RTN / EC2LT

Réseaux et Techniques Numériques

Ecole Centrale des Logiciels Libres et de Télécommunications

Mise en place d'un Contrôleur de Domaine dans un milieu

hétérogène avec SAMBA couplé à LDAP

Domaine : Réseaux, télécoms

Ecole Centrale des Logiciels Libres et de Télécommunications

Zone de Captage, Dakar – Sénégal
Tel : (+221) 33 867 45 90 || (+221) 77 517 17 71
http://www.ec2lt.sn || http://formation.rtn.sn/moodle

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Plan – Page 1

Partie 1 : Présentation :
 SAMBA :

 LDAP :

Partie 2 : Installation des paquets:

 LDAP :

 SAMBA :

 Couple LDAP / SAMBA

Partie 3 : Configuration :

 Mise en œuvre de l’annuaire LDAP :

 Mise en œuvre du serveur SAMBA :

 Couplage SAMBA-LDAP:

 Configuration de linux pour l'authentification des utilisateurs par LDAP:

 Gestion des Utilisateurs:

Partie 4 : Intégration des machines au domaine:

 Intégration d'une machine windows xp:

 Intégration d'une machine windows 7:

 Intégration d'une machine ubuntu 10.4:

 Intégration d'une machine fedora 11:

CONCLUSION :
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 À propos du rapport – Page 2

 Descriptions
Ce document porte essentiellement sur l'utilisation d'un annuaire LDAP
pour authentifier des utilisateurs et SAMBA pour le partage des ressources
dans un milieu hétérogène (ou on a des ordinateurs sous windows xp,
windows 7, ubuntu et fedora).

 Objectifs
 Public concerné

- Donner la possibilité de - Étudiants

centraliser des comptes - Adeptes des réseaux
utilisateurs afin d’avoir un
annuaire d’authentification unifié.
- Donner à un poste linux de
 Caractéristiques
partager des fichiers et des
Durée : X minutes
imprimantes entre des ordinateurs Formation très pratique dans la vie
sous linux et windows. courante
Niveau : 2/5
Contact : ecole.ec2lt@gmail.com

 Proposition de :

- Dr Samuel OUYA

- Mouhamadou Yaya SOW

 Pré-requis 775702639
- Base en linux mysow@live.fr
- Connaissance en réseau
- Pape Saer NIANG
774143946
pizniang@gmail.com

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Présentation – Page 4

Méta-Information :

Ce rapport explique pas à pas l'installation d'un serveur Samba avec

authentification LDAP dans un milieu hétérogène sous fedora11-
2.6.30.10-105.2.23.fc11.i686.PAE.

Tout au long de celui-ci une importante question se pose POURQUOI

AVOIR UN LDAP EN PLUS SI SAMBA PEUT LUI-MEME GERER LES
UTILISATEURS ET MACHINES ??? (la réponse se trouve a la fin de la
partie suivante).

Partie 1 – Présentation :
 LDAP :

LDAP (Lightweight Directory Access Protocol ou Protocoles d'accès aux

annuaires légers) est un protocole standard permettant de gérer des annuaires,
c'est-à-dire d'accéder à des bases d'informations sur les utilisateurs d'un réseau
par l'intermédiaire de protocoles TCP/IP.

Le contenu des entrées d'un annuaire LDAP est régi par des schémas qui
représentent l'ensemble des définitions d'objets et d'attributs qu'un serveur LDAP
peut gérer. Cela permet par exemple de définir si un attribut peut posséder une ou
plusieurs valeurs. D'autre part, un attribut nommé objectclass permet de définir les
attributs étant obligatoires ou facultatifs...

Le format d'échange de données LDIF :

LDAP fournit un format d'échange LDIF ( Lightweight Data Interchange Format)

permettant d'importer et d'exporter les données d'un annuaire avec un simple
fichier texte. La majorité des serveurs LDAP supportent ce format, ce qui permet
une grande interopérabilité entre eux.

Un serveur LDAP est conçu pour être capable de gérer les opérations suivantes :
 Établir et fermer une connexion avec l'annuaire

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Rechercher des entrées
 Comparer des entrées
 Ajouter des entrées
 Modifier des entrées
 Supprimer des entrées
 Annuler ou abandonner une opération.

