Exploration de SambaEdu

Présentation

• Site de SambaEdu à http://www.linux-france.org/prj/edu/sambaclg/
  
• Source téléchargeable à : ftp://ftp.linux-france.org/pub/prj/edu/sambaclg
  
• Liste de diffusion : envoyer le message subscribe à majodormo@etab.ac-caen.fr
  
• Auteur : Olivier Lecluse olivier.lecluse@linux-france.org

L'objectif est de fournir une configuration "clé en mains" pour un petit réseau d'établissement.
Le kit standard contient un ensemble de fichiers scripts permettant notamment :

• d'automatiser la gestion des comptes
• de sécuriser le partage des répertoires
• d'installer les applications sur le serveur.
• de permettre la gestion aisée d'un intranet : outil de capture de sites, autorisation de sortie "Internet" en fonction des utilisateurs.

Compléments

• Installation du "Power-kit"

  Un complément de fonctionnalités (le "Power-kit") permet de bénéficier de services supplémentaires :
  • une messagerie interne
  • un serveur de noms (DNS) pour le réseau local
  • un serveur d'adresses dynamiques ip (DHCP)

• Créer les comptes à partir de GEP

  Voir la doc correspondante

Installation

1. Préparation
   • ouvrir une session root
   • mount /dev/fd0  pour monter une disquette contenant le paquetage latest.tar.gz
   • cp /mnt/floppy/latest.tar.gz /root/tmp   on peut utiliser mc
   • cd /root/tmp
   • tar -xzvf latest.tar.gz  décompresse (z), extrait (x), le fichier (f) indiqué.

2. Résultats de cette 1ère étape
   • création de 3 répertoires dans root+/tmp :
     v2.03/ , pkit1.02/ (droits 750)
     gep2smb/ (755)
   • le répertoire v2.01 contient le script principal d'installation qui va décompresser l'archive sambaedu_2.03.tar.gz

3. Création des comptes initiaux et des partages
   • cd /tmp/v2.03
   • ./install.sh  lance l'exécution du script d'installation
   • arrêt des serveurs Samba et Apache
   • demande du mot de passe de admin --> admin
   • mot de passe de eleve --> eleve
   • mot de passe de prof --> prof
   • adresse ip du serveur --> 10.194.2.100+x
   • nom du domaine --> (WCFIPENx) il s'agit du nom workgroup

4. Résultats obtenus
   Le processus d'installation peut être suivi et compris en lisant le script install.sh
   On y voit notamment :
   • la copie de sambaedu_2.03.tar.gz directement dans la racine /, puis sa décompression
     
   • la création de 3 groupes : samba (GID=5000), eleves(5001), profs(5002)
   • la création de 3 comptes : admin (UID=5000), eleve(5001), prof(5002) de groupe primaire samba.
     Les rép. personnels sont tous installés dans /serveur/home/
     

5. Examens des rép. et fichiers modifiés
   
   • L'examen de linuxconf ou directement des fichiers /etc/passwd et /etc/group montrent les appartenances de groupe.
     Le groupe samba est défini comme le groupe primaire de tous.
     • samba = {admin, prof, eleve}
     • eleves = {eleve}
     • profs = {prof, admin }
   • Dans le rép. du serveur Apache on observe :
     
     • Le répertoire /home/httpd/bin est créé et contient des exécutables : crypt, exe ..
       
     • Le répertoire /home/httpd/html/admincgi est créé et contient des fichiers html.
       Ceux-ci seront utilisés par admin, pour gérer le réseau à distance, sur une station Windows, en dialoguant avec le serveur WEB Apache.
       
     • Le répertoire /home/httpd/cgi-bin contient les scripts d'administration, appelés et exécutés par les formulaires de l'interface d'administration.

6. Examen de la configuration Samba mise en place
   La consultation directe de /etc/smb.conf ou par linuxconf montre :
   • le nom du workgroup est bien WCFIPENx
   • le serveur a été doté d'un nom netbios, SERVEUR, distinct de son nom Linux, sous lequel il sera reconnu des stations.
   • la section définissant le rep. perso. prédéfini [homes] a été supprimée.
     A la place les répertoires personnels sont définis par la section :

      [home]	
      	comment = Repertoire prive de %U sur %h
     	path = /serveur/home/%U	
     	write list = admin,%U
     

     %U est le nom de login de l'utilisateur, %h est le nom du serveur Linux (=HOSTNAME)
   • Les mots de passe SMB sont cryptés, et synchronisés avec les mots de passe Linux.

