les utilisateurs en bénéficient, il suffit de le recopier dans tous les répertoires /home/user/Demarrer/Programmes, bien sûr avec un petit script pour automatiser ...
  • Lors du premier lancement sur un nouvelle station, le processus d'installation local sera déclenché.

TP

1. Situation de départ
   Le paramétrage standard de smb.conf doit permettre à un utilisateur stagex de se connecter au serveur situé dans le même workgroup, par exemple fctice77x, et d'accéder à son répertoire personnel, au partage WEB et à divers répertoires partagés.

2. 1ère étape : installer les services WINS et Contrôleur de domaine
   • Donner le nom NetBios serveurx au serveur Samba, et constater que le serveur apparait maintenant sur les stations sous ce nom.
   • Activer le service WINS sur le serveur et le client
   • Activer le service PDC sur le serveur : quand on relance samba, le message suivant est ajouté au fichier /var/log/samba/log.nmb "Samba is now a logon server for workgroup fctice77x on subnet 10.177.200.(100+x)"
   • Se connecter sous le compte stagex. Observations : bureau, voisinage réseau ?

3. 2ème étape : les scripts de connexion
   • root crée le partage [netlogon] qui pointe vers /home/netlogon, et accorde à admin l'accès pour y gérer les scripts.
   • Puis admin crée les scripts pour les divers utilisateurs, à l'aide de Wordpad par exemple, sur une station Windows en décidant d'une affectation de lecteurs réseaux, telle que :

     # fichiers  /home/netlogon/xxx.bat
       net use H: /home
       net use L: \\serveur\logiciel
       net use P: \\serveur\public
       net use N: \\serveur\netlogon  
       net use W: \\serveur\web
       net use S: \\serveur\prof
       net time \\serveur /set/y
     

   • Les différents utilisateurs se connectent sur le domaine et testent leur accessibilité aux différents partages (parcours, lecture et écriture). Est-ce satisfaisant ?

4. 3ème étape : les profils
   • Modifier la base de registre des stations pour que le bureau et le menu démarrer soient chargés à partir du répertoire personnel à chaque connexion.
   • Etudier une procédure d'automatisation de ces différents paramétrages lors de la création d'un nouvel utilisateur.

Annexes

Lecteur réseau vers un serveur SAMBA

• Dans Windows on peut créer des raccourcis vers des ressources réseaux, principalement des partages de répertoires. Associés à des lettres, ils portent le nom de lecteurs (ou unités) réseau.
  Par exemple la lettre K: peut être associée au chemin \\Serveur\homes
• Cette notation obéit à la syntaxe UNC (Universal Naming Convention) \\machine-réseau\répertoire
• Par exemple \\Serveur\annales, où Serveur est le nom NetBios du serveur Samba, et annales le nom donné à un partage au sens Samba.
  C'est-à-dire le nom donné à la section [annales] du fichier /etc/smb.conf, et non pas le nom du répertoire correspondant, indiqué par le paramètre chemin, path = .., présent dans la description de ce partage.
• On dit souvent plus simplement que F: pointe vers la ressource (ou le partage) \\Serveur\annales. La situation réelle du répertoire annales sur le serveur est ainsi masquée à l'utilisateur de la station Windows. Par contre le détail de l'arborescence dont la racine est annales, vue d'une station Windows, est identique à l'arborescence réelle sur le serveur Linux (à part le remplacement des / par des \)