 SAMBA :
Samba est une implémentation libre des protocoles SMB et CIFS sous GNU
Linux. Il permet le partage de ressources et est compatible avec les réseaux
Microsoft Windows. C'est-à-dire qu'il permet de partager les fichiers et les
imprimantes d'un serveur Linux avec les ordinateurs d'un réseau Microsoft
Windows, et de manière totalement transparente à travers un réseau local.

Architecture de Samba :
SAMBA est constitué d'un serveur et d'un client, ainsi que de quelques outils
permettant de réaliser des services pratiques ou bien de tester la configuration.
Le serveur est constitué de deux applications (appelées démons) :
1. Smbd : noyau du serveur, fournissant les services d'authentification et d'accès
aux ressources
2. nmbd : permettant de montrer les services offerts par Samba
L'outil testparm vérifie la syntaxe du fichier smb.conf, le fichier de configuration
de Samba

Configuration de Samba :
La configuration de Samba est effectuée par l'intermédiaire d'un fichier de
configuration unique: smb.conf. Ce fichier est située dans le répertoire
/etc/samba/.2
Ce fichier décrit les ressources que l'on désire partager, ainsi que les
permissions/restrictions qui leur sont associées. Il est divisé en plusieurs sections
(chacune référencé par une ligne contenant le nom de la section entre crochets)
comprenant chacune un ensemble de lignes de paramètres du type attribut =
valeur.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 POURQUOI AVOIR UN LDAP EN PLUS SI SAMBA PEUT LUI-MEME
GERER LES UTILISATEURS ET MACHINES ???

SAMBA à besoin d'utiliser les comptes locaux du serveur pour fonctionner, et

il ajoute des options a ceux-ci pour son usage (-m, -a, -P …). Cela implique de créer
un compte local puis un compte SAMBA a chaque fois
(et dans cet ordre précis, sinon problèmes!!!!).
En gérant cela avec LDAP on a l'avantage de ne faire le travail qu'une seule
fois dans LDAP et SAMBA se synchronise avec LDAP.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Installation – Page 7

Partie 2 – Installation des paquets:

On va commencer par installer openldap pour préparer la base
d'authentification des utilisateurs et faire en sorte que le système s'appuie
intégralement sur celui ci . Ensuite on configurera SAMBA pour le partage de
fichier.

 LDAP :
o Redhat :
#yum install openldap openldap-servers openldap-clients
o Debian:
#apt-get install slapd ldap-utils

 SAMBA:
o Redhat:
#yum install samba samba-common samba-doc smbldap-tools
o Debian:
#apt-get install samba smbclient libnss-ldap libpam-ldap auth-client-config

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Configuration – Page 4

Partie 3 – Configuration :
 Mise en œuvre de l’annuaire LDAP :
Après installation on va commencer par configurer openldap qui fournira le
système de base pour l’authentification des utilisateurs.
La configuration se fait dans le fichier /etc/openldap/slapd.conf (redhat)
afin que openldap puisse héberger une base de donnée de type samba, il nous
faut importer le schéma type d'une organisation samba dans
/etc/openldap/schema:
NB: le schéma samba.schema est obligatoire.

Par mesure de prudence on va garder une copie de notre fichier de

configuration:

On va maintenant éditer le fichier /etc/openldap/slapd.conf: puis on renseigne

les champs suivants:
NB: pour le moment on utilise aucune règle d'accès aux attributs de la base de
donnée, ni de certificat SSL ou auto-signé.
Ajout du shema dans le fichier slapd.conf:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 le mot de passe crypté de rootpw est obtenu comme suit:

NB: On peut configurer le fichier slapd.conf en utilisant la commande sed:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Configuration du fichier client /etc/openldap/ldap.conf:

Configuration du client (pour tester en meme temps les clients depuis notre
serveur):

Création de la base de l'annuaire:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Ajout des données:

Redémarrage du serveur ldap:

Etat actuel de la base de donnée ldap:

ldapsearch –x

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
  Mise en œuvre du serveur SAMBA :

Il nous faut maintenant configurer SAMBA pour qu'il intègre LDAP en même
temps. La configuration se fait dans le fichier /etc/samba/smb.conf. Mais
initialement ce fichier est très commenté, et puisqu'on couple avec LDAP l'outil
smbldap-tools propose un exemple de ce fichier bien structuré dans sa
documentation qu'on peut obtenir comme suit:

NB: il est recommandé de garder une copie de sauvegarde du fichier

/etc/samba/smb.conf original avant de le remplacer (Prudence!!!).

