TP SAMBA (1)

Objectifs, préalables et conseils

• Les notions de base sur Samba sont supposées acquises (ou rappelés rapidement).
  Il s'agit ici de mettre en oeuvre la configuration basique de Samba
  • directement en agissant sur le fichier /etc/smb.conf
  • ou à travers des interfaces graphiques d'administration distante comme webmin et swat
• Objectif : constater la grande simplicité, pour obtenir l'accès aux comptes et aux répertoires personnels sur le serveur
• Créations de comptes Linux-Samba
  
  • Individuels : il faut exécuter 3 commandes par chaque compte à créer

     useradd stagex
     passwd stagex (mot de passe = stgx)
     smbpasswd -a stagex, pour crypter le mot de passe Samba dans /etc/smbpasswd
    

  • Créer le compte invite, sans mot de passe Linux, mais en validant un mot de passe vide avec smbpasswd
  • Création d'un ensemble de comptes Linux/Samba
    Description d'un script BASH pour créer les comptes stagex/stgx, x=1..20
• Conseils :
  • Faites une sauvegarde du fichier de configuration d'origine en le copiant sous le nom /etc/smb.old
  • A chaque modification du fichier de configuration, relancer avec service smb restart
  • Ne pas oublier de "rafraichir" le voisinage réseau
  • Un site de référence : http://samba.linuxbe.org/fr/

TP1 Paramétrage d'un client Samba

1. Situation
   • Pour vérifier votre paramétrage, vous disposez du poste formateur d'adresse ip 192.168.0.216 et de nom Netbios "Serveur"
   • Le nom de groupe de travail commun est fctice
   • Vous vous connectez sous un compte Windows stagex/stgx

2. Configuration de la station
   Reconfigurer complètement les propriétés réseau de la station Windows 98 pour permettre la connexion au serveur Samba.
   • Enlever les protocoles ici superflus (netbeui, ipx/spx), ajouter tcp/ip et netbios s'ils sont absents.
   • Ajouter, s'il est absent, le client pour réseau Microsoft et enlever éventuellement les autres services actifs (comme client pour réseau Netware, service NDS)
   • activer Partage des fichiers
   • Paramétrage réseau / identification : PCx
   • groupe de travail : fctice (vérifier qu'il est bien le même que celui indiqué dans smb.conf du serveur
   • Contrôle d'accès au niveau ressources
   • Paramétrage protocole TCP/IP

      adresse IP 192.168.0.(200+x) où x est le numéro de la station.
        Netbios activé
        Eventuellement : Passerelle vers Internet et DNS
        Et, inévitablement .. relancer Windows
       

3. Tests
   • Se connecter sous l'identité stagex/stgx
   • Le serveur serveur et les stations Windows pcx doivent apparaitre dans le meme groupe de travail fctice dans le voisinage réseau.
   • Un double clic sur Serveur doit faire apparaitre le partage nommé stagex, qui n'est autre que le répertoire personnel de l'actuel utilisateur, situé à /home/stagex sur le serveur.
   • A l'aide de l'Explorateur, tester les droits d'accès en lecture et en écriture.
   • Créer un lecteur réseau P: pour accéder directement au répertoire personnel de l'utilisateur connecté
     • clic-droit sur poste de travail, puis "se connecter à un lecteur réseau"
       
     • choix H: avec chemin noté selon la syntaxe Windows : \\serveur\homes
       
     • cocher "se reconnecter au démarrage" et valider, observer le positionnement de H:
     • Se reconnecter sous un autre compte, et accéder directement à son rép. personnel avec H:

TP2 mise en oeuvre rapide du serveur

1. Situation
   Chaque station peut démarrer soit sous Linux (Mdk 8.2) soit sous Windows98. Il s'agit de constituer des groupes différents de façon à pouvoir expérimenter sur une machine serveur Linux/Samba et sur une machine cliente Windows
   Pour éviter les conflits entre serveurs, on adoptera les notations suivantes :

   nom netbios du serveur Samba : serveurx
   nom du groupe de travail : fcticex, où x= num. machine du serveur Samba
   

2. Configuration du serveur
   Editer le fichier /etc/smb.conf. Y porter les modifications pour avoir :

   [global]
      workgroup = fcticex
      netbios name = Serveurx
      security=user
      host allow = 192.168.0.  127.
      encrypt passwords = yes
      smb passwd file = /etc/samba/smbpasswd
      ; le compte invite accédera sans mot de passe
      guest account = invite
   

3. Station cliente
   Modifiez le paramétrage précédent de votre station pcy, en particulier le groupe de travail fcticex
   Après redémarrage, pouvez-vous vous connecter au serveur ?

