Ivan"> Kurzweg Ivan Kurzweg 2002 - 2006 Permission to use, copy, modify, and distribute this documentation for any purpose with or without fee is here by granted, provided that the above copyright notice and this permission notice appear in all copies. samba, unix Samba est une implédmentation Open Source du protocole Server Message Block (SMB). Il permet l'interaction sur un réseau de &ms; &win;, Linux, UNIX et d'autres systèmes d'exploitation, permettant ainsi l'accés à des fichiers basés sur &win; et à des partages d'imprimantes. L'utilisation de SMB par Samba lui permet d'apparaître comme un serveur &win; aux clients &win; . La documentationn officielle de Samba est disponible ICI en local, pour la réalisation des exercices et des compléments d'informations. La version 3 de Samba, a incorporé de nombreuses améliorations par rapport aux versions précédentes, y compris : La possibilité de faire partie d'un domaine Active Directory au moyen de LDAP et Kerberos La prise en charge intégrée de Unicode pour l'internationalisation La prise en charge de connexions client &ms; &win; XP Professional aux serveurs Samba sans devoir toucher à la base de registre local Samba a largement participé à l'intégration de systèmes Unix dans des environnements &ms;, en proposant en particulier les fonctionnalités suivantes : Mettre des arborescences de répertoires et des imprimantes à la disposition de clients Linux, UNIX et &win; Aider lors de la navigation du réseau (avec ou sans NetBIOS) Authentifier les connexions de domaines &win; Fournir la résolution du serveur de noms Windows Internet Name Service (WINS) Agir en tant que contrôleur principal de domaine (ou PDC, de l'anglais Primary Domain Controller) de type &win; NT Agir en tant que Contrôleur de Domaine Secondaire (ou BDC, de l'anglais Backup Domain Controller) pour un contrôleur principal (PDC) bas~ sur Samba Agir comme un serveur membre du domaine Active Directory Joindre un PDC &win; NT/2000/2003 Cependant, et en attendant sa version 4 qui a nécessité plus de 4 ans de développement, Samba est pour le moment limiter, en particulier pour ces tâches : Agir comme un BDC pour un PDC &win; (et vice versa) Agir comme le contrôleur d'un domaine Active Directory L'installation de Samba via les logiciels portés de Samba propose un certain nombre d'options de compilation, permettant d'ajouter/enlever des fonctionnalités en fonction de chaque environnement et besoin. Ces options peuvent varier suivant les versions de Samba : [X] LDAP With LDAP support [X] ADS With Active Directory support [X] CUPS With CUPS printing support [X] WINBIND With WinBIND support [X] ACL_SUPPORT With ACL support [X] SYSLOG With Syslog support [X] QUOTAS With Quota support [X] UTMP With UTMP support [ ] MSDFS With MSDFS support [ ] SAM_XML With XML smbpasswd backend [ ] SAM_MYSQL With MYSQL smbpasswd backend [ ] SAM_PGSQL With PostgreSQL smbpasswd backend [ ] SAM_OLD_LDAP With Samba2.x LDAP smbpasswd backend [X ] PAM_SMBPASS With SMB PAM module [X] POPT With installed POPT library Le script /usr/local/etc/rc.d/samba et le fichier /usr/local/etc/smb.conf.sample sont créés lors de la compilation. Le script permet de contrôler les démons Samba, et le fichier propose une configuration de Samba, à modifier bien sûr . Il est à noter que sous FreeBSD, il est nécessaire d'autoriser spécifiquement le démarrage de Samba dans le fichier rc.conf pour utiliser ces scripts. Enfin, quelques utilisatires sont fournis avec samba, dont une partie est décrite dans les paragraphes suivants. Samba est composé de trois démons (smbd, nmbd et winbindd). Deux services (smb et windbind) contrôlent la manière selon laquelle les démons sont démarrés et arrêtés et ainsi que d'autres fonctionnalités en relation avec les services. smbd : Le démon smbd fournit des services de partage de fichiers et d'impression aux clients &win;. En outre, il est responsable de l'authentification des utilisateurs, du verrouillage des ressources et du partage des données