Mise en place d'un Contrôleur de Domaine dans un milieu ... - EC2LT

Plan – Page 1Partie 1 : Présentation : SAMBA : LDAP :Partie 2 : Installation des paquets: LDAP : SAMBA :Couple LDAP / SAMBAPartie 3 : Configuration : Mise en œuvre de l’annuaire LDAP : Mise en œuvre du serveur SAMBA :Couplage SAMBA-LDAP:Configuration de linux pour l'authentification des utilisateurs par LDAP:Gestion des Utilisateurs:Partie 4 : Intégration des machines au domaine:Intégration d'une machine windows xp: Intégration d'une machine windows 7: Intégration d'une machine ubuntu 10.4: Intégration d'une machine fedora 11:CONCLUSION :Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

À propos du rapport – Page 2• DescriptionsCe document porte essentiellement sur l'utilisation d'un annuaire LDAPpour authentifier des utilisateurs et SAMBA pour le partage des ressourcesdans un milieu hétérogène (ou on a des ordinateurs sous windows xp,windows 7, ubuntu et fedora).• Objectifs- Donner la possibilité decentraliser des comptesutilisateurs afin d’avoir unannuaire d’authentification unifié.- Donner à un poste linux departager des fichiers et desimprimantes entre des ordinateurssous linux et windows.• CaractéristiquesDurée : X minutesFormation très pratique dans la viecouranteNiveau : 2/5Contact : ecole.ec2lt@gmail.com• Public concerné- Étudiants- Adeptes des réseaux• Proposition de :- Dr Samuel OUYA• Pré-requis- Base en linux- Connaissance en réseau- Mouhamadou Yaya SOW775702639mysow@live.fr- Pape Saer NIANG774143946pizniang@gmail.comFront de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Présentation – Page 4Méta-Information :Ce rapport explique pas à pas l'installation d'un serveur Samba avecauthentification LDAP dans un milieu hétérogène sous fedora11-2.6.30.10-105.2.23.fc11.i686.PAE.Tout au long de celui-ci une importante question se pose POURQUOIAVOIR UN LDAP EN PLUS SI SAMBA PEUT LUI-MEME GERER LESUTILISATEURS ET MACHINES ??? (la réponse se trouve a la fin de lapartie suivante).Partie 1 – Présentation : LDAP :LDAP (Lightweight Directory Access Protocol ou Protocoles d'accès auxannuaires légers) est un protocole standard permettant de gérer des annuaires,c'est-à-dire d'accéder à des bases d'informations sur les utilisateurs d'un réseaupar l'intermédiaire de protocoles TCP/IP.Le contenu des entrées d'un annuaire LDAP est régi par des schémas quireprésentent l'ensemble des définitions d'objets et d'attributs qu'un serveur LDAPpeut gérer. Cela permet par exemple de définir si un attribut peut posséder une ouplusieurs valeurs. D'autre part, un attribut nommé objectclass permet de définir lesattributs étant obligatoires ou facultatifs...Le format d'échange de données LDIF :LDAP fournit un format d'échange LDIF ( Lightweight Data Interchange Format)permettant d'importer et d'exporter les données d'un annuaire avec un simplefichier texte. La majorité des serveurs LDAP supportent ce format, ce qui permetune grande interopérabilité entre eux.Un serveur LDAP est conçu pour être capable de gérer les opérations suivantes :• Établir et fermer une connexion avec l'annuaireFront de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

