Installation de SambaEdu

Présentation

• Site de SambaEdu à http://www.linux-france.org/prj/edu/sambaclg/
  
• Source téléchargeable à : ftp://ftp.linux-france.org/pub/prj/edu/sambaclg
  
• Liste de diffusion : pour s'inscrire http://listes.tice.ac-caen.fr/mailman/listinfo/samba-edu

L'objectif est de fournir une configuration "clé en mains" pour un petit réseau d'établissement (type école ou collège).
Le kit standard contient un ensemble de fichiers scripts permettant notamment :

• d'automatiser la gestion des comptes des utilisateurs
• de sécuriser le partage des répertoires
• d'installer les applications sur le serveur.
• de permettre la gestion aisée d'un intranet : outil de capture de sites, autorisation de sortie "Internet" en fonction des utilisateurs ...

Compléments

• Installation du "Power-kit"

  Un complément de fonctionnalités (le "Power-kit") permet de bénéficier de services supplémentaires :
  • une messagerie interne
  • un serveur de noms (DNS) pour le réseau local
  • un serveur d'adresses dynamiques ip (DHCP)

• Créer les comptes à partir de GEP

  Voir la doc correspondante

Installation

1. Préparation
   • Ouvrir une session root sur le serveur
   • mount /dev/fd0  pour monter la disquette contenant le paquetage latest.tar.gz, s'il n'y a pas "d'automount"
   • cp /mnt/floppy/latest.tar.gz /root/tmp , pour copier l'archive dans un rép. de travail temporaire (on peut aussi utiliser mc)
   • cd /root/tmp
   • tar -xzvf latest.tar.gz  décompresse (z), extrait (x), le fichier (f) indiqué.

2. Résultats de cette 1ère étape
   • création de 3 répertoires dans /root/tmp :
     v2.08/ , pkit1.03/ gep2smb/
   • le répertoire v2.08 contient le script bash principal install.sh dont l'exécution va piloter l'installation et en particulier décompresser l'archive sambaedu_2.07.tar.gz

3. Installation
   • cd /root/tmp/v2.08
   • ./install.sh lance l'exécution du script
   • arrêt des serveurs Samba et Apache
   • demande du mot de passe de admin --> admin
   • mot de passe de eleve --> eleve
   • mot de passe de prof --> prof
   • adresse ip du serveur --> 10.177.240.100
   • nom du domaine --> (fctice) il s'agit du nom workgroup

4. Résultats obtenus
   Le processus d'installation peut être compris en lisant le script install.sh
   On y voit notamment :
   • le changement de nom de certains fichiers vitaux : smb.conf, /etc/default/useradd, /etc/skel, en ajoutant le suffixe colv, ceci pour permettre un désinstallation correcte.
   • la copie de sambaedu_2.07.tar.gz directement dans la racine /, puis sa décompression
     
   • la création de 3 groupes : samba (GID=5000), eleves(5001), profs(5002)
   • la création de 3 comptes : admin (UID=5000), eleve(5001), prof(5002) de groupe primaire samba.
   • Les rép. personnels sont tous installés dans /serveur/home/
     

5. Examens des rép. et fichiers modifiés
   
   • L'examen de linuxconf ou directement des fichiers /etc/passwd et /etc/group montrent les appartenances de groupe.
     Le groupe 5000 samba est défini comme le groupe primaire de tous : samba = {admin, prof, eleve}.
     Les groupes eleves et profs sont des groupes secondaires : eleves = {eleve} et profs = {prof, admin }

   • Dans le rép. du serveur Apache on observe :
     
     • Le répertoire /home/httpd/bin est créé et contient des exécutables : crypt, exe ..
       
     • Le répertoire /home/httpd/html/admincgi est créé et contient des fichiers html.
       Ceux-ci seront utilisés par admin, pour gérer le réseau à distance, sur une station Windows, en dialoguant avec le serveur WEB Apache.
       
     • Le répertoire /home/httpd/cgi-bin contient les scripts d'administration, appelés et exécutés par les formulaires de l'interface d'administration.