7. Complément : installer le "power-kit"
   Il faut éventuellement installer les serveurs suivants : Web Apache, le serveur de noms Bind, le serveur de messagerie Sendmail et POP3, et le DHCP.
   Pour savoir quels paquetages sont déjà installés, lancer l'utilitaire kpackage sous X, puis fichier/Chercher un package Pour installer un nouveau paquetage, voir la commande rpm

   Pour installer, commande ./installpk.sh dans le répertoire pkit1.02

Installation des stations Windows9x

• onglet Configuration :les composants réseaux à installer sont
  • l'adaptateur réseau qui doit être lié au protocole TCP/IP
  • le client pour les réseaux Microsoft
  • le protocole TCP/IP
• onglet Identification : le groupe de travail doit être le nom de domaine Workgroup déclaré à l'installation.
• onglet Contrôle d'accès : au niveau ressources
• Propriétés du client Microsoft
  • Cocher ouvrir la session sur un domaine Windows NT
  • Comme Domaine Windows NT, écrire le nom de domaine Workgroup
• Propriétés TCP/IP
  • Indiquer l'adresse IP de la station et le masque de sous-réseau
  • NetBios doit être activé avec TCP/IP
  • Passerelle : indiquer l'adresse IP du routeur (pour connexion Internet)
  • Configuration DNS : indiquer le domaine et l'adresse IP de la machine DNS (serveur de noms) du fournisseur d'accès Internet (par exemple ac-creteil.fr et 195.98.246.50
• Le cryptage des mots de passe est activé. Il faut utiliser l'utilitaire crypt.reg sur les clients 95

Tester !

1. Utilisateurs

   Se loguer tour à tour comme eleve, prof
   Vérifier pour chacun, l'accessibilité et les droits sur les partages :
   • [home] accès au rép. perso, unité réseau K:
   • [public] P:
   • [profs] J:
   • [install] contient les fichiers de config .reg des stations, I:
   • [logiciel] logiciels accessibles à tous, L:
   Constater la cohérence avec les déclarations du fichier smb.conf
   et l'impossibilité d'effectuer une tâche d'administration à distance, comme sur la console du serveur !

2. Administrateur

   • Tester les outils d'administration en se connectant au serveur WEB comme admin à http://adr-ip/admincgi/index.html, en fait requête au fichier situé sur le serveur à /home/httpd/html/admincgi/index.html

   • La page Configuration générale propose l'accès au service SWAT, au port 901
     S'il s'agit de configurer Samba, donc d'agir sur /etc/smb.conf, il faut entrer dans swat comme root.

   • Créer de nouveaux utilisateurs :
     • Passer à la page Gestion des utilisateurs (users.html)
       
     • puis à /cgi-bin/createusrhtml.cgi Création d'un utilisateur
       
     • Le formulaire demande le nom de login, le mot de passe, son groupe primaire et un utilisateur modèle qui définit le profil.
     • La validation du formulaire provoque l'exécution du script /cgi-bin/createusr.cgi
     • par ex. toto, avec mot de passe zig dans le groupe des élèves, avec comme utilisateur modèle eleves
dupont, avec mot de passe dup dans le groupe des profs, avec comme utilisateur modèle profs
       Vérifier la répercussion sur le serveur :
       • contenu du répertoire personnel /serveur/home/toto
       • appartenance de toto au groupe eleves

   • Tester l'utilitaire de capture de sites (utilisant la commande linux wget )
     • Attention, la commande wget n'est pas installée par défaut.
       Monter le cd-rom et se placer dans /mnt/cdrom/Mandrake/RPMS (pour une telle distribution)
       Passer la commande rpm -Uvh wget-1.5.3....rpm (ou installer en mode graphique)
     • Sur une station Windows cliente, la capture doit être effectuée sous le compte admin,
       Par l'interface WEB, émettre la requête http://10.194.2.10x/admincgi/capture.html
       
     • Exemple
       Soit à capturer, par exemple, une partie du site de la CNIL à http://www.cnil.fr
       Commande Capturer un nouveau site, préciser l'URL du site à capturer et le sous-rép. de /serveur/admin/web/cnil (ie K:\web).
     • la capture peut s'interrompre à tout moment, et est consultable hors connexion dans K:\web\cnil, qui en fait est un lien qui pointe vers /home/httpd/html/cnil/.
       C'est ce qui permet à tous de le consulter.

     • Exercice
       Capturer le site de SambaEdu à l'URL http://www.linux-france.org/prj/edu/sambaclg/