Bonjour.
Je souhaite remplacer la partie partage de fichier d'un serveur windows 2000 qui sert de serveur d'authentification et de partage de donnée par un serveur debian.
Je vais donc mettre un serveur et des partages samba mais malgré tout mes essai je n'ai pas réussi a utiliser les login des utilisateurs windows XP authentifié sur le serveur 2000 pour gérer les droits des partages sous debian.
Existe t'il un moyen de "lier" un utilisateur windows a un utilisateur linux? ou alors carrément de récupérer l'info. En gros comment puis je faire pour que les droits sur les partages soit donnée a l'utilisateur //nom_de_domaine/nom_utilisateur ?
Merci d'avance.
Forum général.général samba et windows 2000
28
fév.
2008
# il faut chercher...
Posté par NeoX . Évalué à 3.
et du coup tu peux peut-etre meme preciser si par defaut ce sont des utilisateurs locaux ou domaine...
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
[^] # Re: il faut chercher...
Posté par NeoX . Évalué à 2.
google ->man smb.conf
me donne entre autre
http://us1.samba.org/samba/docs/man/manpages-3/smb.conf.5.ht(...)
qui dit
allow trusted domains (G)
This option only takes effect when the security option is set to server, domain or ads. If it is set to no, then attempts to connect to a resource from a domain or workgroup other than the one which smbd is running in will fail, even if that domain is trusted by the remote server doing the authentication.
This is useful if you only want your Samba server to serve resources to users in the domain it is a member of. As an example, suppose that there are two domains DOMA and DOMB. DOMB is trusted by DOMA, which contains the Samba server. Under normal circumstances, a user with an account in DOMB can then access the resources of a UNIX account with the same account name on the Samba server even if they do not have an account in DOMA. This can make implementing a security boundary difficult.
Default: allow trusted domains = yes
ce qui laisse entendre que tu peux joindre ta machine samba à ton serveur windows2000 (gestion en domain)
et un peu plus loin
auth methods (G)
This option allows the administrator to chose what authentication methods smbd will use when authenticating a user. This option defaults to sensible values based on security. This should be considered a developer option and used only in rare circumstances. In the majority (if not all) of production servers, the default setting should be adequate.
Each entry in the list attempts to authenticate the user in turn, until the user authenticates. In practice only one method will ever actually be able to complete the authentication.
Possible options include guest (anonymous access), sam (lookups in local list of accounts based on netbios name or domain name), winbind (relay authentication requests for remote users through winbindd), ntdomain (pre-winbindd method of authentication for remote domain users; deprecated in favour of winbind method), trustdomain (authenticate trusted users by contacting the remote DC directly from smbd; deprecated in favour of winbind method).
Default: auth methods =
Example: auth methods = guest sam winbind
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
[^] # Re: il faut chercher...
Posté par NeoX . Évalué à 1.
1°) declarer ton serveur linux à ton domaine windows (integration du linux au domaine)
2°) configurer ton samba pour qu'il fasse l'autentification sur le domaine (avec les options données plus haut)
bref encore quelques etapes avant de pouvoir commencer a utiliser samba avec les utilisateurs du domaine
perso pour ne pas avoir à trop fouiller dans les options j'installe un truc qui s'appelle webmin.
ca me permet de manager le serveur via une interface web, et les formulaires sont plus parlant que le fichier de configuration.
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
maintenant mon smb.conf ressemble a ca :
[global]
log file = /var/log/samba/log.%m
map hidden = yes
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
socket options = TCP_NODELAY
obey pam restrictions = yes
wins server = 192.168.1.1
encrypt passwords = true
passwd program = /usr/bin/passwd %u
passdb backend = tdbsam
dns proxy = no
netbios name = msa
map system = yes
invalid users = root
workgroup = PRINCIPAL
os level = 20
syslog = 0
security = domain
panic action = /usr/share/samba/panic-action %d
max log size = 1000
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
create mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
[be]
comment = aucun
path = /home/administrateur/be
Et j'ai fait un :
net join -U admin -S msa (msa c'est le nom du serveur 2000)mais ca ne fonctionne toujours pas. quand je me connecte on me demande un login/mot de passe mais aucun ne marche (ni les locaux linux, ni ceux du domaine).
je suis preneur de toutes idées.
ps :
si je joins le domaine en faisant :
sudo net join -U admin -S 192.168.1.1j'ai ce message d'erreur :
utils/net_rpc_join.c:net_rpc_join_newstyle(350)Error in domain join verification (credential setup failed): NT_STATUS_INVALID_COMPUTER_NAME
Unable to join domain PRINCIPAL.
peut étre que ca peut venir de la mais google n'a pas été d'une grande aide.
