samba_domcontroller
no way to compare when less than two revisions
Différences
Ci-dessous, les différences entre deux révisions de la page.
— | samba_domcontroller [2018/11/17 12:54] (Version actuelle) – créée - modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== Préambule ====== | ||
+ | Il est possible de spécifier à Samba de jouer le rôle d'un contrôleur de domaine primaire. | ||
+ | |||
+ | L' | ||
+ | \\ | ||
+ | L' | ||
+ | L' | ||
+ | |||
+ | **__Note__** : | ||
+ | |||
+ | //En revanche, Samba ne peut pas ' | ||
+ | |||
+ | Samba, ne propose donc pas de gestion d' | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ====== A. Adaptation du smb.conf ====== | ||
+ | |||
+ | __Il y a 6 directives à ajouter au fichier de configuration dans la section__ **[global]** | ||
+ | |||
+ | * Wins support | ||
+ | * domain master | ||
+ | * local master | ||
+ | * preferred master | ||
+ | * os level | ||
+ | * domain logons | ||
+ | |||
+ | |||
+ | **__Wins support__** | ||
+ | |||
+ | On définit notre serveur samba en tant que serveur Wins.\\ | ||
+ | Par défaut sur les stations XP, 2000, 2003 la résolution de noms se fait d' | ||
+ | \\ | ||
+ | En revanche sur des machines clientes 95,98,Me et serveur NT4, il y a d' | ||
+ | \\ | ||
+ | Un serveur Wins est déclaré afin d' | ||
+ | |||
+ | **__Fonctionnement du serveur Wins__** | ||
+ | |||
+ | Un client utilise le serveur WINS pour faire enregistrer son propre nom et adresse ip.\\ | ||
+ | Cet enregistrement est renouvelé périodiquement. Quand le pc s' | ||
+ | |||
+ | Le fichier " | ||
+ | Cela évite le recours aux requêtes de diffusion. | ||
+ | |||
+ | Le fichier " | ||
+ | |||
+ | **__domain logons__** | ||
+ | |||
+ | Acceptation des connexions de type domaine | ||
+ | |||
+ | ** | ||
+ | __domain master__** | ||
+ | |||
+ | Spécifie que le serveur SAMBA doit jouer le rôle de contrôleur de domaine. | ||
+ | |||
+ | |||
+ | **__Note__** : | ||
+ | __ | ||
+ | Si Samba doit jouer le rôle de DC alors il faudra ajouter 2 nouvelles directives__ : | ||
+ | |||
+ | * Local Master | ||
+ | |||
+ | // | ||
+ | |||
+ | * os level | ||
+ | |||
+ | //Valeur des élections du voisinage réseau// | ||
+ | ** | ||
+ | __Preferred master__** | ||
+ | |||
+ | Provoquer une élection du " | ||
+ | ** | ||
+ | __Explications__** : | ||
+ | |||
+ | Dans un groupe de travail, un ordinateur est désigné pour maintenir une liste actualisée des systèmes accessibles. | ||
+ | |||
+ | Cet ordinateur est baptisé « **__local master browser__** ». Cela évite que chaque clients du réseau émettent des requêtes de diffusion. | ||
+ | |||
+ | Au démarrage de Samba, l' | ||
+ | La valeur de l'" | ||
+ | |||
+ | **__Comment est défini l'os level__** ? | ||
+ | |||
+ | * Windows Xp = 64 | ||
+ | * Windows NT/ | ||
+ | * Windows NT/ | ||
+ | * Windows 95/98/Me = 1 | ||
+ | |||
+ | Pour être sur que votre serveur remporte l' | ||
+ | Néanmoins, si vous avez d' | ||
+ | |||
+ | Il faut pour cela diminuer la valeur "**os level**" | ||
+ | |||
+ | **__Votre fichier smb devrait | ||
+ | |||
+ | < | ||
+ | workgroup = Kameleon | ||
+ | netbios name = srvsamba | ||
+ | server string = Serveur Samba | ||
+ | security = user | ||
+ | wins support = yes | ||
+ | domain master = yes | ||
+ | local master = yes | ||
+ | preferred master = yes | ||
+ | os level = 255 | ||
+ | domain logons = yes</ | ||
+ | |||
+ | **__Pourquoi security = user__** ? | ||
+ | |||
+ | L' authentification des utilisateurs se fait sur le serveur samba. | ||
+ | Une « **security = domain** » correspond à une authentification gérée par d' autres serveurs. | ||