4. Tester la syntaxe du fichier /etc/smb.conf
   Lancer l'utilitaire testparm pour vérifier la syntaxe du fichier /etc/smb.conf et éventuellement déceler des fautes de saisie.

5. Suivre les connexions Samba sur le serveur
   • En mode texte, suivre attentivement les connexions des utilisateurs au serveur Samba, dans les journaux personnels des stations, situés à /var/log/samba/log.PCx
   • Sur le serveur, la commande  smbstatus permet d'ouvrir une fenêtre d'informations sur l'activité du serveur Samba
     Observer au fur et à mesure du travail, le suivi des connexions des clients Windows, avec les indications du nom de l'utilisateur, de la machine cliente et de son numéro IP, la date et l'heure.
     Pour imprimer : smbstatus | lpr
   • Sous X-KDE, une interface graphique existe pour smbstatus , accèder par K/Configuration/Informations/Etat de Samba

TP3 Linux client de Windows

• La commande smbmount permet de monter (comme par NFS) des répertoires distants d'une machine Windows9x, sur l'arborescence Linux, et ainsi d'accéder aux fichiers.

• Pour monter la ressource //PCy/C sur le répertoire /mnt/disk du système de fichiers :
  smbmount //PCy/C /mnt/disk
  Password : valider.
  On parcourt ensuite le répertoire /mnt/disk comme on le ferait sur un dossier local.

• S'il y a blocage, terminer la commande par Ctrl-C et se demander :
  Le client Samba connait-il la machine nommée PCy ?
  --> il est nécessaire que le nom de l'hôte (ici PCy) ait été déclaré dans /etc/hosts
  La ressource C est-elle déclarée partagée sur le serveur Windows 9x ?
  --> clic-droit dans l'explorateur sur le disque concerné /partager ../ etc..

• Le client Samba respecte le type de partage Windows en lecture seule ou lecture/écriture.
  Supposons que C:\tmp soit un sous-répertoire du disque C: du serveur WorkGroup PCy
  C: est partagé en lecture seule sous le nom de partage C
  C:\tmp est partagé en lecture/écriture sous le nom de partage C_tmp
  Monter les ressources :
  smbmount //PC1/C /mnt/disk
  smbmount //PC1/C_tmp /mnt/disk_tmp
  Tester :
  Transférer des fichiers dans C:\tmp, en copiant des fichiers dans /mnt/disk_tmp

• Pour démonter la ressource Windows, utiliser subumount point-montage :
  smbumount /mnt/disk

TP4 partager des périphériques

1. Objectifs
   Il s'agit de paramétrer les partages de système de fichiers périphériques sur le serveur
   Vérifier la visibilité et l'accessibilité aux partages pour les utilisateurs autorisés, le respect des restrictions en écriture ...
   Pour l'écriture des sections correspondantes dans /etc/smb.conf, se reporter au cours.
2. Partager le lecteur de cdrom
   
   • Paramétrer ce partage sur le serveur

     [cdrom]
     # chemin d'accès au point de montage du CDROM
      path = /mnt/cdrom
     # accessible à en lecture 
      readpublic = yes
     # l'écriture sera forcément interdite
      writeable = no
     

   • Accéder à la ressource cdrom partagée. Que faut-il préalablement effectuer sur le serveur ?
   • Si on dispose d'un CD de logiciels Windows, procéder à une installation, par exemple Netscape 4.7 et Eudora sur la station
3. Ecrire le partage du lecteur de disquette

TP5 partager un répertoire public

• Créer le répertoire /home/tmp et lui accorder les permissions correctes.
  On pourra juger plus raisonnable d'y positionner aussi le "sticky bit".
  
