Forum général.général samba et windows 2000

Posté par  (site web personnel) .
Étiquettes : aucune
0
28
fév.
2008
Bonjour.
Je souhaite remplacer la partie partage de fichier d'un serveur windows 2000 qui sert de serveur d'authentification et de partage de donnée par un serveur debian.
Je vais donc mettre un serveur et des partages samba mais malgré tout mes essai je n'ai pas réussi a utiliser les login des utilisateurs windows XP authentifié sur le serveur 2000 pour gérer les droits des partages sous debian.

Existe t'il un moyen de "lier" un utilisateur windows a un utilisateur linux? ou alors carrément de récupérer l'info. En gros comment puis je faire pour que les droits sur les partages soit donnée a l'utilisateur //nom_de_domaine/nom_utilisateur ?
Merci d'avance.
  • # il faut chercher...

    Posté par  . Évalué à 3.

    du coté des options de samba pour lui dire de faire l'auhtentification sur le serveur win2000

    et du coup tu peux peut-etre meme preciser si par defaut ce sont des utilisateurs locaux ou domaine...
    • [^] # Re: il faut chercher...

      Posté par  (site web personnel) . Évalué à 1.

      c'est a dire que c'est ce que j'ai cherché mais pas trouvé. Donc tu as l'air sur de l'existence de cette option ce qui me rassure mais pour ma part je l'ai jamais trouvé. Pourrais tu m'aiguiller?
      • [^] # Re: il faut chercher...

        Posté par  . Évalué à 2.

        aller au hasard en 5 minutes + le temps de rediger (enfin mettre en forme)
        google ->man smb.conf

        me donne entre autre
        http://us1.samba.org/samba/docs/man/manpages-3/smb.conf.5.ht(...)

        qui dit allow trusted domains (G)

        This option only takes effect when the security option is set to server, domain or ads. If it is set to no, then attempts to connect to a resource from a domain or workgroup other than the one which smbd is running in will fail, even if that domain is trusted by the remote server doing the authentication.

        This is useful if you only want your Samba server to serve resources to users in the domain it is a member of. As an example, suppose that there are two domains DOMA and DOMB. DOMB is trusted by DOMA, which contains the Samba server. Under normal circumstances, a user with an account in DOMB can then access the resources of a UNIX account with the same account name on the Samba server even if they do not have an account in DOMA. This can make implementing a security boundary difficult.

        Default: allow trusted domains = yes


        ce qui laisse entendre que tu peux joindre ta machine samba à ton serveur windows2000 (gestion en domain)

        et un peu plus loin
        auth methods (G)

        This option allows the administrator to chose what authentication methods smbd will use when authenticating a user. This option defaults to sensible values based on security. This should be considered a developer option and used only in rare circumstances. In the majority (if not all) of production servers, the default setting should be adequate.

        Each entry in the list attempts to authenticate the user in turn, until the user authenticates. In practice only one method will ever actually be able to complete the authentication.

        Possible options include guest (anonymous access), sam (lookups in local list of accounts based on netbios name or domain name), winbind (relay authentication requests for remote users through winbindd), ntdomain (pre-winbindd method of authentication for remote domain users; deprecated in favour of winbind method), trustdomain (authenticate trusted users by contacting the remote DC directly from smbd; deprecated in favour of winbind method).

        Default: auth methods =

        Example: auth methods = guest sam winbind
        • [^] # Re: il faut chercher...

          Posté par  (site web personnel) . Évalué à 1.

          Désolé d'insister mais je n'ai toujours pas de solutions a mon problème et cette page de man que j'avais déjà lu ne m'éclaire pas beaucoup plus.
          • [^] # Re: il faut chercher...

            Posté par  . Évalué à 1.

            pour resumer il faut :
            1°) declarer ton serveur linux à ton domaine windows (integration du linux au domaine)

            2°) configurer ton samba pour qu'il fasse l'autentification sur le domaine (avec les options données plus haut)

            bref encore quelques etapes avant de pouvoir commencer a utiliser samba avec les utilisateurs du domaine

            perso pour ne pas avoir à trop fouiller dans les options j'installe un truc qui s'appelle webmin.

            ca me permet de manager le serveur via une interface web, et les formulaires sont plus parlant que le fichier de configuration.
            • [^] # Re: il faut chercher...

              Posté par  (site web personnel) . Évalué à 1.

              j'ai suivi ton conseil et ait installé webmin ce qui en effet simplifie pas mal le travail.

              maintenant mon smb.conf ressemble a ca :


              [global]
              log file = /var/log/samba/log.%m
              map hidden = yes
              passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
              socket options = TCP_NODELAY
              obey pam restrictions = yes
              wins server = 192.168.1.1
              encrypt passwords = true
              passwd program = /usr/bin/passwd %u
              passdb backend = tdbsam
              dns proxy = no
              netbios name = msa
              map system = yes
              invalid users = root
              workgroup = PRINCIPAL
              os level = 20
              syslog = 0
              security = domain
              panic action = /usr/share/samba/panic-action %d
              max log size = 1000


              [printers]
              comment = All Printers
              browseable = no
              path = /var/spool/samba
              printable = yes
              create mask = 0700

              [print$]
              comment = Printer Drivers
              path = /var/lib/samba/printers

              [be]
              comment = aucun
              path = /home/administrateur/be


              Et j'ai fait un :
              net join -U admin -S msa (msa c'est le nom du serveur 2000)

              mais ca ne fonctionne toujours pas. quand je me connecte on me demande un login/mot de passe mais aucun ne marche (ni les locaux linux, ni ceux du domaine).
              je suis preneur de toutes idées.

              ps :
              si je joins le domaine en faisant :
              sudo net join -U admin -S 192.168.1.1
              j'ai ce message d'erreur : utils/net_rpc_join.c:net_rpc_join_newstyle(350)
              Error in domain join verification (credential setup failed): NT_STATUS_INVALID_COMPUTER_NAME
              Unable to join domain PRINCIPAL.

              peut étre que ca peut venir de la mais google n'a pas été d'une grande aide.
              • [^] # Re: il faut chercher...