• Rechercher des entrées• Comparer des entrées• Ajouter des entrées• Modifier des entrées• Supprimer des entrées• Annuler ou abandonner une opération. SAMBA :Samba est une implémentation libre des protocoles SMB et CIFS sous GNULinux. Il permet le partage de ressources et est compatible avec les réseauxMicrosoft Windows. C'est-à-dire qu'il permet de partager les fichiers et lesimprimantes d'un serveur Linux avec les ordinateurs d'un réseau MicrosoftWindows, et de manière totalement transparente à travers un réseau local.Architecture de Samba :SAMBA est constitué d'un serveur et d'un client, ainsi que de quelques outilspermettant de réaliser des services pratiques ou bien de tester la configuration.Le serveur est constitué de deux applications (appelées démons) :1. Smbd : noyau du serveur, fournissant les services d'authentification et d'accèsaux ressources2. nmbd : permettant de montrer les services offerts par SambaL'outil testparm vérifie la syntaxe du fichier smb.conf, le fichier de configurationde SambaConfiguration de Samba :La configuration de Samba est effectuée par l'intermédiaire d'un fichier deconfiguration unique: smb.conf. Ce fichier est située dans le répertoire/etc/samba/.2Ce fichier décrit les ressources que l'on désire partager, ainsi que lespermissions/restrictions qui leur sont associées. Il est divisé en plusieurs sections(chacune référencé par une ligne contenant le nom de la section entre crochets)comprenant chacune un ensemble de lignes de paramètres du type attribut =valeur.Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

POURQUOI AVOIR UN LDAP EN PLUS SI SAMBA PEUT LUI-MEMEGERER LES UTILISATEURS ET MACHINES ???SAMBA à besoin d'utiliser les comptes locaux du serveur pour fonctionner, etil ajoute des options a ceux-ci pour son usage (-m, -a, -P …). Cela implique de créerun compte local puis un compte SAMBA a chaque fois(et dans cet ordre précis, sinon problèmes!!!!).En gérant cela avec LDAP on a l'avantage de ne faire le travail qu'une seulefois dans LDAP et SAMBA se synchronise avec LDAP.Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Installation – Page 7Partie 2 – Installation des paquets:On va commencer par installer openldap pour préparer la based'authentification des utilisateurs et faire en sorte que le système s'appuieintégralement sur celui ci . Ensuite on configurera SAMBA pour le partage defichier.• LDAP :o Redhat :#yum install openldap openldap-servers openldap-clientso Debian:#apt-get install slapd ldap-utils• SAMBA:o Redhat:#yum install samba samba-common samba-doc smbldap-toolso Debian:#apt-get install samba smbclient libnss-ldap libpam-ldap auth-client-configFront de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Configuration – Page 4Partie 3 – Configuration : Mise en œuvre de l’annuaire LDAP :Après installation on va commencer par configurer openldap qui fournira lesystème de base pour l’authentification des utilisateurs.La configuration se fait dans le fichier /etc/openldap/slapd.conf (redhat)afin que openldap puisse héberger une base de donnée de type samba, il nousfaut importer le schéma type d'une organisation samba dans/etc/openldap/schema:NB: le schéma samba.schema est obligatoire.Par mesure de prudence on va garder une copie de notre fichier deconfiguration:On va maintenant éditer le fichier /etc/openldap/slapd.conf: puis on renseigneles champs suivants:NB: pour le moment on utilise aucune règle d'accès aux attributs de la base dedonnée, ni de certificat SSL ou auto-signé.Ajout du shema dans le fichier slapd.conf:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

le mot de passe crypté de rootpw est obtenu comme suit:NB: On peut configurer le fichier slapd.conf en utilisant la commande sed:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Configuration du fichier client /etc/openldap/ldap.conf:Configuration du client (pour tester en meme temps les clients depuis notreserveur):Création de la base de l'annuaire:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Ajout des données:Redémarrage du serveur ldap:Etat actuel de la base de donnée ldap:ldapsearch –xFront de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Mise en œuvre du serveur SAMBA :Il nous faut maintenant configurer SAMBA pour qu'il intègre LDAP en mêmetemps. La configuration se fait dans le fichier /etc/samba/smb.conf. Maisinitialement ce fichier est très commenté, et puisqu'on couple avec LDAP l'outilsmbldap-tools propose un exemple de ce fichier bien structuré dans sadocumentation qu'on peut obtenir comme suit:NB: il est recommandé de garder une copie de sauvegarde du fichier/etc/samba/smb.conf original avant de le remplacer (Prudence!!!).Maintenant éditons le fichier /etc/samba/smb.conf et renseignons le commesuit:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

