Outils pour utilisateurs

Outils du site


samba

SAMBA : Partage de fichiers pour Windows sous Linux

Contributeurs : (SISR2-2017) Patrice Cypre

Principes

SAMBA est une transposition sous Linux du protocole SMB assurant le partage de fichiers dans un environnement Windows. Il est aussi utilisé pour assurer les rôles de contrôleurs de domaine équivalent à AD, mais qui n'est pas l'objet de cette page.

Pour fonctionner, SAMBA nécessite :

  • les services smbd et nmbd installés par apt install samba
  • des dossiers présents sur le disque de la machine Samba, auxquels des droits sont définis selon des utilisateurs Linux
  • des utilisateurs Linux intégrés à Samba par smbpasswd
  • des partages définis dans les sections du fichier smb.cnf, auxquels sont associés des restrictions

Fonctionnement des droits

Lors d'un accès à un partage par le voisinage réseau Windows ou par l'accès smb:/ /, le serveur étudiera :

  • les restrictions définies dans la section de partage : browseable, read_only, writeable, etc
  • les permissions éventuelles définies dans la section : write_users, read_users, etc
  • les permissions éventuelles appliquées directement sur le dossier Linux avec chown/chmod

il appliquera les restrictions les plus strictes :

  • pour l'utilisateur s'il a des permissions définies
  • pour son groupe s'il y a des permissions associées
  • pour l'ensemble des utilisateurs

Installation en serveur autonome

Installation

Installation des paquet et des dépendances :

apt-get install samba 

Configuration du fichier smb.conf

Pour chaque élément que l'on veut rendre accessible par le réseau, on doit créer une [section] qui définira les accès.

Configuration du fichier /etc/samba/smb.conf

Les options à configurer sont les suivantes :

  • [<nom_partage>] : définit le nom qui sera visible à travers le réseau
  • path : chemin d'accès local au dossier à partager
  • browseable : le partage est visible (yes) ou masqué (no)
  • readonly : le partage est accessible en lecture seule (yes) ou pas (no)
  • writeable : le partage est accessible en écriture (yes) ou pas (no)
  • guest ok : le partage est accessible sans authentification (yes) ou pas (no)
  • valid users : liste des utilisateurs et groupes autorisés pour l'accès (comptes et groupes Linux)
  • write_users : liste des utilisateurs et groupes autorisés en écriture

Redémarrage du service

A chaque modification des fichiers de configuration, on redémarrera le service :

 systemctl restart smbd 

Gestion des utilisateurs

La gestion des utilisateurs passe par deux étapes :

  • Création des comptes pour Linux
adduser <nomUtilisateur>
  • Création d'un utilisateur Samba :

Le compte de l'utilisateur Linux doit être ajouté à Samba. Les mots de passe peuvent différer.

smbpasswd -a <nomUtilisateur>

Commandes Windows pour l'accès aux partages

Pour visualiser les partages d'une machine :

net view <adresse_serveur>

Monter un partage vers un dossier distant sur un lecteur local :

net use [<lettre_lecteur>:] \\<adresse_serveur>\nom_partage [/user:<nom_utilisateur>]

Supprimer les connexions existantes :

net use \\<adresse_serveur>\nom_partage /delete
net use * /delete

Intégration de samba à Active Directory

1-Installer des services

Il faut installer le service ntp et paramétrer le serveur AD dans les DNS du serveur Samba.

apt-get install ntp
vi /etc/ntp.conf

Dans le fichier, on ajoute la ligne :

server <NomADServer>.<domaine>.<tld>

2 - Installer Kerberos

<Kerberos est le service d'authentification d'AD.

apt-get install krb5-user 

On adaptera l fichier /etc/krb5.conf (attention à la casse) :

[libdefaults]
default_realm = <nomDomaine>
[realms]
 
<nomDomaine> = {
kdc = <serveurAD>.<nomDomaine>
admin_server =  <serveurAD>.<nomDomaine>
default_domain = <nomDomaine>
}
[domain_realm]
. <serveurAD>.<nomDomaine> = <serveurAD>.<nomDomaine>
[login]
krb4_convert = true
krb4_get_tickets = false

Pour créer le compte machine et faire partie de Active Directory de Windows Server 2012, Kerberos doit tout d’abord être initialisé comme serveur membre faisant partie du domaine AD Pour créer un ticket administratif pour Kerberos : (à vérifier)

[root@/home/tux] Administrateur@SIO-VOYAGES.FR
Password for Administrateur@SIO-VOYAGES.FR:
[root@/home/tux] 

3- configuration de /etc/samba/smb.conf

[global]
workgroup =<nomDomaine> #Nom de Domaine
password server = <serveurAD><nomDomaine>
realm = <nomDomaine>
security = ADS
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = /
template shell = /bin/bash
winbind use default domain = true
#on peut se passer de l’authentification \\domaine\login
winbind offline logon = false
netbios name = DEBIAN
preferred master = no
server string = Samba Server version %v
encrypt passwords = yes
log level = 3
log file = /var/log/samba/%m
max log size = 50
printcap name = cups
printing = cups
winbind enum users = Yes
#samba doit faire appel à Winbind pour gérer ses users
winbind enum groups = Yes
#samba doit faire appel à Winbind pour gérer ses groupes
template homedir = /home/%D/%U

4- Editer /etc/nsswitch

/etc/nsswitch permet d’indiquer comment et dans quel ordre la résolution des noms des machines va se faire

passwd: files winbind
shadow: files winbind
group: files winbind

5- les règles d’authentification PAM-Pluggable Authenfication Module

Accéder aux fichiers de configuration PAM qui sont stockés dans /etc/pam.d/ 

Mise a jour des règles d’authentification

 pam-auth-update
 
cat common-account
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
account requisite pam_deny.so
account required pam_permit.so
 
cat common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
 
cat common-password
password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
password requisite pam_deny.so
password required pam_permit.so
password optional pam_gnome_keyring.so
 
cat common-session
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session required pam_unix.so
session optional pam_winbind.so
session optional pam_ck_connector.so nox11
session required pam_mkhomedir.so skel=/etc/skel
 
==== 6- Redémarrer les serveurs winbind et samba ====
 
==== 7- Intégration de la machine Linux au domaine AD ====
 
<code lscript>net join -U Administrateur
wbinfo -u #afin d’afficher les utilisateurs présent dans l’active directory

8- Home directory

La mise en place des lecteurs personnel à chaque utilisateur  se fait grâce a la configuration suivante :

[homes]
        comment = Home Directories
        valid user =%S
        read only = No
        browseable = No
        directory mask = 0700
        create mask = 0700
samba.txt · Dernière modification : 2023/02/27 11:54 de admin