6. Examen de la configuration Samba mise en place
   La consultation directe du nouveau smb.conf généré /etc/smb.conf montre :
   • le nom du workgroup est bien fctice77 et le serveur a été doté du nom netbios SERVEUR, sous lequel il sera reconnu des stations.
   • la section définissant le rep. perso. prédéfini [homes] a été supprimée.
     A la place les répertoires personnels sont définis par la section :

      [home]
          comment = Repertoire prive de %U sur %h
         path = /serveur/home/%U
         write list = admin,%U
     

     %U est le nom de login de l'utilisateur, %h est le nom du serveur Linux (=HOSTNAME)
   • Les mots de passe SMB sont cryptés, et synchronisés avec les mots de passe Linux.

7. Complément : installer le "power-kit"
   Il faut éventuellement installer les serveurs suivants : Web Apache, le serveur de noms Bind, le serveur de messagerie Sendmail et POP3, et le DHCP.
   Pour savoir quels paquetages sont déjà installés, lancer l'utilitaire kpackage sous X, puis fichier/Chercher un package Pour installer un nouveau paquetage, voir la commande rpm

   Pour installer, commande ./installpk.sh dans le répertoire pkit1.02

Installation des stations Windows9x

• onglet Configuration :les composants réseaux à installer sont
  • l'adaptateur réseau qui doit être lié au protocole TCP/IP
  • le client pour les réseaux Microsoft
  • le protocole TCP/IP
• onglet Identification : le groupe de travail doit être le nom de domaine Workgroup déclaré à l'installation.
• onglet Contrôle d'accès : au niveau ressources
• Propriétés du client Microsoft
  • Cocher ouvrir la session sur un domaine Windows NT
  • Comme Domaine Windows NT, écrire le nom de domaine Workgroup
• Propriétés TCP/IP
  • Indiquer l'adresse IP de la station et le masque de sous-réseau
  • NetBios doit être activé avec TCP/IP
  • Passerelle : indiquer l'adresse IP du routeur (pour connexion Internet)
  • Configuration DNS : indiquer le domaine et l'adresse IP de la machine DNS (serveur de noms) du fournisseur d'accès Internet (par exemple ac-creteil.fr et 195.98.246.50
• Le cryptage des mots de passe est activé. Il faut utiliser l'utilitaire crypt.reg sur les clients 95

Tester !

1. Utilisateurs

   Se loguer tour à tour comme eleve, prof
   Vérifier pour chacun, l'accessibilité et les droits sur les partages :
   • [home] accès au rép. perso, unité réseau K:
   • [public] P:
   • [profs] J:
   • [install] contient les fichiers de config .reg des stations, I:
   • [logiciel] logiciels accessibles à tous, L:
   Constater la cohérence avec les déclarations du fichier smb.conf
   et l'impossibilité d'effectuer une tâche d'administration à distance, comme sur la console du serveur !

2. Administrateur

   • Tester les outils d'administration en se connectant au serveur WEB comme admin à http://adr-ip/admincgi/index.html, en fait requête au fichier situé sur le serveur à /home/httpd/html/admincgi/index.html

   • La page Configuration générale propose l'accès au service SWAT, au port 901
     S'il s'agit de configurer Samba, donc d'agir sur /etc/smb.conf, il faut entrer dans swat comme root.

   • Créer de nouveaux utilisateurs :
     • Passer à la page Gestion des utilisateurs (users.html)
       
     • puis à /cgi-bin/createusrhtml.cgi Création d'un utilisateur
       
     • Le formulaire demande le nom de login, le mot de passe, son groupe primaire et un utilisateur modèle qui définit le profil.
     • La validation du formulaire provoque l'exécution du script /cgi-bin/createusr.cgi
     • par ex. toto, avec mot de passe zig dans le groupe des élèves, avec comme utilisateur modèle eleves
dupont, avec mot de passe dup dans le groupe des profs, avec comme utilisateur modèle profs
       Vérifier la répercussion sur le serveur :
       • contenu du répertoire personnel /serveur/home/toto
       • appartenance de toto au groupe eleves