On va maintenant créer les répertoires nécessaires a l'exécution de samba (c'esta dire pour les scripts de connexion, les profiles itinérants ainsi que les partages) etleurs donner les droits nécessaires comme suit:On peut vérifier la configuration du fichier /etc/samba/smb.conf avec lacommande testparm:Elle doit retourner si tout s'est bien passé :Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Redémarrons maintenant notre serveur samba: Couplage SAMBA-LDAP :Dans ce couplage, samba doit connaitre le mot de passe administrateur duserveur LDAP pour avoir l'autorisation d'ajouter, de supprimer ou de modifier desentrées pour les comptes 'utilisateurs, groupes ou de machines.Pour se faire on a qu'à taper la commande suivante: (« passer » est le mot depasse ici)NB: le fichier « secret.tdb » ci dessus se trouve dans le répertoire« /var/lib/samba/private »Configuration des outils smbldap-tools:Ces outils sont un ensemble de scripts permettant de créer les utilisateursPOSIX, samba et LDAP d'une manière automatique via des commandes.La configuration se fait entièrement dans deux fichiers a savoir« smbldap.conf » et « smbldap_bind.conf » qui se trouve dans le répertoire« /etc/smbldap-tools »Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Configurons d'abord le fichier smbldap.conf qui se fait comme suit:NB: on voit bien que dans ce fichier le mot de passe apparait en clair, donc il estimportant de restreindre ses droits d'accès comme suit:Configuration du fichier smbldap.conf qui a plus de paramètres:Déterminons d'abord le SID du Domaine via la commande net getlocalsid, etcelle ci doit retourner aucune erreur comme suit:Passons maintenant à la configuration du fichier smbldap.conf comme suit:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Créons maintenant l'arbre de base au niveau de LDAP pour SAMBA avec lacommande smbldap-populate comme suit:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

NB: il ne faut surtout pas oublier l'inclusion du schéma de samba dans le fichierde configuration de LDAP sinon cette commande ne marchera pas.Par défaut l'administrateur est root mais il est possible de le changercomme par exemple en Administrateur (admin par défaut sous windows) commesuit :Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Démarrages des services SAMBA, WINBIND et LDAP: Configuration de LINUX pour l'authentification desutilisateurs par LDAP:Avant de passer a la gestion des utilisateurs configurons d'abord LINUX pourl'authentification par LDAP.Les utilisateurs doivent passer par LDAP pour s'authentifier, pour cela on varenseigner les deux fichiers client ldap.conf qui sont l'un dans /etc/ldap.conf etl'autre dans /etc/openldap/ldap.conf puis configurer le fichier de nss dans/etc/nsswitch.conf:Configuration du fichier /etc/ldap.conf comme suit:NB: il est préférable de faire cette dernière a la fin ou bien de laisser toujoursune fenêtre connectées avec root activé pour régler d'éventuels problèmes deconnexion.Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Gestion des utilisateurs:Création d'un utilisateur:L’option :-a : Désigne l'utilisateur windows.-c : Désigne un commentaire.-m : Permet de créer le répertoire de base de l'utilisateur.-P : Associe en même temps la commande smbldap-passwd.Dans notre cas on va utiliser un script qui va créer directement le répertoire debase de l'utilisateur s'il n'existe pas, et copie en même temps l'exemple d'un profilitinérant dans ce répertoire de base:Droits du script:Exécution du script depuis /etc/samba/smb.conf:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

