Samba : compléments

Source de documentation

Un livre : Samba, installation et mise en oeuvre, édition O'Reilly (août 2000)
Référence : les documents suivants fournis avec Samba et présents dans le répertoire /usr/doc/samba-1.9.18p10/docs :
DIAGNOSIS.txt, DOMAIN.txt, DOMAIN_CONTROL.txt, ENCRYPTION.txt, Win95.txt, Win95_PlainPassword.reg
site consacré à samba

Diagnostic

Rappel : avant toute manipulation hasardeuse sur les fichiers de configuration, en effectuer une copie de sauvegarde.

En cas de problème non résolu, pour cerner la difficulté, il est conseillé d'effectuer les 10 tests systématiques de DIAGNOSIS.txt

SWAT : interface d'administration

swat (= Samba Web Administrating Tool ) est un utilitaire permettant l'administration de Samba, via une interface Web sur un poste client. Il est normalement installé en même temps que samba.
Pour se connecter à swat, on passe une requête au serveur au port 901 du genre :
http://p00:901, si p00 est le nom du serveur (à défaut, utiliser son adresse ip).
En cas d'erreur, serveur absent sur le port 901, il faut effectuer :
1. Ouvrir le fichier de configuration de tcp/ip, /etc/inetd.conf et décommenter la (dernière) ligne : swat stream tcp nowait.400 root /usr/sbin/swat swat
2. Vérifier dans le fichier /etc/services la présence de la ligne swat 901/tcp
3. Il faut redémarrer le démon inetd par /etc/rc.d/init.d/inet restart
4. Vérifier que le port 901 est alors bien accessible.
Expérimenter les différents paramétrages qu'on peut effectuer comme root ou simple user.
Mais ATTENTION ! toute validation de modification de smb.conf effectuée sous l'interface SWAT provoque la réécriture complète du fichier en l'épurant de toutes lignes superflues, y compris les COMMENTAIRES (qui ne sont pas superflus ...). Par conséquent, il faut faire une copie du smb.conf AVANT toute intervention comme root. On pourra ensuite la restaurer.

Webmin

C'est un utilitaire complet de gestion de Linux et de ses services, écrit en Perl. L'administrateur peut agir par l'intermédiaire d'une interface WEB. Le module Samba permet de gérer les partages et les utilisateurs Samba, donc possède des fonctionnalités bien plus étendues que SWAT.
Vivement une version en français et une aide !
Pour l'installation et la configuration, voir ce document