+ | |||
+ | **//A partir de cette étape, il va falloir vérifier que la résolution de nom se fasse.\\ | ||
+ | C'est une étape obligatoire, | ||
+ | \\ | ||
+ | **__Pour tester la résolution de nom__** : | ||
+ | |||
+ | < | ||
+ | |||
+ | Si la résolution ne se fait pas, __alors vérifier les points suivants__ : | ||
+ | |||
+ | * Les demons smbd et nmbd sont ils redémarrés ? | ||
+ | * Avez-vous ajouté l' | ||
+ | * Avez-vous fait un " | ||
+ | * Etes-vous dans même " | ||
+ | |||
+ | |||
+ | |||
+ | **__Note__** : | ||
+ | |||
+ | A réaliser à partir d'une machine Windows | ||
+ | |||
+ | |||
+ | |||
+ | ====== B. Intégrer sa machine client au domaine ====== | ||
+ | |||
+ | **__Sur votre Windows__** : | ||
+ | |||
+ | |||
+ | * Proprité sur "Poste de Travail", | ||
+ | * Nom de l' | ||
+ | * Mofier > Domaine | ||
+ | * Entrer le nom netbios du serveur | ||
+ | |||
+ | Si tout se passe bien, une fenêtre d' | ||
+ | |||
+ | * Saissir le login et le mot de passe de l' | ||
+ | |||
+ | A cet étape l' | ||
+ | |||
+ | Dans le monde Windows, une machine est globalement gérée comme un utilisateur et dispose d'un compte dans un domaine. | ||
+ | |||
+ | Une machine dont le nom netbios est « **machine** » dispose dans le domaine un compte « **machine$** ». | ||
+ | |||
+ | Il existe 2 méthodes pour intégrer la machine au domaine. | ||
+ | |||
+ | __**Soit**__ : | ||
+ | |||
+ | * Manuellement | ||
+ | * via une option dans le smb. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== 1er méthode ===== | ||
+ | |||
+ | |||
+ | **__Procédures__** : | ||
+ | |||
+ | - Afin de mieux comprendre le fonctionnement nous allons nous même ajouter une machine cliente (windows xp ici) dans le fichier « **/ | ||
+ | |||
+ | |||
+ | < | ||
+ | useradd machine$ | ||
+ | smbpasswd -a -m machine</ | ||
+ | |||
+ | " | ||
+ | |||
+ | **__Note__** : | ||
+ | |||
+ | // | ||
+ | |||
+ | - __Il faut modifier votre fichier de configuration « smb » et y ajouter la section suivante__ : | ||
+ | |||
+ | < | ||
+ | [netlogon] (répertoire a créer, chmod 755) | ||
+ | path = / | ||
+ | writable = no | ||
+ | browsable = no | ||
+ | </ | ||
+ | |||
+ | **__netlogon__** | ||
+ | |||
+ | Cette section est obligatoire pour permettre les connexions de type domaine. | ||
+ | |||
+ | Ce partage n'a pas besoin d' | ||
+ | |||
+ | * Créer le répertoire **[netlogon]**\\ | ||
+ | * Créer le répertoire qui contiendra le profil de l' | ||
+ | * Modifer les droits « **chown** » par « **propriétaire=utilisateur; | ||
+ | * Modifier les droits « **chmod** » en « **770** » (suggestion).\\ | ||
+ | |||
+ | **__Note__** : | ||
+ | |||
+ | Dans ce cas, seul « **l' | ||
+ | Les autres groupes ne peuvent pas en consulter le contenu. | ||
+ | |||
+ | Si le répertoire n'est pas crée, l' | ||
+ | Pour tout problèmes aidez vous du « **log.smbd** » qui est très bavard | ||
+ | |||
+ | * Créer l' | ||
+ | |||
+ | * Rejoindre le domaine avec « **root + mp** » | ||
+ | * Se connecter au domaine avec le « **login** » d'un utilisateur présent dans la base SAM. | ||
+ | * Si il n'y a pas de messages d' | ||
+ | |||
+ | {{manuel: | ||
+ | |||
+ | |||
+ | ===== 2ème méthode ===== | ||
+ | |||
+ | Nous allons ajouter une option dans notre script pour que les machines distantes s' | ||
+ | Cela concerne également la création automatique des répertoires contenant le profil des utilisateurs. | ||
+ | |||
+ | Pour cela nous allons éditer notre fichier « **smb** » et ajouter dans la section **[global]** cette option. | ||
+ | |||
+ | |||
+ | < | ||
+ | add machine script = / | ||
