![\"Samba-Logo\"](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/05\/Samba-Logo.png\"){kind=logo}
<\/p>\nVous en avez toujours r\u00eav\u00e9 ! Aujourd\u2019hui, c\u2019est possible avec la solution alternative libre \u00ab SaMBa \u00bb.<\/p>\n
<\/p>\n
Disponible sur de nombreuses architectures Linux, SaMBa est le service indispensable de partage de fichiers et d’imprimantes entre plateformes Windows et Unix. Depuis sa version 4, SaMBa est \u00e9galement contr\u00f4leur de domaine Active Directory et supporte les protocoles d’authentification utilis\u00e9s par Windows 2000 et plus.<\/p>\n
<\/p>\n
La formation propos\u00e9e abordera \u00e0 travers des sessions interactives et des exercices d’application pratique les th\u00e8mes suivants :<\/p>\n
JOUR1<\/strong><\/p>\n JOUR2<\/strong><\/p>\n R\u00e9f\u00e9rences<\/a><\/p>\n<\/li>\n<\/ol>\n Installation de VirtualBox 6.0.12<\/p>\n \n Remarque<\/em> : Privil\u00e9gier le compte asr<\/strong> afin d’ex\u00e9cuter vos commandes avec sudo<\/strong> , pour faciliter le d\u00e9roulement du TP, activer l’astuce suivante afin de lancer des commandes sudo<\/strong> sans demande de mot de passe :\n<\/p><\/blockquote>\n Toutes les VM et les outils sont disponibles \u00e0 cette adresse : https:\/\/mycore.core-cloud.net\/index.php\/s\/2gLOipJIY02iJIp<\/a><\/p>\n Paquets n\u00e9cessaire \u00e0 l’ensemble des TP Linux<\/p>\n Tuning de votre environnement bash en \u00e9ditant le fichier \u00ab \/root\/.bashrc<\/em> \u00bb ou \u00ab \/home\/users\/.bashrc<\/em> \u00bb<\/p>\n Afficher l’adresses IP directement au prompt login de la machine en reg\u00e9n\u00e9rant automatiquement le fichier \u00ab \/etc\/issue<\/em> \u00bb<\/p>\n Red\u00e9marrer le service et rebooter la machine afin de voir le r\u00e9sultat :<\/p>\n Apr\u00e8s clone d’une VM il convient de faire une reset de la @MAC et de changer son hostname :<\/p>\n pour v\u00e9rifier<\/p>\n \n Attention, les d\u00e9p\u00f4ts \u00e9voluent avec les ann\u00e9es\n<\/p><\/blockquote>\n SaMBa est un logiciel interope\u0301rable1<\/a><\/sup> qui int\u00e8gre une dizaine de services et une douzaine de protocoles proprie\u0301taire dont le c\u00e9l\u00e8bre CIFS (syst\u00e8me de fichier au travers de SMB) de Microsoft. SaMBa op\u00e8re sur des ordinateurs tournant sous des syste\u0300mes d’exploitation diff\u00e9rents comme Mac OS, Unix et ses de\u0301rive\u0301s de manie\u0300re a\u0300 partager des imprimantes et des fichiers au travers d’un re\u0301seau informatique.<\/p>\n SaMBa facilite les \u00e9changes entre syste\u0300mes d’exploitation he\u0301te\u0301roge\u0300nes Apple, Windows et Unix en offrant un service pour acce\u0301der aux ressources des serveurs Unix. Il peut \u00e9galement se substituer a\u0300 des serveurs Windows dans le r\u00f4le de contr\u00f4leur de domaine. SaMBa est issue d’une r\u00e9\u00e9criture par inge\u0301nierie inverse des protocoles SMB\/CIFS sous GNU\/Linux et cons\u0153urs.<\/p>\n SaMBa a e\u0301te\u0301 initialement de\u0301veloppe\u0301e par l’Australien Andrew Tridgell et distribue\u0301e sous licence libre GNU\/GPL. Son nom provient du nom du protocole standard de Microsoft, SMB (Server Message Block), auquel a e\u0301te\u0301 ajoute\u0301e deux fois la voyelle \u00ab A \u00bb pour donner \u00ab SaMBa \u00bb.<\/p>\n A\u0300 partir de la version 3, SaMBa fournit les services partages r\u00e9seaux pour les r\u00e9pertoires (y compris tous les sous-r\u00e9pertoires) et d’impression pour divers clients. Il s’int\u00e8gre a\u0300 un domaine NT, soit en tant que contro\u0302leur de domaine principal (PDC) ou en tant que membre d’un domaine. Il fonctionne sur la plupart des syste\u0300mes Unix, comme GNU\/Linux, Solaris, AIX et les variantes BSD, y compris Apple, Mac OS X Server (qui a e\u0301te\u0301 ajoute\u0301e au client Mac OS X en version 10.2).