                Posté par  . Évalué à 1.

                bon d'apres le message, samba essai de joindre le domaine PRINCIPAL

                est-ce bien le domaine que gere ton windows 2000 ?

                pour les utilisateurs, as-tu essayé les formes "windows"
                domain\utilisateur
                ou
                utilisateur@domain
                • [^] # Re: il faut chercher...

                  Posté par  (site web personnel) . Évalué à 1.

                  oui le domaine s'appelle en effet principal
                  et j'ai essayé les 3 méthodes pour l'authentification :
                  username
                  domaine\username
                  username@domaine

                  une autre idée?
                  • [^] # Re: il faut chercher...

                    Posté par  . Évalué à 1.

                    man net pour connaitre les options de net pour l'action join
                    net [RPC|ADS] JOIN [TYPE] [-U username[%password]] [createupn=UPN] [createcomputer=OU] [options]
                    Join a domain. If the account already exists on the server, and [TYPE] is MEMBER, the machine will attempt to join automatically.
                    (Assuming that the machine has been created in server manager)
                    Otherwise, a password will be prompted for, and a new account may be created.

                    [TYPE] may be PDC, BDC or MEMBER to specify the type of server joining the domain.

                    [UPN] (ADS only) set the principalname attribute during the join. The default format is host/netbiosname@REALM.

                    [OU] (ADS only) Precreate the computer account in a specific OU. The OU string reads from top to bottom without RDNs, and is delimited by a ’/’. Please note that ’´ is used for escape by both the
                    shell and ldap, so it may need to be doubled or quadrupled to pass through, and it is not used as a delimiter.

                    net [RPC] OLDJOIN [options]
                    Join a domain. Use the OLDJOIN option to join the domain using the old style of domain joining - you need to create a trust account in server manager first.
                • [^] # Re: il faut chercher...

                  Posté par  (site web personnel) . Évalué à 1.

                  j'ai suivi cette documentation qui m'a fait beaucoup avancée :
                  http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/F(...)

                  Maintenant j'ai accés aux utilisateurs du domaine et je peux configurer des partages.
                  Je peux configurer un partage accessible a tout le monde ou seulement a certains utilisateurs ou seulement a un groupe.

                  mon probléme maintenant est que je ne sais pas comment faire pour partager un dossier par utilisateur. Sur la machine windows on créait un dossier sur la machine qu'on ne partageait qu'avec l'utilisateur concernait.

                  J'ai créé cette section en remplacement mais je n'arrive pas a la faire fonctionner (je me connecte avec certains utilisateur mais pas tous bref je comprends pas trop) :
                  [utilisateur]
                  comment = Data
                  writable = yes
                  path = /home/%u
                  user = %u

                  En gros j'aimerais que les utilisateurs se connecte au partage utilisateur et qu'ils aient chacun un dossier bien a eux (pas forcément le meme nom de partage)
                  • [^] # Re: il faut chercher...

                    Posté par  (site web personnel) . Évalué à 1.

                    Fausse alerte en faite
                    quand je fais wbinfo -u et wbinfo -g je vois bien mes groupes et utilisateurs
                    mais quand je fais une config de ce type la :

                    [be]
                    comment = aucun
                    path = /home/administrateur/be7
                    user = PRINCIPAL\be7 (j'ai essayer les différentes écritures pour l'user)
                    read only = No

                    l'utilisateur n'arrive jamais a accéder au dossier. Par contre mon utilisateur (cb), lui y accéde sans probléme.

                    voila mon smb.conf :


                    [global]
                    workgroup = PRINCIPAL
                    netbios name = MSA3
                    security = DOMAIN
                    printcap name = cups
                    disable spoolss = Yes
                    show add printer wizard = No
                    idmap uid = 15000-20000
                    idmap gid = 15000-20000
                    winbind use default domain = Yes
                    printing = cups
                    admin users = admin


                    [printers]
                    comment = All Printers
                    browseable = no
                    path = /var/spool/samba
                    printable = yes
                    create mask = 0700

                    [print$]
                    comment = Printer Drivers
                    path = /var/lib/samba/printers

                    [homes]
                    comment = Home Directories
                    valid users = %S
                    read only = No
                    browseable = No

                    [utilisateur]
                    comment = Data
                    writable = yes
                    path = /home/%u
                    user = %u

                    [public]
                    comment = Data
                    writable = yes
                    path = /home/administrateur

                    [be]
                    comment = aucun
                    path = /home/administrateur/be7
                    user = PRINCIPAL\be7
                    read only = No
                    • [^] # Re: il faut chercher...

                      Posté par  . Évalué à 1.

                      inspire toi de la config du partage [homes]

                      en effet ce partage permet de ne donner acces qu'au /home/user de l'utilisateur user

                      sans pour autant configurer 50 partages si tu as 50 utilisateurs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.