Le problème des mots de passe cryptés

Connexion sous les "anciens" Windows95
Que l'on active ou non le service de cryptage dans smb.conf, et quel que soit le positionnement de EnablePlainTextPassword dans la base de registre des clients 95, apparemment cela n'a pas d'incidence sur les connexions de ces stations Windows 95 (Reste à comprendre pourquoi).
Connexion sous Windows98
Une station 98 correctement configurée (domaine MS, NetBios activé) voit le serveur Samba, mais le processus de connexion n'aboutit pas ...
MS a modifié l'authentification des mots de passe. Par défaut, Windows98 les envoie maintenant cryptés par défaut et le serveur Samba les attend en clair ... Il faut donc intervenir pour rétablir une cohérence.
Il y a 2 solutions :
On ne veut pas crypter les mots de passe
S'assurer d'abord sur le serveur que Samba ne crypte pas
```
encrypt passwords = no
```
Puis intervention dans la base de registre pour que Windows arrête de crypter
1. Lancer c:\windows\regedit.exe
2. Dans la base de registre, se placer dans le rép. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/VNETSUP
3. Menu Edition / Nouveau / valeur DWORD
4. Une nouvelle entrée est créée, lui donner le nom EnablePlainTextPassword.
5. Double-cliquer pour l'éditer, et donner la valeur hexadécimale 1.
6. Fermer et redémarrez la machine .. et çà fonctionne !
Test sur station 98
Avec EnablePlainTextPassword"=dword:00000001, le service de cryptage n'est pas utilisé et il y a connexion possible pour les comptes existants sur le serveur Linux
On paramétre Samba pour le cryptage des mots de passe
Dans la section [global] du fichier /etc/smb.conf, on doit trouver les lignes suivantes :
```
# You may wish to use password encryption. Please read
# ENCRYPTION.txt, Win95.txt and WinNT.txt in the Samba documentation.
# Do not enable this option unless you have read those documents (!) 
encrypt passwords = yes
smb passwd file = /etc/smbpasswd
```
Les mots de passe cryptés utilisés par Samba seront donc placés et lus dans le fichier /etc/smbpasswd qui appartient à root.
Le rôle et la gestion de /etc/smbpasswd sont expliqués dans le fichier ENCRYPTION.txt
La création d'un compte utilisateur s'accompagne de l'ajout de la ligne correspondante dans passwd et dans shadow, mais n'opère pas de modification dans smbpasswd, si on a créé le compte "à la main" avec la commande useradd.
Pour crypter les comptes samba qui ne l'auraient pas été, il faut effectuer les opérations suivantes :
1. activer le cryptage dans /etc/smb.conf
2. créer le fichier smbpasswd en récupérant les comptes Linux
3. activer les mots de passe Samba
4. paramétrer les clients 95/98 pour activer le cryptage des mots de passe
Cryptage par smbpasswd et par linuxconf
- Lorsque les comptes ont été juste créés par la commande useradd, aucun mot de passe n'a encore été défini et chiffré.
  Pour s'en convaincre, examiner /etc/shadow : une entrée a juste été créée au nom du compte.
- On définit le mot de passe comme d'habitude, avec l'utilitaire passwd. Alors, root peut constater qu'un enregistrement contenant le mot de passe crypté a été ajouté au fichier /etc/shadow; par contre, ni cryptage, ni ajout d'une entrée n'ont été effectués dans /etc/smbpasswd
- La commande smbpasswd nom demande 2 fois le mot de passe samba du compte dont on fournit le nom.
  Si
- smbpasswd crypte dans /etc/smbpasswd, avec un algorithme, bien sûr identique à celui que les stations Windows utilise.Lors du premier accès à un partage situé sur le serveur Samba, le mot de passe envoyé chiffré par la station est comparé à celui résident dans /etc/smbpasswd. Cette comparaison détermine la permission ou nom d'y accéder, avec les droits attachés au partage.
- L'utilitaire linuxconf enchaine et synchronise les 2 mots de passe, apparemment sans qu'on le lui demande !
Cryptage par Samba, exemple de procédure
1. Le cas échéant, activer le cryptage dans le fichier smb.conf
2. Sauvegarde du fichier smbpasswd existant : cp smbpasswd smbpasswd.old
3. Création d'un nouveau fichier smbpasswd, à partir du fichier passwd, de façon à récupérer tous les comptes déjà créés, avec l'utilitaire /usr/bin/mksmbpasswd.sh
  cat /etc/passwd | mksmbpasswd.sh > /etc/smbpasswd
4. Examiner le résultat avec less /etc/smbpasswd : les mots de passe n'existent pas encore, seules les lignes correspondant aux comptes linux sont créées
  Vérifier la protection 644 de smbpasswd
5. Créer un mot de passe samba pour stagex, avec la commande smbpasswd -a stagex
6. Aussitôt et sans nécessité à se reconnecter, stagex peut accéder aux ressources partagée. Vérifier la présence du mot de passe dans /etc/smbpasswd
7. Pour déprotéger un compte Samba, éditer /etc/smbpasswd et remplacer les 11 premiers 'X' du mot de passe par la chaîne "NO PASSWORD".
8. Sur les stations Windows
  Sur les stations Windows 98, le cryptage des mots de passe est activé par défaut, il n'y a donc pas à intervenir.
  En cas de problème, notamment sur des Windows 95 "anciens", ouvrir la base de registre et changer la clé suivante :
```
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP
"EnablePlainTextPassword"=dword:00000000
```

La synchronisation des mots de passe
Il s'agit d'une procédure permettant de garder une cohérence entre les mots de passe des comptes Linux et Samba lorsque l'un d'entre eux est changé depuis une station.

# pour demander la synchronisation   
unix password sync = Yes 
# pour indiquer la commande linux pour modifier le mot de passe 
passwd program = /usr/bin/passwd %u 
# indique que Samba doit renvoyer 2 fois %n (nouveau mot de passe) au 
# programme de traitement des mots de passe (indiqué par passwd program)
# en réponse à la demande "new password" 
passwd chat = *new*password* %n\n *new*password* %n\n *succes*

Mini FAQ Samba

Quelques erreurs

Le serveur Samba n'est pas visible d'une station
- Les machines sont-elles dans le même plan d'adresse IP ?
- Les noms de domaine WorkGroup sont-ils synchronisés ?
- A t-on bien redémarré les tâches smbd et nmbd après une modification dans smb.conf ?
Le serveur est "vu" dans le voisinage réseau mais une tentative d'accès se solde par le message :
"l'ordinateur ... n'est pas accessible, l'ordinateur spécifié n'a pas reçu votre requête ..." ou "\\p00 n'est pas accessible, le réseau est occupé" (!)
- Vérifier dans smb.conf que la ligne
  hosts allow est correcte, si elle est présente, par exemple : hosts allow = 10.194.2. 127. pour un sous-réseau d'adresse 10.194.2.0
- On a constaté la reprise de la connexion, en commentant cette ligne, et en décommentant la commande
  interfaces 10.194.2.100/24 (en supposant que l'adresse IP du serveur est 10.194.2.100)
On reçoit des messages de log sur la console du serveur (quand on "restart" le démon smb
Vérifier que la taille maximum du fichier de log /var/log/samba/log.nmb n'est pas atteinte. Cette taille est fixée par défaut à 50 Ko dans smb.conf, section [global]

Station Linux, cliente d'un serveur Windows9x

Un client SMB pour un hôte Linux est inclus dans Samba.
La connexion étant établie, on communique avec le serveur Windows à travers une interface semblable au ftp, ce qui permet de faire du transfert de fichiers.