Maintenant éditons le fichier /etc/samba/smb.conf et renseignons le comme

suit:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 On va maintenant créer les répertoires nécessaires a l'exécution de samba (c'est
a dire pour les scripts de connexion, les profiles itinérants ainsi que les partages) et
leurs donner les droits nécessaires comme suit:

On peut vérifier la configuration du fichier /etc/samba/smb.conf avec la

commande testparm:

Elle doit retourner si tout s'est bien passé :

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Redémarrons maintenant notre serveur samba:

 Couplage SAMBA-LDAP :
Dans ce couplage, samba doit connaitre le mot de passe administrateur du
serveur LDAP pour avoir l'autorisation d'ajouter, de supprimer ou de modifier des
entrées pour les comptes 'utilisateurs, groupes ou de machines.

Pour se faire on a qu'à taper la commande suivante: (« passer » est le mot de

passe ici)

NB: le fichier « secret.tdb » ci dessus se trouve dans le répertoire

« /var/lib/samba/private »

Configuration des outils smbldap-tools:

Ces outils sont un ensemble de scripts permettant de créer les utilisateurs

POSIX, samba et LDAP d'une manière automatique via des commandes.

La configuration se fait entièrement dans deux fichiers a savoir

« smbldap.conf » et « smbldap_bind.conf » qui se trouve dans le répertoire
« /etc/smbldap-tools »

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Configurons d'abord le fichier smbldap.conf qui se fait comme suit:

NB: on voit bien que dans ce fichier le mot de passe apparait en clair, donc il est
important de restreindre ses droits d'accès comme suit:

Configuration du fichier smbldap.conf qui a plus de paramètres:

Déterminons d'abord le SID du Domaine via la commande net getlocalsid, et

celle ci doit retourner aucune erreur comme suit:

Passons maintenant à la configuration du fichier smbldap.conf comme suit:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Créons maintenant l'arbre de base au niveau de LDAP pour SAMBA avec la
commande smbldap-populate comme suit:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 NB: il ne faut surtout pas oublier l'inclusion du schéma de samba dans le fichier
de configuration de LDAP sinon cette commande ne marchera pas.

Par défaut l'administrateur est root mais il est possible de le changer

comme par exemple en Administrateur (admin par défaut sous windows) comme
suit :

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Démarrages des services SAMBA, WINBIND et LDAP:

 Configuration de LINUX pour l'authentification des

utilisateurs par LDAP:
Avant de passer a la gestion des utilisateurs configurons d'abord LINUX pour
l'authentification par LDAP.

Les utilisateurs doivent passer par LDAP pour s'authentifier, pour cela on va
renseigner les deux fichiers client ldap.conf qui sont l'un dans /etc/ldap.conf et
l'autre dans /etc/openldap/ldap.conf puis configurer le fichier de nss dans
/etc/nsswitch.conf:

Configuration du fichier /etc/ldap.conf comme suit:

NB: il est préférable de faire cette dernière a la fin ou bien de laisser toujours
une fenêtre connectées avec root activé pour régler d'éventuels problèmes de
connexion.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
  Gestion des utilisateurs:
Création d'un utilisateur:

L’option : -a : Désigne l'utilisateur windows.

-c : Désigne un commentaire.

-m : Permet de créer le répertoire de base de l'utilisateur.

-P : Associe en même temps la commande smbldap-passwd.

Dans notre cas on va utiliser un script qui va créer directement le répertoire de

base de l'utilisateur s'il n'existe pas, et copie en même temps l'exemple d'un profil
itinérant dans ce répertoire de base:

Droits du script:

Exécution du script depuis /etc/samba/smb.conf:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 NB: On aura plus besoin de l'option -m, pour créer les répertoire de base
des utilisateurs.