[^] # Re: il faut chercher...
Posté par NeoX . Évalué à 1.
est-ce bien le domaine que gere ton windows 2000 ?
pour les utilisateurs, as-tu essayé les formes "windows"
domain\utilisateur
ou
utilisateur@domain
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
et j'ai essayé les 3 méthodes pour l'authentification :
username
domaine\username
username@domaine
une autre idée?
[^] # Re: il faut chercher...
Posté par NeoX . Évalué à 1.
net [RPC|ADS] JOIN [TYPE] [-U username[%password]] [createupn=UPN] [createcomputer=OU] [options]
Join a domain. If the account already exists on the server, and [TYPE] is MEMBER, the machine will attempt to join automatically.
(Assuming that the machine has been created in server manager)
Otherwise, a password will be prompted for, and a new account may be created.
[TYPE] may be PDC, BDC or MEMBER to specify the type of server joining the domain.
[UPN] (ADS only) set the principalname attribute during the join. The default format is host/netbiosname@REALM.
[OU] (ADS only) Precreate the computer account in a specific OU. The OU string reads from top to bottom without RDNs, and is delimited by a ’/’. Please note that ’´ is used for escape by both the
shell and ldap, so it may need to be doubled or quadrupled to pass through, and it is not used as a delimiter.
net [RPC] OLDJOIN [options]
Join a domain. Use the OLDJOIN option to join the domain using the old style of domain joining - you need to create a trust account in server manager first.
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
merci beaucoup de ton aide...
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/F(...)
Maintenant j'ai accés aux utilisateurs du domaine et je peux configurer des partages.
Je peux configurer un partage accessible a tout le monde ou seulement a certains utilisateurs ou seulement a un groupe.
mon probléme maintenant est que je ne sais pas comment faire pour partager un dossier par utilisateur. Sur la machine windows on créait un dossier sur la machine qu'on ne partageait qu'avec l'utilisateur concernait.
J'ai créé cette section en remplacement mais je n'arrive pas a la faire fonctionner (je me connecte avec certains utilisateur mais pas tous bref je comprends pas trop) :
[utilisateur]
comment = Data
writable = yes
path = /home/%u
user = %u
En gros j'aimerais que les utilisateurs se connecte au partage utilisateur et qu'ils aient chacun un dossier bien a eux (pas forcément le meme nom de partage)
[^] # Re: il faut chercher...
Posté par marseillais (site web personnel) . Évalué à 1.
quand je fais wbinfo -u et wbinfo -g je vois bien mes groupes et utilisateurs
mais quand je fais une config de ce type la :
[be]
comment = aucun
path = /home/administrateur/be7
user = PRINCIPAL\be7 (j'ai essayer les différentes écritures pour l'user)
read only = No
l'utilisateur n'arrive jamais a accéder au dossier. Par contre mon utilisateur (cb), lui y accéde sans probléme.
voila mon smb.conf :
[global]
workgroup = PRINCIPAL
netbios name = MSA3
security = DOMAIN
printcap name = cups
disable spoolss = Yes
show add printer wizard = No
idmap uid = 15000-20000
idmap gid = 15000-20000
winbind use default domain = Yes
printing = cups
admin users = admin
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
create mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
[utilisateur]
comment = Data
writable = yes
path = /home/%u
user = %u
[public]
comment = Data
writable = yes
path = /home/administrateur
[be]
comment = aucun
path = /home/administrateur/be7
user = PRINCIPAL\be7
read only = No
[^] # Re: il faut chercher...
Posté par NeoX . Évalué à 1.
en effet ce partage permet de ne donner acces qu'au /home/user de l'utilisateur user
sans pour autant configurer 50 partages si tu as 50 utilisateurs.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.