par le biais du protocole SMB. Les ports par défaut sur lesquels le serveur est à l'écoute de tout trafic SMB sont les ports TCP 139 et 445. Le démon smbd est contrôlé par le service smb nmbd : Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur &win;. Parmi ces derniers figurent les clients &win; 95/98/ME, &win; NT, &win; 2000, &win; XP et LanManager. Ce démon joue également un rôle au niveau des protocoles de navigation qui constituent l'affichage du voisinnage réseau (Network Neighborhood) de &win;. Le port par défaut sur lequel le serveur attend du trafic NMB est le port UDP 137. Le démon nmbd est contrôlé par le service smb. Winbind : Le service winbind effectue la résolution entre les informations relatives aux utilisateurs et aux groupes sur un serveur Windows NT et les rend utilisables par des plates-formes UNIX. Cette opération est possible grâce à l'utilisation d'appels RPC de &ms;, du système PAM (Pluggable AuthenticationModule, ou module d'authentification enfichable) et du NSS (Name Service Switch). Ceci permet aux utilisateurs de domaines &win; NT d'apparaître comme des utilisateurs UNIX sur une machine UNIX. Bien qu'intégré à la distribution Samba, le service winbind est contrôlé séparément du service smb. Le démon winbindd est contrôlé par le service winbind et il n'est pas nécessaire que le service smb soit lancé pour que le démon tourne. Le programme findsmb subnet_broadcast_address est un script Perl qui permet de recueillir des informations sur les systèmes compatibles avec SMB sur un sous-réseau particulier. Si aucun sous-réseau n'est spécifié, le sous-réseau local est utilisé. Parmi les éléments spécifiés figurent l'adresse IP, le nom, groupe de travail ou nom de domaine NetBIOS, le système d'exploitation et la version. L'exemple suivant montre la sortie de la commande findsmb exécutée en tant qu'un utilisateur valide du système : Le programme nmblookup options netbios_name effectue la résolution des noms NetBIOS en adresse IP. Le programme diffuse sa demande sur le sous-réseau local jusqu'à ce que la machine cible réponde. 192.168.31.1 SRV2<00> 192.168.219.1 SRV2<00> ]]> Le programme pdbedit gère les comptes présents dans la base de données de SAM. Tous les backends sont pris en charge, y compris smbpasswd, LDAP, NIS+ et la bibliothèque de base de données tdb. Le programme smbtree permet d'otenir l'équivalent du voisinage réseau sous &win;, en mode texte. Il affiche l'ensemble des ressources SMB, en donnant les noms et les partages de chaque poste. Un extrait de smbtree sur le réseau de N3 : Le programme smbcacls //server/share filename options modifie les ACL de &win; dans les fichiers et répertoires partagés par le serveur Samba. Le programme smbclient //server/share password options est un client UNIX souple qui fournit des fonctionnalités semblables à ftp. Le programme smbcontrol options destination messagetype parameters envoie des messages de contrôle aux démons smbd ou nmbd en cours d'exécution. L'exécution de smbcontrol -i lance la commande de manière interactive jusqu'à ce qu'une ligne blanche ou que la lettre 'q' soit saisie. Le programme smbgroupedit options établit la correspondance entre les groupes Linux et les groupes Windows. Il permet également à un groupe Linux d'être un groupe de domaine. Le programme smbmount //server/share mount_point -o options utilise le programme de bas niveau smbmnt pour monter un système de fichiers smbfs (partage Samba). La commande mount -t smbfs est également valide. Le programme smbpasswd options username password gère les mots de passe cryptés. Ce programme peut être exécuté aussi bien par un super-utilisateur pour changer le mot de passe d'un utilisateur quelconque que par un utilisateur ordinaire pour changer son propre mot de passe Samba. Le programme smbstatus options affiche le statut des connexions actuelles à un serveur Samba. Le programme testparm options filename hostname IP_address vérifie la syntaxe du fichier smb.conf. Si votre fichier