+ | |||
+ | **__Explications__** : | ||
+ | |||
+ | Le compte ne sera pas utilisé en tant que compte interactif mais uniquement pour les besoins internes de Samba. | ||
+ | Il est donc inutile de prévoir un répertoire de connexion (-d / | ||
+ | |||
+ | La variable " | ||
+ | La ligne adéquate sera ajoutée dans " | ||
+ | |||
+ | Il vous est possible à partir de ce moment d' | ||
+ | |||
+ | Après enregistrement du pc dans le domaine, vérifier dans « **pdbedit-L** » que son nom Netbios apparaît. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ====== C. Les profils errants ====== | ||
+ | |||
+ | Il faut ajouter une nouvelle option dans **[global]** et ajouter la section **[profiles]** à notre fichier de conf. | ||
+ | |||
+ | |||
+ | < | ||
+ | [global] | ||
+ | logon path = \\%L\profiles\%U | ||
+ | #time server = yes | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | [profiles] | ||
+ | path = / | ||
+ | browsable = no | ||
+ | writable = yes | ||
+ | create mask = 0600 | ||
+ | directory mask = 0700 | ||
+ | </ | ||
+ | |||
+ | **__Explications__** : | ||
+ | |||
+ | * **logon path** | ||
+ | |||
+ | |||
+ | On spécifie l' | ||
+ | |||
+ | **%L** > reprend le nom Netbios du serveur Samba\\ | ||
+ | **profiles** > le dossier de partage à créer avec un chmod 777\\ | ||
+ | **%U** > | ||
+ | |||
+ | * **time server** | ||
+ | |||
+ | |||
+ | Avec cette option, le serveur jouera également " | ||
+ | Il permet de synchroniser l' | ||
+ | |||
+ | L' | ||
+ | |||
+ | * **Create Mask** | ||
+ | |||
+ | |||
+ | Adopte la notation octale des droits UNIX. | ||
+ | Le propriétaire des nouveaux fichiers aura les droits « **rw-** ». | ||
+ | |||
+ | * **Directory Mask** | ||
+ | |||
+ | |||
+ | Le propriétaire des nouveaux répertoires aura les droits « **rwx** ». | ||
+ | |||
+ | |||
+ | |||
+ | ====== D. Définir un groupe Unix en « membre de .... » sur le Domaine. ====== | ||
+ | |||
+ | Par défaut tous les utilisateurs crées sur votre distribution sont des « **Utilisateurs du domaine** ». | ||
+ | Il en est de même pour l' | ||
+ | |||
+ | Pour passer le groupe " | ||
+ | |||
+ | < | ||
+ | net groupmap add rid=512 ntgroup=" | ||
+ | </ | ||
+ | |||
+ | __Pour vérifier quels sont les groupes Unix mappés avec les groupes du Domaine, il faut utiliser la commande__: | ||
+ | |||
+ | < | ||
+ | net groupmap list | ||
+ | </ | ||
+ | |||
+ | __Vous devriez obtenir un résultat de ce type__ : | ||
+ | |||
+ | < | ||
+ | |||
+ | |||
+ | |||
+ | ====== E. Scripts de démarrage ====== | ||
+ | |||
+ | Il est possible d' | ||
+ | |||
+ | < | ||
+ | [global] | ||
+ | logon script = logon.bat | ||
+ | </ | ||
+ | |||
+ | Ce partage n'a pas besoin d' | ||
+ | |||
+ | **__Note__** : | ||
+ | |||
+ | //A la création du script, veillez bien à le faire sur une machine windows. | ||
+ | En effet, sous Unix les saut de lignes saut définies par \n alors que sous Windows il s'agit de \r \n | ||
+ | \\ | ||
+ | Il vous suffira d' | ||
+ | |||
+ | **__Exemple de script__** : | ||
+ | |||
+ | < | ||
+ | net time \\serveur / | ||
+ | |||
+ | **__Erreurs possibles__** : | ||
+ | |||
+ | Si votre script ne se lance pas, vérifiez le chmod de votre fichier. Les utilisateurs peuvent ils l' | ||
+ | |||
+ | * **chmod -r** permet d' | ||
+ | |||
+ | * Seul l' utilisateur défini en tant qu' « **Administrateur** » peut l' | ||
+ | Les utilisateurs n'ont pas le droit de modifier l' | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | Dans global il est possible d' | ||
+ | |||
+ | < |
samba_domcontroller.txt · Dernière modification : 2018/11/17 12:54 de 127.0.0.1