NB: On aura plus besoin de l'option -m, pour créer les répertoire de basedes utilisateurs.Test de l'utilisateur macky avec pdbedit:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Configuration – Page 24Partie 4 : Intégration des machines au domaine:Intégration d'une machine windows xp:Pour l'intégration des machines windows dans le domaine, procéder commesuit:- Étape 1:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étapes 2: Étape 3:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étape 4:- Étape 5:Connexion de l'utilisateur Macky:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Remarque: Montage du lecteur (Z:) pour Macky dans (Poste de travail)Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Intégration d'une machine windows 7:Remarque: Pour intégrer les machines windows 7, il faut modifier labase de registre du système. Pour cela SAMBA propose ce script(Contrôle+Clic pour suivre le lien) téléchargeable. Étape 1:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étape 2: Étape 3:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étape 4: Étape 5:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

- Étape 6:Connexion de l'utilisateur Macky :- Étape 7:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

- Étape 8: Intégration d'une machine ubuntu 10.4:Pour l'intégration des machines ubuntu dans le domaine et régler lesparamètres de montage de répertoire de base après authentification desutilisateurs il faut au préalable installer les paquets nécessaires:#apt-get install samba smbclient libnss-ldap libpam-ldap auth-client-configlibpam-mount winbind smbfsNB: Winbind est un programme qui permet aux utilisateurs dans un réseauhétérogène de se connecter en utilisant les postes de travail qui ont soit dessystèmes Unix ou Windows NT. Le programme rend les postes de travail utilisantUnix fonctionnelle dans les domaines NT, en faisant apparaître NT pour ressemblerà Unix à chaque poste de travail Unix.Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étape 1: Configuration du fichier /etc/samba/smb.conf comme suit:WORKGROUP : Cela correspond au nom de votre domaine.netbios name = C'est le nom de notre machine sur le réseau NetBios.( Ce nom doit être unique au risque de collision et impossibilité de vous connecter)security = Ce paramètre indique que l'on veut que les options de sécurité soient audomainewins server = Très important pour la résolution de nom NetBios, (généralementc'est le serveur Samba qui est serveur Wins comme dans notre cas).winbind separator = C'est pour séparer le nom du domaine de l'utilisateur lors de laconnexionwinbind uid = C'est pour indiquer la plage de numéro uid que les utilisateurs dudomaine utiliseront.winbind gid = Idem mais pour les groupes. winbind use default domainwinbind use default domain = Configure Winbind en domaine par défaut.template shell =Donne le shell par défaut des utilisateurs du domaineFront de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

template homedir = Indique l'emplacement des répertoires "home" des utilisateursdu domaine.. Étape 2: Renseigner le fichier /etc/nsswitch.confCe fichier permet de configurer les bases de données systèmes et desservices de noms. Étape 3: Renseigner les modules pam:L'outil pam-auth-update permet de manipuler les fichiers contenant lesmodules pam automatiquement.Cocher les cases sélectionnées par la touche espace et puis tabulation pourvalider les modifications qui seront appliquer dans les fichiers suivants:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étape 4: Montage des ressources des utilisateurs:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Étape 5: Redémarrage des services suivants :- Étape 6: Intégration du domaine- Étape 7: Connexion des utilisateurs: en mode console:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Vérifier l'appartenance au domainAfficher tous les comptes utilisateurs du domaine:Afficher tous les groupes du domaine:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

- En mode graphique:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Après la connexion de l'utilisateur ,un lecteur réseau lui est monteLa machine ubuntu télécharge le profil de Macky qui était au niveaude la machine windowsFront de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Intégration d'une machine fedora au domaine:La configuration est la même que celui de la machine fedora:Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

CONCLUSION :Nous espérons que ce document vous a éclairé sur les différentes étapes àsuivre pour installer et configurer Samba + LDAP. Les méthodes abordées doiventpermettre d'avoir un bon aperçu de ce qu'il est possible de réaliser en alliantdifférentes technologies. Le domaine obtenu permet une bonne montée en chargeet l’architecture peut offrir une alternative fiable et stable à un domaine purementMicrosoft.Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356