smb.conf se trouve dans l'emplacement par défaut (/etc/samba/smb.conf pour Linux, /usr/local/etc/samba/smb.conf), il n'est pas nécessaire de préciser l'emplacement. La spécification du nom d'hôte et de l'adresse IP pour le programme testparm permet de vérifier que les fichiers hosts.allow et host.deny sont bien configurés correctement. Le programme testparm affiche également un résumé de vos fichiers smb.conf et le rôe du serveur (autonome, domaine, etc.) après avoir effectué les tests. Ce programme est utile lors du débogage étant donné qu'il exclut les commentaires et fournit les informations de manière concise pour des administrateurs expérimentés. La plus grande partie de la configuration de Samba passe par la modification du fichier /etc/samba/smb.conf (/usr/local/etc/samba/smb.conf sur FreeBSD). Elle regroupe plusieurs sections, permettant de définir le mode de fonctionnement du serveur, les partages réalisés, et les informations relatives à la gestion du réseau. On peut regrouper les différents rôles d'un serveur Samba au sein d'un réseau en 3 groupes : serveur de fichier, controleur de domaine et serveur d'impression. Par abus de langage, nous allons désigné par "serveur de fichier" une configuration où Samba est placé en tant que serveur d'un groupe de travail, ou membre d'un groupe de travail. Un serveur autonome n'est pas une contrôleur de domaine et ne joue aucun rôle dans un domaine, Le fichier smb.conf suivant montre un extrait du fichier de configuration nécessaire pour permettre l'implémentation d'un partage de fichiers anonyme en lecture-seule. Le paramètre security = share rend un partage anonyme. Notez bien que les niveaux de sécurité pour un seul serveur Samba ne peuvent pas ~tre mélangés. La directive de sécurité (security) est un paramètre global pour Samba qui se trouve dans la section de configuration [global] du fichier smb.conf. Avec une telle configuration, le serveur Samba est accessible par un poste Windows, sans besoin de mot de passe. Le répertoire est en lecture seule. Dans le cas du fichier de configuration suivant, on obtient un partage réseau accessible de manière anonyme en lecture/écriture. Bien entendu, une telle politique de partage de ressources n'est pas à privilégier ! L'écriture est possible grâce à la directive read only =no. es directives force user et force group sont également ajoutées pour appliquer les règles de propriété à tout fichier ajouté et spécifié comme appartenant au partage. Ici, le serveur est accessible sans mot de passe. La création de documents est possible selon les droits Unix des répertoires cibles, et la modification/suppression des fichiers est également dépendante des droits Unix de l'utilisateur nobody sur les fichiers. Dans ce cas, la connexion au serveur n'est possible que par authentification login/password. Le prérequis est bien entendu la création de compte Samba ! A la suite du login, tous les utilisateurs ont accès à LEUR répertoire de domiciliation, et au répertoire public. S'il est possible d'intégrer un serveur Linux comme membre d'un domaine Active Directory, nous allons concentrer notre étude que la confguration d'un serveur en temps que contrôleur de domaine (de type NT). La version 4 de Samba permettra d'en faire un contrôleur de domaine Active Directory. S'il est possible d'utiliser LDAP pour l'authentification des utilisateurs et ordinateurs sur le domaine, nous allons utiliser le backend de gestionnaire de mots de passe tdbsam, par défaut dans Samba. Le fichier smb.conf suivant montre un extrait du fichier de configuration nédcessaire pour implémenter un serveur d'impression anonyme. Comme nous l'avons montré, le fait de donner à browsable la valeur no, n'inclut pas l'imprimante dans la liste Voisinnage réseau de Windows. Bien que n'apparaissant pas lors de la navigation, la configuration explicite de l'imprimante est possible.lE serveur Samba n'a aucune responsabilité quant au partage de pilotes d'impression avec le client. L'imprimante est