TP Samba / Jean Gourdin

TP SAMBA

TP1 mise en oeuvre de la station cliente

Préalable
- Pour ce TP, on dispose dans la salle de formation du serveur Samba p00 de nom Netbios "Serveur Samba" et de numéro IP 10.177.200.100
- Les comptes utilisateurs (stagex/stgx) sont supposés créés et cryptés sous Linux et sous Samba.
- Le fichier smb.conf d'origine su serveur Samba a été très peu modifié, dans sa section globale :
```
[global]
   workgroup = fctice77 
   encrypt passwords = yes
   smb passwd file = /etc/smbpasswd
```
Configuration de la station
Reconfigurer complètement les propriétés réseau de la station Windows 98 pour permettre la connexion au serveur Samba.
- Enlever les protocoles ici superflus (netbeui, ipx/spx), ajouter tcp/ip et netbios s'ils sont absents.
- Ajouter, s'il est absent, le client pour réseau Microsoft et enlever éventuellement les autres services actifs (comme client pour réseau Netware, service NDS)
- activer Partage des fichiers
- Paramétrage réseau
  - identification : PCx
  - groupe de travail : fctice77, il doit être le même que celui indiqué dans smb.conf du serveur p00
- Contrôle d'accès au niveau ressources
- Paramétrage protocole TCP/IP
  - adresse IP 10.177.200.(100+x) où x est le numéro de la station.
  - Netbios activé
  - Eventuellement : Passerelle vers Internet et DNS
  - Et, inévitablement .. relancer Windows
Tests
- Se connecter sous l'identité stagex/stgx
- Les 2 machines p00 et pcx doivent apparaitre dans le groupe de travail fctice77 du voisinage réseau.
- Un double clic sur p00 doit faire apparaitre le partage nommé stagex, qui n'est autre que le répertoire personnel de l'actuel utilisateur situé à /home/stagex sur le serveur.
- Une éventuelle icone d'imprimante apparait également, si une imprimante a été installée localement sur le serveur Linux
- A l'aide de l'Explorateur, copier quelques fichiers dans le répertoire personnel. Tester les droits d'accès en lecture et en écriture. Un autre utilisateur stagey peut-il en supprimer ? et même y accéder ?
- Créer un lecteur réseau P: dans le poste de travail pour accéder directement au rép. personnel (le chemin doit être indiqué suivant la syntaxe Windows : \\p00\homes
Impression avec Samba
- Installer sur chaque station l'imprimante lp supposée déjà installée sur le serveur p00 au fichier de périphérique /dev/lp0
- Suivi des jobs d'impression
  Simultanément, sur un terminal du serveur, la commande lpq renseigne sur ce job d'impression.
  Si le serveur est sous X, lancer l'utilitaire KLpq d'information et de gestion de la file d'impression par la commande :
  K / Utilitaires / File d'impression
- Exemple
  [jean@p00 /] lpq
  lp is ready and printing
  Rank Owner Job Files&bsp; Total Size
  active jean 13 /var/spool/samba/pc2.a01799 113879 bytes

TP2 mise en oeuvre du serveur

Chaque groupe doit disposer au moins de 2 machines.

un serveur Linux opérationnel p0x sur lequel il s'agira de configurer l'accès au service Samba, donc le fichier /etc/smb.conf

la station Windows9x pcy précédemment configurée

Celles-ci seront déclarées dans un (sous-)groupe de travail fctice77x

Modifier /etc/smb.conf, comme cela a été expliqué au TP1 (1)
Redémarrer le service Samba : /etc/rc.d/init.d/smb stop | start
Définir un nouvel utilisateur stagex/stgx
- useradd stagex
- passwd stagex (mot de passe = stgx)
- smbpasswd -a stagex, pour crypter le mot de passe Samba dans /etc/smbpasswd
Tester complètement sous le compte stagex/stgx, comme précédemment (TP1 (3))
Suivi des connexions Samba sur le serveur
- En mode texte, suivre les connexions des utilisateurs au serveur Samba, dans les journaux personnels des stations, situés à /var/log/samba/log.<nom station cliente>
- Sur le serveur, la commande smbstatus permet d'ouvrir une fenêtre d'informations sur l'activité du serveur Samba
  Observer au fur et à mesure du travail, le suivi des connexions des clients Windows, avec les indications du nom de l'utilisateur, de la machine cliente et de son numéro IP, la date et l'heure.
  Pour imprimer : smbstatus | lpr
- Sous X-KDE, une interface graphique existe pour smbstatus sous le nom on accède par la commande : K/Configuration/Informations/Etat de Samba

TP3 partager des périphériques

Objectifs
Il s'agit de paramétrer les partages de système de fichiers périphériques sur le serveur
Vérifier la visibilité et l'accessibilité aux partages pour les utilisateurs autorisés, le respect des restrictions en écriture ...
Pour l'écriture des sections correspondantes dans /etc/smb.conf, se reporter au cours.

