Initiation SAMBA

1. Introduction
Contenu de cette section Ce document permet de mettre en oeuvre des stratgies de scurit sous Samba 2.2.8 pour des clients de type Windows 2000.

1.1 Note de copyright

Ce document est GNU copyleft par Ewen PRIGENT eprigent@linux-france.org . La permission d'utiliser, copier, distribuer ce document pour n'importe quelle raison est accorde par la prsente licence, la condition que le nom de l'auteur / diteur apparaisse dans toutes les copies et/ou documents accompagnateurs ; et que toute version non modifie de ce document soit disponible librement. Ce document est distribu dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE, ni explicite, ni implicite. Bien que tous les efforts aient t faits pour s'assurer de la prcision des informations documentes ici, l'auteur / diteur / mainteneur ne prend AUCUNE RESPONSABILIT sur toute erreur ou pour tout dommage, direct ou en dcoulant, rsultant de l'utilisation des informations documentes ici.

1.2 Informations 1.3 Sources

Si vous avez des remarques rajouter o des informations me proposer, nhsitez pas, je suis l aussi pour a :-)

Le fichier source est disponible sur ma page personnelle ladresse suivante : http://linux-france.org/~eprigent/ Quand je parle de source, il sagit uniquement pour linstant des fichiers au format PDF. Si vous avez le temps de les convertir en .html , honneur vous, mais en ce moment je nai pas trop le temps de le faire. Et noubliez pas linformatique cest simple, cest lhomme qui est compliqu :-)

BONNE LECTURE

SAMBA et les stratgies Windows 2000

Initiation SAMBA

Gestion de stratgies utilisateurs sous Samba avec Windows 2000 Pro

Prrequis : On supposera que le client Windows 2000 vient de joindre un domaine gr par un PDC sous Samba. La version utilise pour ce tutoriel est la 2.2.8 Dans mon exemple, le PDC sous Samba se nomme Server (in english). 1. Introduction : Dans certaines circonstances, il peut tre trs intressant dimposer des stratgies de scurits aux utilisateurs dun domaine gr par Samba. Les stratgies de scurit sont relativement simples dfinir lorsque lon dispose dun domaine gr sous Active Directory. Ici a nest pas le cas. 2. Installation de Poledit : Pour que nos stratgies soient valables sur les clients Windows 2000, il faut rcuprer partir dun Windows 2000 Serveur lutilitaire poledit ainsi que les deux fichiers de modles dadministration : common.adm et winnt.adm Les deux modles se trouvent dans le rpertoire : C:\WINNT\INF Pour installer poledit sur le client Windows 2000 Pro, il suffit donc de copier lapplication ainsi que les deux fichiers .adm sur le client dans le rpertoire sus-nomm ci-dessus. Il faut imprativement effectuer linstallation sous le compte local Administrateur du client :

Une fois que tout est install, vous pouvez lancer poledit puis aller dans :

SAMBA et les stratgies Windows 2000

1/9

Initiation SAMBA

De cette manire vous allez accder au registre de votre client. On se retrouve avec le mme environnement que Windows 98.

Le principe reste relativement simple, on va demander au client Windows 2000 daller tlcharger la stratgie depuis le serveur Samba. Pour cela il suffit de double cliquer licne Ordinateur Local puis de configurer loption :
Bien vrifier que cette option est coche. Prciser que la mise jour est faite de manire manuelle. On indique le chemin rseau ainsi que le nom du fichier .pol qui sera tlcharg par le client Windows 2000.

3. Cration des stratgies : Le but de la manipulation est de crer des stratgies en fonctions des groupes dutilisateurs. Pour cela nous allons crer deux fichiers config.pol qui contiennent deux politiques distinctes. SAMBA et les stratgies Windows 2000 2/9

Initiation SAMBA Le groupe prof aura le droit de rgler le panneau de configuration Affichage tandis que le groupe des eleves obtiendra le message suivant :

Pour cela, il suffit en tant quadministrateur local du poste Windows 2000 douvrir poledit puis de crer une nouvelle stratgie :

Puis de double cliquer sur Ordinateur par dfaut :

On slectionne les mmes options qu la page 2 (Mise jour des stratgies distantes et chemin rseau \\server\strategies\config.pol) puis on valide par OK Une fois que cest fait on clique sur Utilisateur par dfaut de manire slectionner les options de stratgies : Petit rappel des diffrentes valeurs des cases : Etat Option dslectionne. Option qui dpend de ltat antrieur. Option slectionne.

SAMBA et les stratgies Windows 2000

3/9

Initiation SAMBA
Bien vrifier que cette option est coche. On bloque tout pour notre exemple.