Connexion au serveur Windows

La connexion est établie par la commande /usr/sbin/smbclient -L nom où on utilise le nom NetBIOS de la machine Windows.
Un mot de passe est requis s'il y a une protection, sinon il suffit de valider.

Exemple :

$ smbclient -L pc1
Password: 
     Sharename      Type      Comment
     ---------      ----      -------
     CD_PC1         Disk      
     C_PC1          Disk      
     D_PC1          Disk      
	 I_JP150        Printer   
     PRINTER$       Disk                  
	 IPC$           IPC       Communication entre processus distants
			 
     Server        Comment
     ------        -------			 
     Workgroup     Master
     ---------     ------

Transfert de fichiers

La commande smbclient \\\\pc1\\C_PC1 permet d'accéder sur PC1 à la ressource partagée, nommée ici C_PC1 (ie le disque C:). Il faut bien entendu respecter les noms de partage attribués sur le serveur WorkGroup.
On obtient un prompt semblable à ftp. Pour connaitre les commandes :

smb: \> h 
ls             dir            lcd            cd             pwd            
get            mget           put            mput           rename         
more           mask           del            rm             mkdir          
md             rmdir          rd             prompt         recurse        
translate      lowercase      print          printmode      queue          
cancel         stat           quit           q              exit           
newer          archive        tar            blocksize      tarmode        
setmode        help           ?              !              
smb: \> cd excel
smb: \excel\>

Montage de répertoire Windows

La commande smbmount permet de monter (comme par NFS) des répertoires distants d'une machine Windows9x, sur l'arborescence Linux, et ainsi de disposer des fichiers.
Pour monter la ressource //PC1/C_PC1 sur le répertoire /mnt/diskc_pc1 du système de fichiers :
smbmount //PC1/C_PC1 /mnt/diskc_pc1
Password : valider.
On parcourt ensuite le répertoire /mnt/diskc_pc1 comme un dossier local.
S'il y a blocage (faire ctrl-C) et se demander :
Le client Samba connait-il la machine nommée PC1 ?
--> il est nécessaire que le nom de l'hôte (ici PC1) ait été déclaré dans /etc/hosts
La ressource C_PC1 est-elle déclarée partagée sur le serveur Windows9x ?
--> clic-droit dans l'explorateur sur le disque concerné/partager ../ etc..
Le client Samba respecte le type de partage Windows en lecture seule ou lecture/écriture.
Supposons que C:\temp soit un sous-répertoire du disque C: du serveur WorkGroup PC1
C: est partagé en lecture seule sous le nom de partage C_PC1
C:\temp est partagé en lecture/écriture sous le nom de partage C_temp_PC1
Monter les ressources :
smbmount //PC1/C_PC1 /mnt/diskc_pc1
smbmount //PC1/C_tempPC1 /mnt/temp_pc1
Tester :
Transférer des fichiers dans C:\temp
Par exemple, copier /etc/fstab dans /mnt/diskc_pc1 et dans /mnt/temp_pc1.
Pour partager les fichiers montés en lecture-écriture pour tous, on ajoute le paramètre -f 777
Pour démonter la ressource Windows, utiliser subumount point-montage :
smbumount /mnt/diskc_pc1

Utiliser une imprimante partagée par Windows

Soit une imprimante lointaine pour la station Linux, installée sur un serveur Windows9x.
Voyons comment cette ressource peut être utilisée par le client Linux.

Soit une imprimante sur l'exemple : nommée HP_DKJET520, gérée par le serveur d'impression sur la station Windows pc2, bien sûr déclarée partagée sous ce nom pour le réseau Microsoft
Sur la station cliente Linux, lancer l'utilitaire X printtool.
Ajouter une imprimante / sélectionner SMB/Windows 95/NT Printer
Paramétrer
- nom par défaut : lp
- Hostname : pc2 et numéro IP
- Printer Name : HP_DKJET520
- Workgroup : nom donné dans /etc/smb.conf
- Input Filter/Select : choisir le modèle d'imprimante (ici HP DeskJet 500)et effectuer les réglages habituels
Effectuer un test (menu Tests)
Utilisation sous Linux, par exemple :
```
 $ lpr /etc/smb.conf
```