apt-get install samba
Pour que samba joue le rôle de pdc il faut remplir les 5 conditions suivantes:
1 activer security=user
2 activer le support des mots de passe cryptés encrypt password = yes
3 avoir un partage netlogon
4 le pdc doit être l’explorateur maître de son domaine domain master = yes
5 le pdc doit être serveur de connexion de son domaine domain logons = yes
Voici le /etc/samba/smb.conf pour remplir les 5 conditions ci-dessus:
[global]
netbios name = samba-server
workgroup = samba
security = user
encrypt passwords = yes
enable privileges = yes
domain master = yes
domain logons = yes
add machine script = /usr/sbin/useradd -g machines -s /bin/false %u
logon script = %U.bat
[netlogon]
path = /home/netlogon
read only = yes
write list = +ntadmin
Ajout de l’utilisateur root:
samba:~# smbpasswd -a root
Il faut ensuite associer les groupes unix aux groupes windows pour permettre la gestion du domaine (ajout d’une machine, création d’un partage,…).
On commence par ajouter le groupe ntadmin qui sera associé au groupe Administrators
samba:~# addgroup ntadmin
Pour pouvoir associer le groupe ntadmin au Builtin group Administrators il faut récupérer le sid du domaine que l’on vient de créer:
samba:~# net getlocalsid samba
Association du groupe ntadmin au Builtin group Administrators, il faut toujours l’associer avec le RID 512:
samba:~# net groupmap add sid=S-1-5-21-1167086687-1543078166-3842405581-512 \ ntgroup="Administrators" unixgroup=ntadmin
Toutes les personnes qui se trouveront dans le groupe ntadmin seront considérées comme appartenant au groupe Administrators sur les clients Windows. Ces personnes auront les droits d’administration sur les machines Windows et bénéficieront de tous les droits disponibles sur le domaine.
On peut lister ces droits via la commande suivante:
samba:~# net -S localhost -U% rpc rights list accounts 'Builtin\Administrators'
Si l’on affiche les membres du groupe Administrators sur une machine Windows qui se trouve dans le domaine, on peut voir que le groupe SAMBA/Administrators se retrouve automatiquement dans le groupe Administrators!
On peut également créer un autre groupe dans lequel on ajoutera les personnes qui peuvent joindre de nouvelles machines au domaine.
addgroup serveuradmin
net groupmap add ntgroup="Server Admins" unixgroup=serveuradmin
Ajout des droits pour le groupe Server Admins:
net rpc rights grant 'SAMBA\Server Admins' SeMachineAccountPrivilege -U root
Les personnes du groupe Server Admins auront donc le droit de joindre de nouvelles machines au domaine, par contre elles n’auront aucun droit d’administration sur ces machines.
Pour leur donner ces droits, il faudra les rajouter manuellement dans le groupe Power Users localement sur chaque machine, il n’existe pas d’autres moyens.
Dernière étape avant de pouvoir ajouter une machine dans le domaine, il faut créer le groupe qui contiendra les machines du domaine(cfr: commande add machine dans smb.conf):
addgroup machines
Ajout des répertoires personnels connectés automatiquement au login de l’utilisateur.
Il faut ajouter les lignes suivantes dans /etc/samba/smb.conf:
[global]
logon drive = H:
[homes]
comment = Home directories
read only = no
create mask = 0700
directory mask = 0700
valid users = %S
Ajout des profiles itinérants.
Pour que les profils itinérants fonctionnent il faut effectuer la modification suivante sur les postes de travail Windows.
gpedit.msc -> Local Computer Policy -> Computer Configuration -> System -> User Profiles
Activer l’option Do not check ownership of roaming profile forlders.
Si vous conservez le smb.conf actuel, le profil itinérant des utilisateurs sera sauvegardé dans leurs répertoires personnels.
Il est préférable les mettre à un autre endroit pour éviter les mauvaises manipulations de la part des utilisateurs!
[global]
logon path = \\samba\profiles$\%U\%a
[profiles$]
comment = profile directory
path = /home/profiles
read only = no
inherit permissions = yes
Le %U correpond au nom de l’utilisateur, %a correspond à la version version de l’os(Xp, Vista,…)
Il faut également créer le dossier /home/profiles et celui de chaque utilisateur:
samba:~# mkdir /home/profiles
samba:~#mkdir /home/profiles/user1
samba:~#chmod 700 /home/profiles/user1
samba:~#chown user1. /home/profiles/user1
Ajout d’un lecteur réseau
smb.conf:
[test]
comment = répertoire de test
path = /home/test
read only = no
valid users = user1
/home/profile/user1.bat:
NET USE X: \\samba\test
samba:~# mkdir /home/test
samba:~# chown user1. /home/test/
Le lecteur réseau X: sera connecté automatiquement lors de l’ouverture de session de user1.