<\/p>\n Le projet SaMBa4 a de\u0301marre\u0301 en 2003 ; apporte la fonctionnalite\u0301 supple\u0301mentaire d’un contro\u0302leur de domaine Active Directory (Active Directory Domain Controller – AD DC) \u00e0 travers une version modifi\u00e9e de Kerberos et de LDAP. SaMBa4 prend en charge d’une manie\u0300re transparente les domaines Active Directory en imple\u0301mentant en natif les protocoles proprie\u0301taires tels que NTLM, DNS, LDAP, Kerberos et RPC.<\/p>\n Le 20 d\u00e9cembre 2007, dans le cadre d’un jugement antitrust, Microsoft l’e\u0301diteur de Windows signe un accord d’information technique2<\/a><\/sup> avec pour obligation de publier la documentation des protocoles cle\u0301s de l’OS Windows. La SaMBa Team profite de cette opportunite\u0301 pour analyser les spe\u0301cifications techniques d’AD et offrir SaMBa4 AD \u00e0 la communaut\u00e9.<\/p>\n Au sein d’une structure (entreprise, universit\u00e9, …) , les services et les serveurs ont besoin des donn\u00e9es pour l’authentification, des droits d’acc\u00e8s. Ces informations sont difficiles \u00e0 ma\u00eetriser car tr\u00e8s volatiles et \u00e9parses.<\/p>\n Les annuaires LDAP offrent une r\u00e9ponse \u00e0 ce probl\u00e8me en proposant de centraliser les informations et, par le biais d’un protocole standardis\u00e9, d’y connecter des applications clientes.<\/p>\n Au commencement, l’Union Internationale des T\u00e9l\u00e9communications (UIT) cr\u00e9a les annuaires X.500<\/strong>. Ce concept novateur uniformise l’acc\u00e8s aux services, centralise les ressources et les prot\u00e8ge. Le protocole utilis\u00e9 pour y acc\u00e9der \u00e9tait le protocole DAP (Directory Access Protocol). Or il est complexe \u00e0 mettre en \u0153uvre. L’Universit\u00e9 du Michigan r\u00e9fl\u00e9chit alors \u00e0 un moyen de pallier \u00e0 ces probl\u00e8mes, tout en reprenant les concepts. LDAP est n\u00e9. Il devient un protocole natif et utilisable ind\u00e9pendamment de X.500. D\u00e9but 1996 Netscape prend la t\u00eate d’une coalition pour promouvoir l’usage de LDAP.<\/p>\n > Remarque<\/em> : Le protocole LDAP est un protocole de la couche Application (7) du mod\u00e8le OSI. Il est con\u00e7u pour fonctionner au-dessus de TCP, lui m\u00eame au-dessus d’IP. Par cons\u00e9quent, les communications avec un annuaire LDAP sont en mode connect\u00e9, et les paquets \u00e9chang\u00e9s ont une garantie d’int\u00e9grit\u00e9.<\/p>\n LDAP est ainsi une version all\u00e9g\u00e9e du protocole DAP, d’o\u00f9 son nom de Lightweight Directory Access Protocol. Sa version actuelle est la version 3 et propose les \u00e9volutions suivantes :<\/p>\n Devenue pierre angulaire du SI (syst\u00e8me d\u2019information), l\u2019annuaire d\u2019entreprise se complexifie proposant de plus en plus de donn\u00e9es et g\u00e9rant de plus en plus de services d\u2019infrastructure.<\/p>\n Un annuaire d’entreprise, c’est comme l’annuaire t\u00e9l\u00e9phonique mais pouvant g\u00e8rer plus de choses. Les caract\u00e9ristiques de l’annuaire t\u00e9l\u00e9phonique pour mieux comprendre le concept sont les suivantes :<\/p>\n Vous allez me dire qu’il est tout \u00e0 fait possible de stocker ces donn\u00e9es dans une base de donn\u00e9es !<\/strong><\/p>\n Un serveur LDAP agit en tant qu’interm\u00e9diaire entre une source de donn\u00e9es et un client. Le client ne verra, ni ne conna\u00eetra l’existence du stockage des donn\u00e9es. En effet elles peuvent \u00eatre dans un fichier plat ou dans une base de donn\u00e9es. De plus, d\u00e9coupler les messages du stockage permet d’avoir plusieurs serveurs et un m\u00eame syst\u00e8me de stockage.