donc en accès anonyme. Sécuriser l'accès se ferait en mettant security = user dans la section global. La section global du smb.conf permet de définir le rôle et le comportement du serveur samba dans le réseau, en positionnant un certain nombre de paramètres. La liste qui suit n'est pas exhaustive, la lecture du man et de la documentation est un passage obligé. workgroup : indique le groupe de travail dans lequel Samba est intégré server string : le nom NetBIOS du serveur tel qu'il apparaîtra dans le réseua security : prend une valeur parmi share, user, server, domain, ads. share permet un accès aux ressources en se basant uniquement sur les droits des fichiers Unix user correspond à l'identification par login/motdepasse. Si l'iauthenfication réussit, l'attribution d'un GID/UID permet de contrôler l'accès aux ressources pour toute la session server permet d'indiquer à Samba de faire partie d'un domaine NT en tant que serveur membre (ancienne utilisation, obsolète) domain permet d'indiquer à Samba de faire partie d'un domaine NT en tant que serveur membre. Toutes les demandes d'authentification seront relayées au contrôleur de domaine. ads fait du serveur Samba un membre actif d'un domaine Active Directory et ainsi accepter des tickets Kerberos. hosts allow : permet de donner les plages d'adresses IP pouvant accèder au serveur printing : indique le système d'impression à utiliser guest account : indique éventuellement la compte utilisé lors de connexion anonymes. Par défaut il s'agit de nobody log file : dans le cas d'une valeur de type /var/log/samba/log.%m, permet de spécifier un fichier de journalisation par machine passdb backend : indique le backend des mots de passe samba. Par défaut il s'agit de tdbsam. interfaces : spécifie la liste des interfaces réseau sur lesquelles Samba peut accepter les connexions os level : une valeur élevée augmente les chances d'élection de Samba en temps que maître explorateur dans un Workgroup &win;. preferred master : augmente les chances d'élection de Samba en temps que maître explorateur dans un Workgroup &win;. logon script, logon path : indique les différents scripts et leur emplacements pour des exécutions au démarrage des machines membres d'un domaine NT, ou au login des utilisateurs. wins supprt, wins server : indique si samba peut être serveur Wins, et dans le cas contraire quel est le serveur Samba sur le réseau. Les différents scripts permettant la gestion des utilisateurs et des groupes depuis des stations clientes sur le domaine. Chaque ressource SMB sur le serveur est spécifiée dans une section de smb.conf portant son nom. Les principales options sont les suivantes : path : chemin du répertoire à partager comment : texte visible dans le voisinage réseau client guest ok : si yes partage en accès libre sans authentification valid users : liste des utilisateurs autorisés à se connecter à la ressource printable : partage d'un service d'impression et non d'un répertoire writeable : permet ou non l'écriture sur le répertoire, contraire de read only write list : tous les utilisateurs autorisés à écrire browseable : visibilité du partage par tous, même les utilisateurs non autorisés create mode | mask : droits maximum accordés à un fichier créé dans la ressource directory mode | mask : droits maximum accordés à un répertoire créé dans la ressource force directory mode : droits imposés lors de la création du répertoire force group : Impose un groupe propriétaire d'un fichier lors de sa création dans le partage hide dot files : cache les fichiers cachés hosts deny, allow : toutes les stations interdites, autorisées à accéder à la ressources max connections : nombre maximum de connexions simultanées à la ressources Nous allons nous intéresser à la gestion des utilisateurs utilisant le backend par défaut, tdbsam. L'outil le plus communément utilisé pour ajouter des utilisateurs Samba est smpasswd : ] [-x] [-d] [-e] [-D debuglevel] [-n] [-r ] [-R ] [-m] [-U username[%password]] [-h] [-s] [-w