Bonjour a tous !
Je fait depuis quelques temps mes début sous linux avec débian.
Cela dit, la raison de mon post est la suivante :
Je travaille sur deux serveur, l'un sous 2k3, qui est un serveur de domaine, et l'autre sous débian donc, qui fait office de serveur samba (et prochainement d'autre fonction).
J'ai donc bien configurer les deux , fait mon domaine sous 2k3, configurer kerberos sous débian pour integrer mon serveur débian a mon domaine.
Voici le contexte dans lequel je dois travailler :
Je viens d'arriver dans une entreprise, et doit administrer le réseau, ou tout est a faire.
j'ai donc creer mes user sur mon serveur 2K3, a la main car je n'ai pas trouver de script adapter et je n'ai pas encore les conaissance requise pour pouvoir en développer un a la hauteur de mes esperances.
Voici donc pour ma premiere problematique.
Je voudrai pouvoir sychroniser mes utilisateur 2k3 sur le serveur SAMBA, pour ne pas avoir a chaque fois les modifier sur le serveur 2k3 et SAMBA.
Par exemple, lorsque je creer un user dans AD, qu'il soit creer automatiquement sur SAMBA.
Voici la seconde :
Je voudrai savoir s'il y a une méthode pour gerer les authorisations des partage de fichier de facon a ce que l'utilisateur "X" puisse etre le seul a ecrire et lire dans son répertoire perso.
Seuleument j'ai beaucoup d'utilisateur, il me faudrai donc un moyen de pouvoir automatiser cette tache ou du moins la rentre la moins fastidieuse possible .
Y a t il donc un chmod correspondant a ce que je recherche ?
ps : j'utilise également Webmin
Merci d'avance pour vos réponses !
# pourquoi faire compliquer ?
Posté par NeoX . Évalué à 2.
bon ca fait pas avancer le debat
il me semble que dans la configuration samba on peut lui preciser quel est le controleur de domaine (ton win2K3)
pour les droits du dossier utilisateur par rapport aux autres utilisateurs
faut voir le manuel de samba, mais il me semble qu'on peut affiner les autorisations en utilisant @groupA, @groupB dans les choix d'utilisateurs pouvant acceder à certaines ressources
il y a aussi possibilité de definir des mask identiques au chmod
[^] # Re: pourquoi faire compliquer ?
Posté par loloxine . Évalué à 1.
Mais je part du principe que je ne serai pas le seul a travailler dessus et préfere donc rester sur 2k3 pour l'administrer .
Dans la conf de samba, j'ai juste trouvé la variable qui permet de spécifier le domaine, mais pas celle du serveur de domaine.
Pour les droits utilisateurs , je ne fait pas encor la disctinction entre ''masque identiques'' et ''chmod'' je t'avoue.
[^] # Re: pourquoi faire compliquer ?
Posté par loloxine . Évalué à 1.
Pour le smb.conf, j'ai bien spécifié qu'il sagit de mon domaine (le serveur est bien intégré dans le domaine, merci kerberos), mais je n'ai pas trouver la variable qui permet de spécifier le serveur de domaine pour en extraire les utilisateur.
Quand aux droits utilisateurs, je ne fait pas encore la diférence entre '' mask identiques'' et ''chmod''.
Le but étant d'obtenir un répertoire propre a la personne et bien personnel .
ps : merci pour la rapidité de ta réponse !
[^] # Re: pourquoi faire compliquer ?
Posté par NeoX . Évalué à 3.
par exemple avec google, me donne
http://us1.samba.org/samba/docs/man/manpages-3/smb.conf.5.ht(...)
pour tes dossiers utilisateurs
The [homes] section
...
Some modifications are then made to the newly created share:
* The share name is changed from homes to the located username.
* If no path was given, the path is set to the user's home directory.
If you decide to use a path = line in your [homes] section, it may be useful to use the %S macro. For example:
path = /data/pchome/%S
is useful if you have different home directories for your PCs than for UNIX access.
This is a fast and simple way to give a large number of clients access to their home directories with a minimum of fuss.
[...]
pour chercher les utilisateurs sur un autre serveur
password server (G)
By specifying the name of another SMB server or Active Directory domain controller with this option, and using security = [ads|domain|server] it is possible to get Samba to do all its username/password validation using a specific remote server.
This option sets the name or IP address of the password server to use.
[...]
[^] # Re: pourquoi faire compliquer ?
Posté par loloxine . Évalué à 0.
Pour le smb.conf, j'ai bien spécifié qu'il sagit de mon domaine (le serveur est bien intégré dans le domaine, merci kerberos), mais je n'ai pas trouver la variable qui permet de spécifier le serveur de domaine pour en extraire les utilisateur.
Quand aux droits utilisateurs, je ne fait pas encore la diférence entre '' mask identiques'' et ''chmod''.
Le but étant d'obtenir un répertoire propre a la personne et bien personnel .
ps : merci pour la rapidité de ta réponse !
# repost
Posté par loloxine . Évalué à 1.
désoler pour le message en triple.
Merci pour l'info je vais regarder ca de plus pres.
Si j'ai bien comprie, des qu'un utilisateur se connecte sur le serveur SAMBA, le serveur creer un dossier de personnel a ce dernier ?
# et pour le fun
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
- Tu répliques ton ActiveDirectory sur un serveur openLDAP.
- Tu mets l'authentification Samba sur ton openLDAP.
- Et tu regardes si ça marche (et si ça marche tu me dis).
Sinon pour faire un script pour automatiser la création des utilisateurs, tu peux le faire en Perl, en PHP, en Bash, ... avec les fonctions LDAP. Si tu veux avoir le contrôle intégrale de ton ActiveDirectory, étudie les outils pour lire/écrire sur des serveurs LDAP : "man ldapsearch".
L'ActiveDirectory n'est qu'un serveur utilisant le protocole LDAP, il est donc très important de connaître ce fabuleux protocole. Regarde sur la documentation des fonctions ldap de php.net, il y a des exemples pour se connecter à un ActiveDirectory, lire des informations, ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# SAMBA + WINBIND : le couple gagnant :)
Posté par Nicolas Vanwolleghem . Évalué à 4.
Pour répondre à ta première demande, en gros tu veux un serveur de fichiers utilisant les mêmes comptes utilisateurs que l'AD.
Pour ce faire, il est possible d'utiliser SAMBA couplé à WINBIND afin d'intégrer ton serveur à ton domaine directory et d'utiliser du coup tes utilisateur directement dans SAMBA. Tu gardes ton annuaire AD comme unique annuaire d'entreprise. SAMBA vient donc valider son authentification directement sur l'AD.
Une fois ton serveur dans le domaine, tu peux regarder du coté de l'option nt acl support de samba, afin de pouvoir controler les droits sur les répertoire directements au clic droit sous windows via l'onglet sécurité.
Pour les partages perso, tu décommentes juste les partages [HOME] et les users auront chacun un rép perso.
En espérant t'avoir donné qqs pistes. (A noter, ce genre de config est chez nous en prod depuis un long moment maintenant et pas de soucis...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.