Professional Documents
Culture Documents
1. Introduction
Contenu de cette section Ce document permet de mettre en oeuvre des stratgies de scurit sous Samba 2.2.8 pour des clients de type Windows 2000.
Si vous avez des remarques rajouter o des informations me proposer, nhsitez pas, je suis l aussi pour a :-)
Le fichier source est disponible sur ma page personnelle ladresse suivante : http://linux-france.org/~eprigent/ Quand je parle de source, il sagit uniquement pour linstant des fichiers au format PDF. Si vous avez le temps de les convertir en .html , honneur vous, mais en ce moment je nai pas trop le temps de le faire. Et noubliez pas linformatique cest simple, cest lhomme qui est compliqu :-)
BONNE LECTURE
Initiation SAMBA
Une fois que tout est install, vous pouvez lancer poledit puis aller dans :
1/9
Initiation SAMBA
De cette manire vous allez accder au registre de votre client. On se retrouve avec le mme environnement que Windows 98.
Le principe reste relativement simple, on va demander au client Windows 2000 daller tlcharger la stratgie depuis le serveur Samba. Pour cela il suffit de double cliquer licne Ordinateur Local puis de configurer loption :
Bien vrifier que cette option est coche. Prciser que la mise jour est faite de manire manuelle. On indique le chemin rseau ainsi que le nom du fichier .pol qui sera tlcharg par le client Windows 2000.
3. Cration des stratgies : Le but de la manipulation est de crer des stratgies en fonctions des groupes dutilisateurs. Pour cela nous allons crer deux fichiers config.pol qui contiennent deux politiques distinctes. SAMBA et les stratgies Windows 2000 2/9
Initiation SAMBA Le groupe prof aura le droit de rgler le panneau de configuration Affichage tandis que le groupe des eleves obtiendra le message suivant :
Pour cela, il suffit en tant quadministrateur local du poste Windows 2000 douvrir poledit puis de crer une nouvelle stratgie :
On slectionne les mmes options qu la page 2 (Mise jour des stratgies distantes et chemin rseau \\server\strategies\config.pol) puis on valide par OK Une fois que cest fait on clique sur Utilisateur par dfaut de manire slectionner les options de stratgies : Petit rappel des diffrentes valeurs des cases : Etat Option dslectionne. Option qui dpend de ltat antrieur. Option slectionne.
3/9
Initiation SAMBA
Bien vrifier que cette option est coche. On bloque tout pour notre exemple.
Il ny a plus qu enregistrer les modifications sous un nom de fichier, par exemple lockscreen.pol
Une fois que cest fait, on rpte lopration de la page prcdente, nouvelle stratgie, Ordinateur par dfaut, Mise jour manuelle via le mme chemin rseau \\server\strategies\config.pol Une fois que cest fait, on clique sur Utilisateur par dfaut et cette fois-ci on dcoche loption :
4/9
Initiation SAMBA On enregistre les modifications, sous un autre nom de stratgies, par exemple nolockscreen.pol :
Maintenant on va sintresser au serveur Samba. 4. Configuration de Samba : Je ne vais pas revenir sur la manire dont on configure Samba en PDC, il existe pas mal de documents pour a. Une recherche sur Google suffit. Par contre je vais tout de mme expliquer les subtilits de cette configuration ! Le fichier de configuration sera le suivant :
1 2 3 4 5 6 7 8 9 [global] netbios name = SERVER workgroup = GRETA server string = Server Samba %v log file = /var/log/samba/log.%u security = user encrypt passwords = yes domain master = yes local master = yes
10 preferred master = yes 11 domain logons = yes 12 logon script = logon.cmd 13 logon path = \\%N\profiles\%U 14 logon drive = H: 15 logon home = \\SERVER\%U 16 [netlogon] 17 path = /home/netlogon/%g 18 writeable = no 19 browseable = no 20 [profiles] 21 path = /home/profiles 22 browseable = no
5/9
Initiation SAMBA
23 [strategies] 24 path = /home/strategies/%g 25 browseable = yes 26 writeable = yes 27 [partage] 28 path = /home/partage/%g 29 browsable = yes 30 writeable = yes 31 [homes] 32 invalid users = root 33 comment = Repertoire Perso 34 writeable = yes 35 browseable = no 36 [tout] 37 path = /home 38 valid users = root 39 writeable = yes
Cration des comptes : Pour que cet exemple fonctionne, il est ncessaire de crer deux groupes linux distincts. Sous root :
#groupadd profs #groupadd eleves
On oublie pas daffecter des mots de passe Samba ces deux personnes :
#/usr/local/samba/bin/smbpasswd -a prof1 New SMB password: Retype new SMB password: Password changed for user prof1. #/usr/local/samba/bin/smbpasswd -a eleve1 New SMB password: Retype new SMB password: Password changed for user eleve1.
Cration des rpertoires : Par rapport au fichier de configuration, il est ncessaire de crer un certain nombre de rpertoires et sous-rpertoires. On cre les rpertoires qui contiendront les stratgies des groupes dutilisateurs :
#mkdir p /home/strategies/profs #mkdir p /home/strategies/eleves #mkdir p /home/strategies/root
6/9
Initiation SAMBA
Explications et subtilits : 17 En utilisant loption %g, le chemin daccs du partage sera fonction du nom du groupe auquel appartient lutilisateur qui se connecte sur le PDC. Si cest lutilisateur eleve1 qui se connecte au serveur, la variable %g sera remplace par eleves et donc le partage [netlogon] pointera sur le rpertoire /home/netlogon/eleves 24 Mme remarque que prcdemment, cette fois-ci cela concerne le partage qui va contenir nos stratgies de scurit. 36 Au niveau de la scurit a nest pas trs optimis, lutilisateur root aura accs tous les rpertoires de /home via le client Windows 2000. Ce partage devra tre mis en commentaire une fois que les stratgies et fichiers batch auront t configurs sur le serveur. 5. Mise en place des stratgies sur le serveur : Une fois notre serveur correctement configur, il ne vous reste plus qu vous connecter sous lutilistateur root sur le client Windows 2000 :
Une fois que vous tes connect il ne vous reste plus qu placer dans les sous rpertoires strategies/profs et strategies/eleves les fichiers nolockscreen.pol et lockscreen.pol, voir page 8. Bien videmment vous noublierez pas de les renommer en config.pol et vrifier en ce qui concerne les droits unix que les groupes respectifs ont la possibilit de les lire. Je vous fait confiance pour vrifier ces droits.
7/9
Initiation SAMBA
Attention : Larborescence affiche ne correspond pas compltement celle du fichier smb.conf Dposez dans ce rpertoire le fichier lockscreen.pol que vous allez renommer en config.pol Dposez dans ce rpertoire le fichier nolockscreen.pol que vous allez renommer en config.pol
Vous pouvez procder de manire analogue avec les scripts de connexion logon.cmd :
Il faudra diter avec le notepad un fichier logon.cmd qui contiendra par exemple :
8/9
Initiation SAMBA Les deux fichiers se nomment logon.cmd ils sont placer respectivement dans les deux sousrpertoires eleves et profs
Il ny a plus qu se dconnecter du compte root puis se connecter sous lun des deux utilisateur et normalement les stratgies seront appliques.
9/9