• Puis paramétrer la section du partage [public]

  [public]
  comment =Répertoire public
  path = /home/public
  guest ok = yes
  writeable = yes
  # les fichiers créés sont en lecture seule, pour les autres (la catégorie o)
  create mode = 0664 

• Relancer et tester sur la station cliente

TP6 partager un répertoire réservé à un groupe

1. Créer le groupe stagiaires. Y placer quelques comptes stagex/stgx
2. Créer le répertoire partagé, par exemple /home/stagiaires
3. Accorder les droits de propriété de groupe de ce répertoire au groupe stagiaires
4. Et les bonnes permissions : 1770 (pourquoi ?)
5. Créer la section du partage [stagiaires] avec les droits d'accès et d'écriture cohérents

   [stagiaire]
   comment =Partage réservé au groupe des stagiaires
   path = /home/stagiaires
   # liste des utilisateurs et des groupes autorisés 
   valid users = @stagiaires
   # on pourra y écrire (bien sûr ceux qui peuvent y accéder..)
   writeable = yes
   # permissions par défaut des fichiers et des rép.créés
   create mode = 0660
   create directory = 0770
   # pour "forcer" la propriété de groupe : elle doit etre accordée au groupe
   # des stagiaires (et non par défaut, au groupe primaire du créateur)
   force group = stagiaires
   

6. Tester complètement sur la station, sous l'identité de plusieurs utilisateurs, faisant ou non partie du groupe. Conclusion : ce partage est-il satisfaisant ?

TP7 partage d'administration du serveur WEB

• Créer (par exemple à l'aide de webmin), un utilisateur webadmin (mot de passe=apache).
• Paramétrer le nouveau partage [web]. Son chemin est donc le répertoire /var/www/html
• L'accès complet en écriture, donc la gestion du site WEB par connexion Samba, doit être réservée à webadmin. Toutefois, on peut admettre que le groupe webadmin (contenant éventuellement d'autres utilisateurs, par exemple jean) ait un accès en lecture et personne d'autre !
• Quelles sont les commandes que root doit passer pour cela ?
• Sur une station Windows, webadmin crée une page d'accueil accueil.html pour le site de l'établissement, et la place dans le partage web. Vérifier son bon positionnement sur le serveur.
• webadmin capture un site sur Internet et le place dans un sous répertoire de /
• jean vérifie son accès en lecture aux pages WEB par protocole Samba, mais son impossibilité à y écrire, bien qu'il fasse partie du groupe webadmin !
• En revanche, tous les utilisateurs vérifient leur accès en lecture au site WEB par protocole http, en adressant la requête : http://p0x
• Ecriture du partage [web]

  [web]
   comment = Gestion du site WEB
   path = /var/www/html
   valid users = @webadmin
   write list =  webadmin
  

TP 8 administration de Samba par Webmin et swat

SWAT

• swat (= Samba Web Administrating Tool ) est un utilitaire permettant l'administration de Samba, via une interface Web sur un poste client. Il est normalement installé en même temps que samba.
• Pour se connecter à swat, on passe une requête au serveur au port 901 du genre :
  http://p00:901, si p00 est le nom du serveur (à défaut, utiliser son adresse ip).
  En cas d'erreur, serveur absent sur le port 901, il faut effectuer :
  1. Ouvrir le fichier de configuration de tcp/ip, /etc/inetd.conf et décommenter la (dernière) ligne : swat stream tcp nowait.400 root /usr/sbin/swat swat
  2. ou si on utilise xinetd, probablement modifier le paramétrage de /etc/xinetd.d/swat, et vérifier l'accessibilité des stations clientes. Ne pas oublier de relancer xinetd
  3. S'il y a encore refus de connexion, vérifier dans le fichier /etc/services la présence de la ligne swat 901/tcp
• Expérimenter les différents paramétrages qu'on peut effectuer comme root ou simple user.
  Mais ATTENTION ! toute validation de modification de smb.conf effectuée sous l'interface SWAT provoque la réécriture complète du fichier en l'épurant de toutes lignes superflues, y compris les COMMENTAIRES (qui ne sont pas superflus ...). Par conséquent, il faut faire une copie du smb.conf AVANT toute intervention comme root. On pourra ensuite la restaurer.
• En particulier parcourir la documentation au format HTML

Webmin

• Rappel : démarrer si nécessaire le serveur Webmin, puis se connecter par http(s)://serveur:10000
• admin a t-il le droit d'accès au module de gestion de Samba. Sinon, root doit le lui accorder
• admin se connecte à webmin et examine le paramétrage de smb.conf
  Retrouver dans les pages Windows Networking, Authentification, ... l'essentiel des choix de la section [global] de smb.conf
• On a vu que par défaut les mots de passe Samba ne sont pas générés.
  Pour synchroniser la génération des mots de passe Linux et Samba lors de la création d'un nouvel utilisateur, cocher Add a Samba user when a Unix user is added et Change the Samba user when a Unix user is changed dans la page Configure automatic Unix and Samba user synchronisation
• Créer un nouvel utilisateur sur la station et s'y connecter ensuite sous cette identité.