Nom et prénom du candidat : Ascoët Stéphane

Thème de l’activité : Configuration d’un contrôleur de domaine principal Samba sous Mandrake

Cadre de l’activité :

Date de lancement : Fin novembre 2000

Fiche n° : 2

C13 Distinguer et évaluer les modes d’utilisation d’un réseau C31 Assurer les fonctions de base de l’administration C36 Assurer la maintenance d’un poste de travail, sur place ou à distance

Travaux effectués	Environnement matériel	Logiciels utilisés
Configuration des fichiers smb.conf, et smbpasswd.conf, par édition. Configuration du client. Mise à jour des paramètres du serveur à distance Création de fichiers base de registres pour mettre en place des restrictions	Compatible IBM PC.	Mandrake 7.1.           Xteq X-Setup.

Documents	Type	Observations
Smb.conf Smbpasswd.conf Group	Imprimé

MATÉRIELS	Des machines en réseau.
LOGICIELS	Mandrake 7.1.

I- CONTEXTE PROFESSIONNEL

L’école Nationale des Télécommunications de Bretagne dispose d’un service informatique qui connaît bien les produits libres et souhaite créer un contrôleur de domaine sous Linux pour différentes raisons : gratuité, stabilité, difficilement attaquable, facilement contrôlable à distance… Il sera destiné à un nouveau service composé de développeurs chargés de porter des programmes Linux sous Window$, et sera aussi mis à contribution pour connecter des postes temporairement, lors d’expositions, d’événements spéciaux. Pour cela, un dossier public d’échange devra être mis à disposition, les informations destinées à être publiées sur l’Intranet concernant ce service seront aussi stockées sur ce serveur.

II – SITUATION INITIALE

Une machine dispose de Linux, intégrant le service Samba. Elle a un nom réseau, une adresse IP. Les utilisateurs ont des postes clients Micro$oft.

III – TRAVAIL À RÉALISER

Il faut configurer Samba. Ceci sera fait en mode texte, pour être certain de maîtriser les modifications faites au fichier de configuration (des outils comme Swat permettent de le faire graphiquement mais éliminent les commentaires placés dans le fichier smb.conf) et de savoir intervenir sans interface, celle-ci pouvant avoir des problèmes. Lorsque le serveur est accepté par les stations, on peut créer des utilisateurs, des scripts et des dossiers partagés. Ceci pourra se faire à distance, depuis les clients, le serveur se situant dans une salle dédiée.

IV – RÉALISATION

Il faut commencer par remplir les champs du fichier smb.conf.

Configuration générale du serveur :

On attribue un nom de domaine :

# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = LABO2linux

on peut rajouter une description de la machine dans server string.

# server string is the equivalent of the NT Description field
server string = Samba Server 38 %v
On met ensuite 850, le code page français pour " client code page ".
client code page = 850
character set = ISO8859-1

On active ensuite le cryptage des mots de passe pour qu’ils ne soient pas stockés en clair sur le serveur, ce qu’exige Window$ 98 DE pour se connecter.

encrypt passwords = yes
smb passwd file = /etc/smbpasswd

On met " domain logon = yes " pour qu’il identifie  les utilisateurs qui se connectent.

# Enable this if you want Samba to be a domain logon server for
# Windows workstations.
domain logons = yes

Services fournis aux clients :

On décommente ensuite " logon script=%U.bat " pour que chaque utilisateur  se voit imposé l’exécution d’un script lors de sa connexion.

# run a specific logon batch file per username
logon script = %U.bat

Celui-ci effectuera un certain nombre de réglages sur le poste en fonction de ses habitudes de travail et des restrictions qu’on lui impose. De plus, Linux attribue automatiquement un dossier personnel pour chaque utilisateur. On crée ensuite un dossier qui contiendra les scripts de connexions, fichiers de base de registre et autres fichiers importants et que l’on déclare dans la section [netlogon] de la configuration.

[netlogon]
comment = Network Logon Service
path = /home/netlogon
guest ok = yes
writable = no
share modes = no
write list = @root

On déclare de la même façon un dossier échange qui permettra aux utilisateurs de partager des fichiers entre eux.

[echange]
comment = echange
path = /home/samba/echange
read only = no
public = yes

On crée également un partage " Intranet ", auquel tout le monde peut accéder en lecture, mais seuls les membres du groupe " root " peuvent y écrire.

[intranet]
comment = Intranet
path = /home/samba/intranet
public = yes
writable = yes
;   printable = no
write list = @root

Enfin, on partage le disque entier de façon à ce qu’il ne soit visible que de l’utilisateur " root ".

[rootdirect]
comment = acces complet root
path = /
valid users = root
public = no
writable = yes

On peut alors configurer un client, il suffit de lui indiquer qu’il doit se connecter au domaine " LABO2linux " et de vérifier la présence de TCP/IP.

On s’identifie auprès du serveur en tant que " nobody ", qui est un compte test standard de Samba, dans la fenêtre utilisateur de Window$.

Lorsque celle-ci a lieu, on peut retourner rajouter des utilisateurs avec la commande " smbadduser utilisateursamba :utilisateur Unix correspondant " (ex : smbadduser root :root), se connecter en tant que root et accéder au disque du serveur à partir du client. On crée alors des scripts de connexion dans " netlogon " pour différents utilisateurs en les nommant " root.bat ", " labo2.bat "…

net use x: \\LINUX38\intranet /yes
net use y: \\LINUX38\echange /yes
net use z: \\linux38\jplg /yes
regedit /s \\linux38\netlogon\jplg.reg

Le nom du script doit correspondre au nom de l’utilisateur.

Sécurité et prise de contrôle à distance :

Par ailleurs, on veut que les utilisateurs root et labo2 appartiennent au groupe root, de façon à ce que les collaborateurs de l’administrateur aient un certain nombre de droits en utilisant " LABO2 ", " root " étant réservé à l’administrateur en personne (les permissions de certains partages sont mises sur le groupe root). Pour cela, on utilise " tunemul ", qui a l’avantage, par rapport a Telnet, d’accepter les touches de direction. On prend alors le contrôle total de la machine à distance. On utilise le nom d’utilisateur " LABO2 " quand Linux nous le demande, et on exécute ensuite " su root " pour avoir les droits administrateur. En effet, il n’autorise pas la connexion directe avec le mot de passe root à distance. On va dans le dossier " /etc " et on y édite avec vi le fichier " group ", on rajoute " labo2 " derrière " root ". On vérifie les permissions sur les fichiers et dossiers, pour quelles soient cohérentes avec celles des partages, ainsi, si quelqu’un arrive à pénétrer sur le serveur, il se verra opposé cette protection totale.

Création de fichiers de modification de la base de registre :

On crée des fichiers base de registre avec Xteq X-Setup que l’on lance à partir des scripts de connexion pour restreindre l’accès des utilisateurs à certaines fonctions, comme la configuration, indiquer l’emplacement de dossiers personnels.

V – CONCLUSION

Malgré les avantages précités, Samba sous Linux est moins complet qu’NT pour les droits utilisateur. En effet, on ne peut que distinguer le propriétaire, le groupe du propriétaire et les autres, alors qu’NT permet d’affecter à n’importe quel utilisateur ou groupe les droits de lecture, de modification, d’ajout, d’exécution, de suppression indépendamment. D'autres conseils sont donnés dans le guide d'installation de Linux.