Partager le lecteur de cdrom
- Paramétrer ce partage sur le serveur (Réponse)
- Accéder à la ressource cdrom partagée. Que faut-il préalablement effectuer sur le serveur ?
- Installer les applications Netscape 4.7 et Eudora sur la station, à partir du CDROM.
- Se connecter par http au serveur local Apache de pcx, puis à Internet. Bien distinguer les services samba et http du serveur Linux
Partager éventuellement le lecteur de disquette
Partager un (éventuel) lecteur zip
Supposons que le serveur Linux possède un lecteur ZIP dont le pilote est installé et dont le point de montage est prévu en /mnt/zip.
Ecrire la section [zip] définissant le partage de cette ressource en lecture pour tous, et en écriture seulement pour root (Réponse).

TP4 partager un répertoire public

Mise en oeuvre du partage [public], permettant l'accès complet en lecture/écriture de tous les utilisateurs au répertoire /home/tmp.
On pourra juger plus raisonnable de positionner le "sticky bit", comme cela est fait sur /tmp (à vérifier !)

Créer le répertoire /home/tmp et lui accorde les permissions correctes.
Puis paramétrer la section du partage [public]
Tester

TP5 partager un répertoire réservé à un groupe

Il s'agit de mettre en oeuvre le partage [stagiaire] étudié dans le cours. Voici un plan de travail :

Créer le groupe stagiaire contenant tous les comptes stagex/stgx
Créer le répertoire /home/rep-stagiaire
Accorder les droits de propriété de groupe de ce répertoire au groupe stagiaire
Y positionner les permissions 1770 (pourquoi ?)
Créer la section du partage [stagiaire]
Tester complètement sur la station. Conclusion : ce partage est-il satisfaisant ?

Généralisation

Tous les répertoires /home/profdexxx (xxx=code discipline), /home/classexxx (xxx=code classe) doivent être partagés en accès complet pour les membres respectifs des groupes profdexxx et classexxx, par exemple profde math1,..., profdetechno1 ..., eleSECA1,... elePRE1, ... , eleTERM1, ....
Mais ces partages doivent être inaccessibles aux autres groupes. De plus, seul le créateur d'un fichier doit avoir le droit de le supprimer ou le modifier.
Faire un plan de travail, le réaliser, et tester.
** On permet aux profs de créer des sous-répertoires dans /home/prof.
Soit rep-prof1, un répertoire créé par prof1. Comment faire en sorte que les permissions de ce rép. /home/prof/rep-prof1 et des fichiers qu'il contiendra, soient identiques aux autres fichiers de /home/prof ?

TP6 partage d'administration du serveur WEB

Créer, par exemple à l'aide de webmin, un utilisateur webadmin (mot de passe=apache).
Paramétrer le nouveau partage [web], du site WEB local c'est-à-dire le répertoire /home/httpd
L'accès complet en écriture, donc la gestion du site WEB par connexion Samba, doit être réservée à webadmin. Toutefois, on peut admettre que le groupe webadmin (contenant éventuellement d'autres utilisateurs, par exemple jean) ait un accès en lecture et personne d'autre !
Quelles sont les commandes que root doit passer pour cela ?
Sur une station Windows, webadmin crée une page d'accueil accueil.html pour le site de l'établissement, et la place dans le partage web. Vérifier son bon positionnement sur le serveur.
webadmin capture un site sur Internet et le place dans un sous répertoire de /
jean vérifie son accès en lecture aux pages WEB par protocole Samba, mais son impossibilité à y écrire, bien qu'il fasse partie du groupe webadmin !
En revanche, tous les utilisateurs vérifient leur accès en lecture au site WEB par protocole http, en adressant la requête : http://p0x

(Pour voir les réponses)

TP7 Linux client de Windows

Monter des partages Windows en lecture seule et en accès complet. Tester à l'aide de mc.

Réponses aux questions

TP3 Déclarer la ressource cdrom dans smb.conf Bien sûr la présence d'un Cd n'est pas suffisante, il doit être monté sur le serveur !

[cdrom]
# chemin d'accès au point de montage du CDROM
 path = /mnt/cdrom
# accessible à tous les utilisateurs
 public = yes
# l'écriture sera forcément interdite
 writeable = no

TP3 Déclarer la ressource zip dans smb.conf

[zip]
 comment = Partage du lecteur ZIP
 path = /mnt/zip
 public = yes
 write list = root

TP6 partage d'administration du serveur WEB

root crée cet user
useradd webadmin
passwd webadmin -->apache (ce qui n'est pas un bon choix !)
smbpasswd -a webadmin -->apache

puis root ajoute jean dans le groupe webadmin

root accorde à webadmin la propriété de groupe sur l'arborescence /home/httpd
(il pourrait se limiter à un sous-rep de /home/httpd/html pour un site précis)
chgrp -R webadmin /home/httpd

root donne le droit d'écriture w au groupe webadmin
sur /home/httpd/html et non sur /home/httpd 
(il ne faut pas créer d'autres objets à ce niveau)
chmod  755  /home/httpd
chmod -R 775  /home/httpd/html
chmod -R 775  /home/httpd/cgi-bin

root ajoute dans smb.conf la section :
[web]
 comment = Gestion du site WEB
 path = /home/httpd
 valid users = @webadmin
 writable = no
 write list =  webadmin

Bien vérifier alors :

webadmin peut écrire dans W:\html et W:\cgi-bin, mais pas directement dans W:
jean n'a pas de droit d'écriture sur ce partage, bien que du point de vue permissions Linux, il peut écrire dans /etc/httpd comme membre du groupe webadmin (le vérifier sur le serveur)