<\/p>\n LDAP est asynchrone, c’est-\u00e0-dire que si le client \u00e9met plusieurs requ\u00eates successivement, elles peuvent arriver dans un ordre diff\u00e9rent. Les mod\u00e8les LDAP repr\u00e9sentent les services que propose le serveur au client. Bien que la RFC 2251 s\u00e9pare l’annuaire LDAP en 2 composants : le mod\u00e8le de donn\u00e9es et le mod\u00e8le de protocole, d\u00e9finissons le en 4 comme Timothy A. Howes, Mark C. Smith, et Gordon S. Good dans leur livre Understanding and Deploying LDAP Directory Services :<\/p>\n Un annuaire est un arbre d’entr\u00e9es, il y a une repr\u00e9sentation hi\u00e9rarchique des donn\u00e9es et par cons\u00e9quence, toutes les informations d\u00e9coulent d’une seule et m\u00eame \u00ab\u00a0racine\u00a0\u00bb.<\/p>\n Dans l’arborescence LDAP suivante, notre entit\u00e9 formation<\/em><\/strong>, a 2 utilisateurs et 2 groupes.<\/p>\n Cette arborescence est li\u00e9e au nommage de chaque \u00e9l\u00e9ment. Un \u00e9l\u00e9ment marque son appartenance \u00e0 l’\u00e9l\u00e9ment sup\u00e9rieur en reprenant le nom, qu’il compl\u00e8te par le sien.<\/p>\n Par exemple, si on prend cn=info,ou=groups,dc=formation,dc=fr<\/strong>, on a info > groups > formation.fr.<\/p>\n La racine choisie ici est compos\u00e9e du nom du domaine o\u00f9 est h\u00e9berg\u00e9 notre serveur LDAP, formation.fr, d\u00e9compos\u00e9 en \u00ab dc<\/strong> \u00bb (Domain Components) pour obtenir \u00ab dc=formation,dc=fr \u00bb. L’arbre se d\u00e9coupe ensuite en deux \u00ab ou<\/strong> \u00bb (Organisational Units) qui constituent deux branches : \u00ab users<\/strong> \u00bb et \u00ab groups<\/strong> \u00bb, dans lesquels nous trouvons ensuite les entr\u00e9es feuilles de notre arbre, les utilisateurs et les groupes. Chacune des entr\u00e9es de notre arbre correspond \u00e0 un type de donn\u00e9e particulier, d\u00e9fini par une classe d’objet.<\/p>\n Chaque \u00e9l\u00e9ment est appel\u00e9 une entr\u00e9e<\/strong> (an entry). Une entr\u00e9e peut \u00eatre une branche<\/strong> (a node) ou un \u00e9l\u00e9ment terminal<\/strong> (a leaf). Chaque \u00e9l\u00e9ment poss\u00e8de un DN<\/strong> (Distinguished Name). Le DN<\/strong> est le nom complet de l’\u00e9l\u00e9ment qui permet de le positionner dans l’arborescence. Il est unique dans l’annuaire : cn=info,ou=groups,dc=formation,dc=fr.<\/p>\n Chaque \u00e9l\u00e9ment poss\u00e8de \u00e9galement un RDN<\/strong> (Relative Distinguished Name). Le RDN est la partie du DN de l’\u00e9l\u00e9ment qui est relative au DN sup\u00e9rieur. Le RDN<\/strong> d’un \u00e9l\u00e9ment ne permet pas de l’identifier de mani\u00e8re unique dans l’annuaire : cn=info.<\/p>\n La racine<\/strong> est l’\u00e9l\u00e9ment sup\u00e9rieur de tous les autres, c’est la base de l’arborescence : dc=formation,dc=fr.<\/p>\n Une entr\u00e9e est constitu\u00e9e d’un ensemble d’attributs. Un attribut poss\u00e8de un nom, un type et une ou plusieurs valeurs. Les attributs sont d\u00e9finis dans des sch\u00e9mas et est l’une des caract\u00e9ristiques de cet \u00e9l\u00e9ment. Dans notre exemple, l’arbre se d\u00e9coupe ensuite en deux \u00ab ou<\/strong> \u00bb (Organisational Units) qui constituent deux branchements : \u00ab users<\/strong> \u00bb et \u00ab groups<\/strong> \u00bb, dans lesquels nous trouvons ensuite les entr\u00e9es : les utilisateurs et les groupes.<\/p>\n \n Important<\/em><\/strong> : La RFC 2253 normalise l’\u00e9criture des DN et conseille de ne pas ajouter d’espaces autour du signe =<\/strong>, ni \u00e0 la fin du DN. Les espaces sont autoris\u00e9s par contre pour les valeurs des entr\u00e9es.