Rapport VIC samba

Richard Victorien BTS Informatique de Gestion option ARLE

1

1 / Introduction

Ce projet a été réalisé dans le cadre de mon stage de 2 ème année de BTS Informatique de Gestion option Administration des Réseaux Locaux d’entreprises entre le 3 décembre 2007 et le 25 janvier 2007 au sein de l’administration de la DDE de la Manche. Il porte à la fois sur l’administration d’un serveur Windows 2003, notamment avec l’organisation de l’Active Directory et l’application de stratégies de groupes (appelées aussi, GPO) mais également sur l’intégration d’une machine Linux à l’Active Directory En clair, j’ai souhaité actualiser la Solution adoptée par la DDE en proposant une migration de leur Contrôleur de domaine NT4 vers un 2003 serveur. Cette solution n’a pas été intégrée au réseau, je l’ai seulement testée en environnement local. Plusieurs étapes ont été nécessaires afin de mener à bien ce projet. J’ai d’abord dû étudier bien étudier le contexte de réalisation de ce projet, et me documenter sur plusieurs points, puis je suis ensuite passé à la réalisation pratique du projet.


2

2 / Présentation de l’entreprise.

2.1 / Organisation La DDE est un service déconcentré du Ministère de l'Ecologie, du Développement et de l'Aménagement Durable. Elle est placée sous l'autorité du préfet du département. A sa tête se trouve Le Directeur Départemental Jacques LE BERRE et l’adjoint au directeur départemental Directeur des subdivisions Marcel CARIOU. La DDE de la Manche est organisée en Subdivisions qui représentent la DDE aux élus et aux usagers, et depuis Janvier 2008 ces subdivisions sont passées de 7 à 3. (NORD – CENTRE – SUD) Implanté à Saint-Lô, le siège de la Direction Départementale de l’Equipement se décompose en 5 services, lesquels sont eux-mêmes divisés en cellules.

Les 5 services sont les suivants : SG (Secrétariat Général) dont fait partie la cellule informatique. SHV (service de l’habitat et de la ville). SAUE (service de l’aménagement, de l’urbanisme et de l’environnement) SISC (service ingénierie sécurité crise) SM (service maritime)


3

Les principales missions de la DDE : - Projet d'aménagement d'une commune et lotissement - Aide à la construction de logements sociaux - Construction publique - Entretien et surveillance de l'A84 - Port maritime de Cherbourg et de Granville - Etude des futures routes départementales - Préservation de l’eau et de l’environnement

Le Parc Informatique :

Postes de travail

Serveurs

Traceurs

Imprimantes

600

28

12

248

2.2 LA CELLULE INFORMATIQUE-SG/INF Elle se compose de 6 membres et suivant leurs niveaux de compétence, ces personnes ont différentes tâches à réaliser :

Participer à l'élaboration de la politique informatique

Assister à la mise en place de l'informatique

Assister à la mise en place des applications nationales :

préparer la mise en place,

installer les postes,

former et assister les utilisateurs

Gestion des matériels centralisés (Gesper Unix, SIC, CASSIOPEE 1.2.3., Serveur bureautique).

Gestion du matériel et du dispositif de télécommunication :

achat des matériels,

installation des applicatifs Telecom et suivi du dispositif,

Maintien du dispositif.

Gestion du développement d'applications locales :

développeur

Maintenance des matériels et gestion des stocks. ( via ISIPARC)

Formation et assistance des utilisateurs aux logiciels généraux.

Assurer les relations avec les partenaires extérieurs.

Créer et animer un réseau de compétences.

Veille technologique.


4

3 / l’Existant

3.1/ Contexte Nationale Des déploiements techniques à grande échelle sont en cours pour moderniser l’outil informatique. Un plan ministériel vise à introduire progressivement des logiciels libre dans les services de façon à réduire le coût des licences :

- serveurs sous Linux. - suite bureautique sous OpenOffice.org, - serveur de messagerie centralisé à Paris.

Les utilisateurs utilise le client « Thunderbird » qui se connecte au serveur et rapatrie leur messages en local. Une copie du message est gardée pendant 7jours sur le serveur, idéal lorsque les utilisateurs veulent récupérer leurs mails sur le Thunderbird d'un autre poste. 3.2 / Contexte Local A l’heure actuelle, la cellule informatique de la DDE de la Manche dispose en particulier d’un serveur NT contrôleur de domaine et d’un serveur de Fichiers sous Linux ( appelé par le Ministère : serveur « Equilinux » ).

SIEGE

SITES DEPORTES

Serveur principal de domaine NT ( PDC ) Serveur secondaire (BDC) Proxy (serveur mandataire ) Cassiopée ( Comptabilité centrale ) Gesper ( Gestion du personnel ) Serveur Web (intranet dde 50) SOMA ( serveur Multi-application ) - Savoir + - Gallion - Game - Winads

--------------------------

ISABEL ( documentation ) SHV (Anah) Serveur de gestion de temps (Temptation) Serveur Equilinux de sauvegarde ( Siege) Serveur Equilinux bureautique ( Siege )

PARC - MR4G (comptabilité) Serveurs Secondaires bureautique 1 et 2 Subdis - Serveur DNS secondaire NT (AVR,CAR,CHE,COU,GRA,STLO, Antenne SSV) - Serveur Equilinux AVR Services - serveurs secondaires NT MSM (stlo), SM (Cherbourg) , SM /LS ( Granville) - serveurs equilinux SM ( Cherbourg )