pass] [-W] [-i] [-L] [username] ]]> smbpasswd permet de faire la correspondance entre les utilisateurs Unix et les utilisateurs Samba. Les informations relatives aux comptes sont stockées dans le fichier /usr/local/etc/samba/smbpasswd alors que les mots de passes sont stockés dans /usr/local/etc/samba/secret.tdb. Il n'est donc pas possible de créer un compte samba n'existant pas à priori dans Unix ! L'authentification sur le serveur Samba aura donc pour conséquence de chercher dans les fichiers précédemments cités une correspondance. Si l'utilisateur est correctement authentifé, alors chaque accès à une ressource du système hôte Samba passera par la vérification des droits Unix correspondant à son compte et à ses groupes unix. La gestion d'un réseau via un domaineamène plusieurs avantages non négligeable : SSO Tous les accès réseau et les droits sont gérés depuis le gestionnaire SAM (Security Account Manager) Les configurations de sécurité des postes &win; peuvent être gérées via les fichiers de stratégie sytème. L'exécution de scripts de démarrage permet de connecter des ressources réseau et d'automatiser certaines tâches. La centralisation des comptes dans une base de données sur un serveur du domaine Pour arriver à ce niveau d'intégration des fonctionnalités &win;, Samba intègre quelques utilitaires complémentaires, permettant par exemple l'ajout des postes &win; au domaine, le mappage entre les groupes &win; et Unix, etc ... L'intégration d'un poste &win; à un domaine passe par sa configuration (Poste de Travail). Une demande est alors envoyée au contrôleur de domaine, qui doit ajouter le poste dans sa base (et particulièrement affecter un SID au poste). Dans le cas d'un serveur Samba, le service doit alors soit avoir un compte utilisateur représentant la machine à intégrer, soit créer le compte correspondant automatiquement. La création manuelle d'un compte pour un machine consiste à ajouter un compte Unix standard, n'ayant pas de Shell ni de répertoire de domiciliation, et appartenant au groupe machine. Ceci est possible en utilisant les utilitaires classiques des distributions Linux ou des systèmes *BSD. La deuxième méthode consiste à prévoir dans le fichier de configuration la commande qui sera exécutée au moment de l'intégration d'un poste dans le domaine. La ligne précédente ajoutée dans la section globale de smb.conf permet d'exécuter la ligne de commande /usr/sbin/useradd -d /var/lib/nobody -g 100 -s /bin/false -M %ulors de l'intégration d'un poste au domaine. Bien sûr, il faut adapter la commande à chaque cas précis. De la même manière, il est possible de spécifier les différentes commandes à lancer lors de la manipulation des groupes et des utilisateurs. Ainsi,il devient possible de manipuler les comptes du domaine depuis un poste distant, à condition de disposer des autorisations root sur le serveur. Dans le cas d'une configuration de Samba en PDC, il peut être intéressant de mapper les comptes prédéfinis des domaines &win; avec les comptes Unix. Par exemple, le groupe Domain Admins est automatiquement ajouté au groupe Administrateurs dans les clients &win; lors de leur connexion au domaine. Ceci permet par exemple de définir des utilisateurs sur le domaine faisant partie du groupe Domain Admins, et qui seront de fait Administrateur de chaque poste du domaine. La correspondance entre les groupes Unix et les groupes Windows permet de regrouper la gestion des groupes dans un même environnement, et se fait via la commande net. Cette commande va permettre de tenir à jour un fichier de mappage entre les SID des groupes &win; et les groupes Unix. La commande précédente permet donc de mapper le groupe unix admin avec le groupe NT Domain Admins. Ainsi, tous les membres du groupe Unix admin seront administrateur de tous les postes du domaine NT. Bien entendu, le principe peut-être étendu à l'ensemble des groupes &win;. Samba est le premier mot d'un dictionnaire contenant les lettres S, M et B. Si le dictionnaire était un