Test de l'utilisateur macky avec pdbedit:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Configuration – Page 24

Partie 4 : Intégration des machines au domaine:

 Intégration d'une machine windows xp:

Pour l'intégration des machines windows dans le domaine, procéder comme

suit:

- Étape 1:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Étapes 2:

 Étape 3:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Étape 4:

- Étape 5:
Connexion de l'utilisateur Macky:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Remarque: Montage du lecteur (Z:) pour Macky dans (Poste de travail)

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
  Intégration d'une machine windows 7:

Remarque: Pour intégrer les machines windows 7, il faut modifier la

base de registre du système. Pour cela SAMBA propose ce script
(Contrôle+Clic pour suivre le lien) téléchargeable.

 Étape 1:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Étape 2:

 Étape 3:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Étape 4:

 Étape 5:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
- Étape 6:
Connexion de l'utilisateur Macky :

- Étape 7:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
- Étape 8:

 Intégration d'une machine ubuntu 10.4:

Pour l'intégration des machines ubuntu dans le domaine et régler les
paramètres de montage de répertoire de base après authentification des
utilisateurs il faut au préalable installer les paquets nécessaires:

#apt-get install samba smbclient libnss-ldap libpam-ldap auth-client-config

libpam-mount winbind smbfs

NB: Winbind est un programme qui permet aux utilisateurs dans un réseau
hétérogène de se connecter en utilisant les postes de travail qui ont soit des
systèmes Unix ou Windows NT. Le programme rend les postes de travail utilisant
Unix fonctionnelle dans les domaines NT, en faisant apparaître NT pour ressembler
à Unix à chaque poste de travail Unix.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
  Étape 1: Configuration du fichier /etc/samba/smb.conf comme suit:

WORKGROUP : Cela correspond au nom de votre domaine.

netbios name = C'est le nom de notre machine sur le réseau NetBios.

( Ce nom doit être unique au risque de collision et impossibilité de vous connecter)

security = Ce paramètre indique que l'on veut que les options de sécurité soient au
domaine

wins server = Très important pour la résolution de nom NetBios, (généralement

c'est le serveur Samba qui est serveur Wins comme dans notre cas).

winbind separator = C'est pour séparer le nom du domaine de l'utilisateur lors de la

connexion

winbind uid = C'est pour indiquer la plage de numéro uid que les utilisateurs du
domaine utiliseront.

winbind gid = Idem mais pour les groupes. winbind use default domain

winbind use default domain = Configure Winbind en domaine par défaut.

template shell =Donne le shell par défaut des utilisateurs du domaine

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
template homedir = Indique l'emplacement des répertoires "home" des utilisateurs
du domaine..

 Étape 2: Renseigner le fichier /etc/nsswitch.conf

Ce fichier permet de configurer les bases de données systèmes et des
services de noms.

 Étape 3: Renseigner les modules pam:

L'outil pam-auth-update permet de manipuler les fichiers contenant les

modules pam automatiquement.

Cocher les cases sélectionnées par la touche espace et puis tabulation pour
valider les modifications qui seront appliquer dans les fichiers suivants:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Étape 4: Montage des ressources des utilisateurs:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Étape 5: Redémarrage des services suivants :

- Étape 6: Intégration du domaine

- Étape 7: Connexion des utilisateurs:

 en mode console:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Vérifier l'appartenance au domain

Afficher tous les comptes utilisateurs du domaine:

Afficher tous les groupes du domaine:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 - En mode graphique:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Après la connexion de l'utilisateur ,un lecteur réseau lui est monte

La machine ubuntu télécharge le profil de Macky qui était au niveau

de la machine windows

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Intégration d'une machine fedora au domaine:
La configuration est la même que celui de la machine fedora:

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 CONCLUSION :
Nous espérons que ce document vous a éclairé sur les différentes étapes à
suivre pour installer et configurer Samba + LDAP. Les méthodes abordées doivent
permettre d'avoir un bon aperçu de ce qu'il est possible de réaliser en alliant
différentes technologies. Le domaine obtenu permet une bonne montée en charge
et l’architecture peut offrir une alternative fiable et stable à un domaine purement
Microsoft.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356