   • Tester l'utilitaire de capture de sites (utilisant la commande linux wget )
     • Attention, la commande wget n'est pas installée par défaut.
       Monter le cd-rom et se placer dans /mnt/cdrom/Mandrake/RPMS (pour une telle distribution)
       Passer la commande rpm -Uvh wget-1.5.3....rpm (ou installer en mode graphique)
     • Sur une station Windows cliente, la capture doit être effectuée sous le compte admin,
       Par l'interface WEB, émettre la requête http://10.194.2.10x/admincgi/capture.html
       
     • Exemple
       Soit à capturer, par exemple, une partie du site de la CNIL à http://www.cnil.fr
       Commande Capturer un nouveau site, préciser l'URL du site à capturer et le sous-rép. de /serveur/admin/web/cnil (ie K:\web).
     • la capture peut s'interrompre à tout moment, et est consultable hors connexion dans K:\web\cnil, qui en fait est un lien qui pointe vers /home/httpd/html/cnil/.
       C'est ce qui permet à tous de le consulter.

     • Exercice
       Capturer le site de SambaEdu à l'URL http://www.linux-france.org/prj/edu/sambaclg/

Annexe : fonctionnement de l'interface d'administration

• admincgi : pages html interface de dialogue
• bin : qq programmes en C
• cgi-bin : les scripts bash qui agissent sur le système

ScriptAlias /cgi-binse/ /home/httpdse/cgi-bin/
#---------------------- Server Configuration ----------------------------
ServerType standalone
Port 909
HostnameLookups off
User admin
Group samba
ServerAdmin admin@serveur.priv
ServerRoot /etc/httpd
Listen 909

case "$1" in
  start)
  echo -n "Starting httpd: "
  daemon httpd
  echo
  echo "Starting httpdse: "
// démarre le serveur Apache, en lisant le fichier de configuration qui suit (-f) et qui a été
// placé par SAMBA-EDU
    httpd -f /etc/httpd/confse/httpdse.conf -d /etc/httpd
  echo
  touch /var/lock/subsys/httpd
  ;;

Annexe : le problème des droits

# Fichier de configuration de Samba 
# Date: 27 11 1999 ; Version 2.01

# Global parameters
    workgroup = maison
    netbios name = SERVEUR
    server string = Serveur Samba
    interfaces = 192.168.1.3/24
    encrypt passwords = Yes
    min passwd length = 0
    passwd program = /usr/bin/passwd %u
    passwd chat = *new*password* %n\n *new*password* %n\n *succes*
    unix password sync = Yes
    log file = /var/log/samba/log.%m
    read prediction = Yes
    read size = 8192
    socket options = TCP_NODELAY SO_KEEPALIVE SO_SNDBUF=4096 SO_RCVBUF=4096
    character set = ISO8859-1
    logon script = %U.bat
    domain logons = Yes
    os level = 3
    domain master = Yes
    dns proxy = No
    wins support = Yes
    create mask = 0770
    directory mask = 0770
    print command = lpr -s -r -P %p %s

[netlogon]
    comment = NetLogon
    path = /serveur/home/netlogon
    browseable = No
    locking = No

[home]
    comment = Repertoire prive de %U sur %h
    path = /serveur/home/%U
    write list = admin,%U

[public]
    comment = Repertoire public
    path = /serveur/public
    write list = @samba

[profs]
    comment = repertoire pour les professeurs (r/w)
    path = /serveur/profs
    valid users = @profs
    write list = @profs

[install]
    comment = Programmes d'installation
    path = /serveur/install
    valid users = @profs
    write list = admin

[logiciel]
    comment = Programmes partages sur le serveur
    path = /serveur/programs
    write list = admin

[web]
    comment = Pages Publiques
    path = "/home/httpd/html"
    write list = admin
    create mask = 0775
    directory mask = 0775
    read only = yes
    browseable = No

[partages]
    comment = Tous partages
    path = "/serveur"
    write list = admin
    valid users = admin
    read only = yes
    browseable = No

[lp]
    path = /serveur/home/samba
    print ok = Yes