\n<\/p><\/blockquote>\n La base<\/strong> :<\/p>\n La base est le DN \u00e0 partir duquel nous effectuons une recherche. Par exemple dc=formation,dc=fr<\/strong> effectuerait une recherche sur tout l’arbre, puisqu’il s’agit de la racine. Le scope est le nombre de niveaux sur lesquels l’action va \u00eatre effectu\u00e9e. Il existe 3 niveaux diff\u00e9rents :<\/p>\n La port\u00e9e<\/strong> :<\/p>\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\nJOUR3<\/strong><\/li>\nPr\u00e9-requis<\/h2>\n
\n
\n
\n
![\"2019-09-19](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/09\/2019-09-19-14.33.57.png\")
\n![\"2019-09-19](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/09\/2019-09-19-14.33.51.png\")
\n– Configurer les redirections suivantes afin de pouvoir vous connecter en ssh depuis l’h\u00f4te :<\/p>\n![\"2019-09-19](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/09\/2019-09-19-15.13.09.png\")
<\/p>\nmore \/Users\/colombet\/Library\/VirtualBox\/NatNetwork-Dhcpd.leases\n<?xml version=\"1.0\"?>\n<Leases version=\"1.0\">\n <Lease mac=\"08:00:27:7b:00:92\" network=\"0.0.0.0\" state=\"acked\">\n <Address value=\"10.0.2.6\"\/>\n <Time issued=\"1569485906\" expiration=\"1200\"\/>\n <\/Lease>\n<\/Leases>\n<\/code><\/pre>\n\n
\n
$ asr@dc1ad:~$ su -\ndc1ad:~# echo \"asr ALL=(ALL:ALL) NOPASSWD:ALL\" | sudo tee -a \/etc\/sudoers.d\/asr\ndc1ad:~# exit\n$ asr@dc1ad:~$ sudo ma_commande\n$ asr@dc1ad:~$ sudo -i\ndc1ad:~#\n<\/code><\/pre>\n# apt-get install vim lwatch sudo tree net-tools locate dnsutils\n<\/code><\/pre>\nPS1='${debian_chroot:+($debian_chroot)}\\[\\033[01;31m\\]\\u@\\h\\[\\033[00m\\]:\\[\\033[01;34m\\]\\w\\[\\033[00m\\]\\$ '\nexport LS_OPTIONS='--color=auto'\nalias ls='ls $LS_OPTIONS'\nalias ll='ls -lh --color=auto'\nalias lh='ls -lat | head'\nalias df='df -h'\nalias du='du -hs'\nalias cd..=\"cd ..\"\nalias c=\"clear\"\nalias sys=\"tail -n 20 -f \/var\/log\/syslog|\/usr\/bin\/lwatch -i-\"\nalias egrep=\"egrep -v '(^#|^$)'\"\nalias apt-all=\"apt-get update && apt-get upgrade && apt-get autoremove && apt-get autoclean && apt-get clean all\"\n\nexport LANGUAGE=en_US.UTF-8\nexport LANG=en_US.UTF-8\nexport LC_ALL=en_US.UTF-8\n<\/code><\/pre>\n# systemctl edit getty@\n[Service]\nExecStartPre=-\/bin\/bash -c '[ ! -f \/etc\/.issue.orig ] && cp \/etc\/issue \/etc\/.issue.orig; int=`ls \/sys\/class\/net|grep enp|head -1`; sed -r \"s\/\\\\\\\\\\\\n\/[\\\\\\\\\\\\4\\{$$int\\}]\/\" \/etc\/issue'\n<\/code><\/pre>\n# systemctl daemon-reload && systemctl restart getty@tty1\n<\/code><\/pre>\n# hostnamectl set-hostname 'mamachine'\n<\/code><\/pre>\n# hostnamectl\n<\/code><\/pre>\n# vi \/etc\/apt\/sources.list\n...\n# Debian Jessie, d\u00e9p\u00f4t principal\ndeb http:\/\/deb.debian.org\/debian\/ jessie main\n# Debian Jessie, mises \u00e0 jour de s\u00e9curit\u00e9\ndeb http:\/\/security.debian.org\/ jessie\/updates main\n...\n<\/code><\/pre>\nComprendre un syst\u00e8me de type Active Directory : et les diff\u00e9rents services associ\u00e9s (DNS, LDAP, Kerberos, NTP) <\/a><\/h2>\n
Historique de SaMBa <\/a><\/h3>\n
Concepts techniques de SaMBa et Active Directory <\/a><\/h3>\n
LDAP <\/a><\/h4>\n
\n
\n
\n
Principes et concepts<\/h5>\n
![\"serveur](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/05\/serveur-LDAP1.png\")
<\/p>\n
\n![\"protocole](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/05\/protocole-asynchrone.png\")
<\/p>\n\n
![\"arborescence10\"](\"https:\/\/homepages.lcc-toulouse.fr\/colombet\/wp-content\/uploads\/sites\/2\/2019\/05\/arborescence10.png\")
<\/p>\nMod\u00e8le fonctionnel<\/h5>\n
\n