Il ny a plus qu enregistrer les modifications sous un nom de fichier, par exemple lockscreen.pol

Une fois que cest fait, on rpte lopration de la page prcdente, nouvelle stratgie, Ordinateur par dfaut, Mise jour manuelle via le mme chemin rseau \\server\strategies\config.pol Une fois que cest fait, on clique sur Utilisateur par dfaut et cette fois-ci on dcoche loption :

SAMBA et les stratgies Windows 2000

4/9

Initiation SAMBA On enregistre les modifications, sous un autre nom de stratgies, par exemple nolockscreen.pol :

Maintenant on va sintresser au serveur Samba. 4. Configuration de Samba : Je ne vais pas revenir sur la manire dont on configure Samba en PDC, il existe pas mal de documents pour a. Une recherche sur Google suffit. Par contre je vais tout de mme expliquer les subtilits de cette configuration ! Le fichier de configuration sera le suivant :
1 2 3 4 5 6 7 8 9 [global] netbios name = SERVER workgroup = GRETA server string = Server Samba %v log file = /var/log/samba/log.%u security = user encrypt passwords = yes domain master = yes local master = yes

10 preferred master = yes 11 domain logons = yes 12 logon script = logon.cmd 13 logon path = \\%N\profiles\%U 14 logon drive = H: 15 logon home = \\SERVER\%U 16 [netlogon] 17 path = /home/netlogon/%g 18 writeable = no 19 browseable = no 20 [profiles] 21 path = /home/profiles 22 browseable = no

SAMBA et les stratgies Windows 2000

5/9

Initiation SAMBA
23 [strategies] 24 path = /home/strategies/%g 25 browseable = yes 26 writeable = yes 27 [partage] 28 path = /home/partage/%g 29 browsable = yes 30 writeable = yes 31 [homes] 32 invalid users = root 33 comment = Repertoire Perso 34 writeable = yes 35 browseable = no 36 [tout] 37 path = /home 38 valid users = root 39 writeable = yes

Cration des comptes : Pour que cet exemple fonctionne, il est ncessaire de crer deux groupes linux distincts. Sous root :
#groupadd profs #groupadd eleves

Une fois les groupes crs il suffit de rajouter deux utilisateurs :

#useradd -g profs prof1 #useradd -g profs eleve1

On oublie pas daffecter des mots de passe Samba ces deux personnes :
#/usr/local/samba/bin/smbpasswd -a prof1 New SMB password: Retype new SMB password: Password changed for user prof1. #/usr/local/samba/bin/smbpasswd -a eleve1 New SMB password: Retype new SMB password: Password changed for user eleve1.

Cration des rpertoires : Par rapport au fichier de configuration, il est ncessaire de crer un certain nombre de rpertoires et sous-rpertoires. On cre les rpertoires qui contiendront les stratgies des groupes dutilisateurs :
#mkdir p /home/strategies/profs #mkdir p /home/strategies/eleves #mkdir p /home/strategies/root

On cre les rpertoires qui contiendront les fichiers batch :

#mkdir p /home/netlogon/profs #mkdir p /home/netlogon/eleves #mkdir p /home/netlogon/root

SAMBA et les stratgies Windows 2000

6/9

Initiation SAMBA

On cre les rpertoires qui seront accessibles en fonction des groupes :

#mkdir p /home/partage/profs #mkdir p /home/partage/eleves #mkdir p /home/partage/root

Explications et subtilits : 17 En utilisant loption %g, le chemin daccs du partage sera fonction du nom du groupe auquel appartient lutilisateur qui se connecte sur le PDC. Si cest lutilisateur eleve1 qui se connecte au serveur, la variable %g sera remplace par eleves et donc le partage [netlogon] pointera sur le rpertoire /home/netlogon/eleves 24 Mme remarque que prcdemment, cette fois-ci cela concerne le partage qui va contenir nos stratgies de scurit. 36 Au niveau de la scurit a nest pas trs optimis, lutilisateur root aura accs tous les rpertoires de /home via le client Windows 2000. Ce partage devra tre mis en commentaire une fois que les stratgies et fichiers batch auront t configurs sur le serveur. 5. Mise en place des stratgies sur le serveur : Une fois notre serveur correctement configur, il ne vous reste plus qu vous connecter sous lutilistateur root sur le client Windows 2000 :

Une fois que vous tes connect il ne vous reste plus qu placer dans les sous rpertoires strategies/profs et strategies/eleves les fichiers nolockscreen.pol et lockscreen.pol, voir page 8. Bien videmment vous noublierez pas de les renommer en config.pol et vrifier en ce qui concerne les droits unix que les groupes respectifs ont la possibilit de les lire. Je vous fait confiance pour vrifier ces droits.

SAMBA et les stratgies Windows 2000

7/9

Initiation SAMBA

Attention : Larborescence affiche ne correspond pas compltement celle du fichier smb.conf Dposez dans ce rpertoire le fichier lockscreen.pol que vous allez renommer en config.pol Dposez dans ce rpertoire le fichier nolockscreen.pol que vous allez renommer en config.pol

Vous pouvez procder de manire analogue avec les scripts de connexion logon.cmd :

Il faudra diter avec le notepad un fichier logon.cmd qui contiendra par exemple :

SAMBA et les stratgies Windows 2000

8/9

Initiation SAMBA Les deux fichiers se nomment logon.cmd ils sont placer respectivement dans les deux sousrpertoires eleves et profs

Il ny a plus qu se dconnecter du compte root puis se connecter sous lun des deux utilisateur et normalement les stratgies seront appliques.

SAMBA et les stratgies Windows 2000

9/9