Nis SambaAuthentification

De EPNadmin
Révision datée du 16 mars 2012 à 20:50 par Ldayot (discussion | contributions) (Page créée avec « = NIS-SAMBA pour l’authentification = == Exemple de configuration de Samba == Un exemple de fichier smb.conf qui fonctionne sans authentification ldap, en parallèle d... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à : navigation, rechercher

NIS-SAMBA pour l’authentification

Exemple de configuration de Samba

Un exemple de fichier smb.conf qui fonctionne sans authentification ldap, en parallèle de NIS. Il manque des explications bien sûr. Elles viendront bien un jour, et plus facilement sur demande.

#======================= Global Settings =======================
[[global]]

## Browsing/Identification ###

 netbios name = <NOM_SERVER>
 workgroup = <NOM_GROUPE>
 server string = Server Samba %v

 #### Debugging/Accounting ####

 log file = /var/log/samba/log.%m
 debug level = 1
 max log size = 1000
 syslog = 0

 #name resolve order = wins bcast host
 socket options = TCP''NODELAY SO''SNDBUF=8192 SO_RCVBUF=8192

 domain master = yes
 prefered master = yes
 local master = yes
 os level = 33

 dns proxy = no
 time server= yes
 #wins support = yes

 panic action = /usr/share/samba/panic-action %d

 domain logons = yes
 logon script = logon.bat
 logon path = \\\\soleil\\profiles
 logon home = \\\\soleil\\%H\\profiles

 unix charset = ISO8859-15

 hosts allow = 192.168.0.0/255.255.255.0
 security = user
 map to guest = never
 guest account = invite

 encrypt passwords = true
 password level = 20
 null passwords = yes
 update encrypted = Yes

 obey pam restrictions = yes

 unix password sync = no

 passwd program = /usr/bin/passwd %u
 passwd chat = '''Enter\\snew\\sUNIX\\spassword:''' %n\\n '''Retype\\snew\\sUNIX\\spassword:''' %n\\n .


########## Printing ##########

 printing = cups
 lpq command = /usr/bin/lpstat -o %p
 lprm command = cancel %p-%j
 lprm command = /usr/bin/cancel %p-%j
 print command = /usr/bin/lpr -P %p -o raw %s ; rm -f %s
 printcap name = /etc/printcap.cups
 queueresume command = /usr/bin/enable %p
 queuepause command = /usr/bin/disable %p
 load printers = yes


#======================= Share Definitions =======================
[[homes]]
 comment = Home Directories
 browseable = no
 create mask = 2770
 directory mask = 2770
 only user = yes
 read only = no

[[netlogon]]
 comment = Network Logon Service
 path = /home/samba/netlogon
 guest ok = yes
 writable = no
 share modes = no

[[profiles]]
 comment = Dossier des profils
 path = %H/profil
 #path = /home/samba/profiles/profil.%U
 readonly = No
 create mask = 0600
 directory mask = 0700

[[printers]]
 comment = Toutes imprimantes
 browseable = no
 path = /tmp
 printable = yes
 public = no
 writable = no
 create mode = 0700

[[public]]
 comment = Dossier public
 path = /home/public
 readonly = no
 browsable = Yes
 guest ok = yes
 create mode = 777
 create mask = 0660
 directory mask = 2770
 writeable = yes

[[partage]]
 comment = Dossier partagé
 path = /home/partage
 readonly = no
 browsable = yes
 guest ok = no
 create mask = 2770
 directory mask = 2770
 write list = @admin, @arobase
 admin users = @admin, @arobase
 writeable = yes

[[une_imprimante]]
 comment = Imprimante Laser recto-verso
 path = /tmp
 guest ok = Yes
 printer = une_imprimante
 printable = Yes
 create mask = 0700
 writeable = Yes
 printer driver = HP [[Laser Jet]] 2300dn
 printer driver location = \\\\partage\\windows\\pilotes\\HPLaserjet2300

ajout pour les groupes

Pour utiliser la création de partages pour les groupes, il faut ajouter la commande suivante :

include = /etc/samba/smb.epnadmin.conf

Puis créer le fichier en root :

touch /etc/samba/smb.epnadmin.conf
chown .www-data /etc/samba/smb.epnadmin.conf
chmod g+rw /etc/samba/smb.epnadmin.conf

Configuration des droits apache pour les comptes utilisateurs NIS

Configuration du serveur pour permettre de créer des comptes utilisateurs. Cette fonction utilise pour le moment sudo.

Configuration d\'un fichier sudoers

Le fichier sudoers permet d\'autoriser tel ou tel utilisateur à exécuter des programmes qui sont normalement réservés à l\'utilisateur root de la machine. Il faut que le serveur dispose de sudo.

Voici un exemple de fichier

sudoers

à placer dans le dossier

/etc

. Il faudra remplacer

apache

par le nom d\'utilisateur du serveur apache. Il peut s\'agir parfois de

www-data

ou

wwwuser

.

# sudoers file.
#
# This file MUST be edited with the \'visudo\' command as root.
#
# See the man page for details on how to write a sudoers file.
#

## SUDO EPNADMIN ##

# Host alias specification
Host_Alias  HOSTS = localhost, serveur.domaine.pays

# User alias specification
User_Alias  USERS = apache

Runas_Alias RUNAS = root

# Cmnd alias specification
Cmnd_Alias  CMNDPHP = /bin/ls, /usr/bin/make
Cmnd_Alias  CMNDUSERS = /usr/sbin/useradd, /usr/bin/smbpasswd,
/usr/sbin/chpasswd, /usr/sbin/userdel

# User privilege specification
USERS HOSTS = (RUNAS)NOPASSWD: CMNDPHP, CMNDUSERS

Les commandes CMNDPHP permettent de lancer un

make

dans le dossier qui contient les utilisateurs et les groupes du service d\'authentification de NIS (en général, c\'est le serveur ypserv). Ceci est utile si vous choisissez une authentification NIS.

Les commandes CMNDUSERS permettent de créer des comptes d\'utilisateurs GNU/Linux et SAMBA sur le serveur. Cela permet de créer les comptes et les espaces disque (/home) de chaque compte. Le cas échéant, il faudra installer le serveur SAMBA.