fichier texte nommé spell.txt, donnez la ligne de commandes permettant d'en sortir tous les mots comprenant S, M et B. Samba 3 ne supporte pas Active Directory. Il est cependant possible d'appliquer des stratégies aux ordinateurs et aux utilisateurs, d'utiliser un annuaire LDAP, de faire des profils intinérants, etc ... . Qu'apporterait de plus le support d'Active Directory ? Pourquoi Kerberos est-il nécessaire dans un environnement Active Directory ? Dans quel cas conseillez vous l'emploi de LDAP comme backend ? Installation : en utilisant la méthode vue plusieurs fois en cours, installer en prenant soin de justifier les options de configuration choisies. Indiquer les différentes méthodes pour être sûr que votre service samba tourne. Cet mise en application est à réaliser seul, en installant un serveur Samba sur chaque poste FreeBSD. Chaque point doit être mis en oeuvre, puis testé et démontré devant le formateur. Vous devez réaliser un serveur de fichiers partageant un répertoire public accessible en contrôle total par tout le monde, permettant de déposer et de lire des fichiers. Ajoutez un répertoire partage, qui soit accessible en lecture par tous les utilisateurs authentifiés. Vous prendrez soin de créer deux comptes utilisateurs : formateur1/F0rM@TeUr_1 et stagiaire1/St@Gi@ire1 pour que d'autres postes puissent tester vos partages. Ajoutez le partage de votre lecteur CD-ROM, accessible par tous. Ajoutez un partage web permettant (seulement) à un user (login=webadmin/mot de passe=apache) d'administrer le site web, à partir d'une station quelconque. Ajoutez deux groupes d'utilisateurs à Samba, FORMATEURS et STAGIAIRES. Ajoutez des utilisateurs formateurs et stagiaires en respectant les login/passwords dont la forme est donnée dans le point 2. Créez deux partages pour chaque groupe d'utilisateurs. Testez la configuration de votre voisin en montant tous les partages décrits dans les points précédents, depuis une machine BSD. Contrôlez en même temps les différentes connexions à votre propre serveur Samba. Configurez Samba pour garder trace de toutes les connexions aux ressources, classées par machine. Par groupe de deux, un serveur Samba et un client &win; XP, vérifiez et optimisez le parcours du voisinage réseau. Vous prendrez soin de vous être placés dans des sous-réseaux distincts des autres groupes. Cette mise en application est à réaliser par groupe de deux : un serveur Samba PDC, un client &win; . Configurer Samba en tant que contrôleur de domaine. Ajoutez le poste &win; XP au domaine. Réalisez un script de connexion permettant de monter le lecteur réseau personnel d'un utilisateur et un lecteur réseau public et qui met à l'heure le système Il existe des outils &win; permettant de gérer les comptes Utilisateurs et Ordinateurs dans un domaine depuis une station &win;. SRVTOOLS.EXE permet de les installer. Essayer de gérer votre domaine depuis les outils graphiques de &win; : ajout, suppression d'utilisateurs, de groupes, etc ... Cet mise en application est à réaliser par groupe de deux ou trois, en prolongement des manipulations précédentes. Si vous avez besoin d'outils spécifiques, demandez au formateur ... Vous devez, via le déploiement de stratégies systèmes, supprimer du menu démarrer de vos client &win; les menus "Panneau de configuration" et "Exécuter ... ". Comment obtenir une gestion des permissions sur les ressources aussi fine que sous &win; ? Mettez en oeuvre une ressource partagée, accessible depuis deux utilisateurs Samba ne faisant pas partie des mêmes groupes Unix. Les OS &win; possèdent un grand nombres de groupes utilisateurs prédéfinis. Comment faire pour mapper ces groupes &win; avec les groupes Unix ? Mettez en oeuvre la solution en mappant le groupe administrateur avec le groupe wheel, puis le compte Administrateur avec le compte sysop. Configurer Samba comme serveur de fichier membre de Active Directory, et utilisant l'authentification Kerberos d'un serveur 2003 de votre réseau. ----- TO DO ----------