5

Fonctionnement Actuelle :

1 / Les utilisateurs du domaine sont sous Windows XP et leur authentification sur le réseau se passe au niveau du Contrôleur de domaine NT. 2 / Ils accèdent à leurs ressources grâce au service Samba qui permet de Gérer le Partage de Fichiers entre un client Windows et un serveur Linux. 3 / La DDE a mis en place un système qui permet de récupérer la Base de compte des utilisateurs du Contrôleur de domaine NT et de la ré-utiliser sur le Serveur de fichiers Linux pour affecter des droits aux utilisateurs (L’administrateur ne gère donc qu’une seule base de compte au lieu de 2) Cette méthode est basée sur le Protocole NTLM qui est le Protocole d’identification mis en place sur Windows NT. (Protocole sécurisé basé sur le chiffrement des noms d'utilisateurs et des mots de passe avant leur envoi sur le réseau) Il est maintenant remplacé sur Windows 2000/2003 par Kerberos et Active Directory : Je vais donc utiliser ces Services pour Migrer le Contrôleur de domaine NT vers Windows 2003 Serveur.


6

4 / Présentation du projet

4.1 / Qu’est ce qu’un Contrôleur de Domaine ?

Dans chaque domaine, un serveur appelé le contrôleur de domaine stocke les comptes, valide les ouvertures de sessions, sauvegarde les données ainsi que les profils utilisateurs et lance des scripts de connexion. Cette organisation permet aux utilisateurs d’accéder à toutes les ressources du domaine à l’aide d’un nom d’utilisateur et d’un mot de passe.

4.2 / Limites d’un contrôleur de domaine NT (PDC)

Dans le cadre de la réorganisation des subdivisions de la DDE, j’ai travaillé sur le contrôleur de domaine et j’ai observé certaines choses qui me semblaient pouvoir être améliorées :

L’administration du contrôleur de domaine NT était très Rigide. J’ai remarqué

l’absence de Hiérarchie au niveau utilisateurs et des groupes (ex : Liste d’une centaine d’utilisateurs à la suite)

Les Utilisateurs avaient une certaine liberté pour modifier l’environnement de

leur poste de travail (notamment la configuration des paramètres réseaux) Ces Serveurs NT ne sont plus mis a Jour puisque Microsoft ne fourni plus de

pack correctif comme il peut le faire avec le SP2 de Windows 2003 serveurs (d’ou un manque de sécurité)

Dans un domaine NT, seul le contrôleur de domaine primaire (PDC, Primary

Domain Controler) peut modifier les objets et dupliquer les informations vers les serveurs secondaires (BDC, Backup Domain Controler).

4.3 / Avantages de Windows 2003 Serveur :

La gestion des comptes utilisateurs est plus simple que sous Windows NT (Windows 2003 Serveur intègre un annuaire « active directory » ainsi que le Système de résolution de nom « DNS »)

Les possibilités d'administration sont plus étendues notamment en termes de sécurité. (ex : Console de gestion des stratégies de groupe (GPMC)

Sous 2003, chaque contrôleur de domaine possède une copie de la base d'annuaire et peuvent être utilisé pour modifier les objets du domaine ainsi il n'y a plus de notions de serveurs maîtres et esclaves, tous les contrôleurs sont équivalents.


7

Windows 2003 est plus stable, plus performant que Windows NT. (Gain de performance parfois multiplié par 2 sur certains serveurs)

L'active directory est compatible avec le serveur samba de linux ce qui permet d'y intégrer des machines linux.

4.4 / Environnement mis en place :

Pour réaliser cette situation, j’ai choisi de travailler à l’aide de L’outil Vmware qui permet de lancer plusieurs systèmes d’exploitation en même temps.

J’ai installé VMware sur un poste équipé d’un Windows XP de base puis j’ai installé grâce à ce logiciel deux autres systèmes d’exploitation :

- Un 2003 serveur - Un poste Client sous XP

De l’autre coté de mon réseau local, j’ai installé Linux Mandriva 20007 pour mettre en place un serveur de fichiers SAMBA


8

La réalisation de ce Projet va donc se faire en 2 temps : 1ere partie : Mise en évidence des avantages de Windows 2003 Serveurs : L’Annuaire Active Directory + DNS Les Unité Organisationnelle (O.U) La Mise en place de stratégie de Groupe : G.P.O (Exemple : Application d’un script de Connexion à l’ensemble d’un groupe) 2eme partie : L’intégration d’une Machine LINUX à l’Active Directory : L’objectif sera d’intégrer le serveur de Fichier à l’Active Directory via le Protocole Kerberos pour récupérer les utilisateurs/groupes afin de leur affecter des droits sur les Fichiers.

Une fois que l’environnement est prêt, il faut fixer la configuration des machines. J’ai donc choisi cet adressage :

Configuration des postes :

Machine Serveur Samba 2003 serveur Poste Client

Adresse IP

192.168.0.1

192.168.0.3 192.168.0.4

DNS

192.168.0.3

192.168.0.3 192.168.0.3

Noms NETBIOS Serveur_samba pdc Client

Adresse IP : Une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement connecté à un réseau informatique.

DNS : Système permettant d'établir une correspondance entre une adresse IP et un Nom de machine

Nom NETBIOS : Identifiant d'une machine dans un réseau local Microsoft. (16 caractères maxi )


9

5 / Réalisation

5.1 / Mise en place du Contrôleur de Domaine.

A / Installation de l’Active Directory

L'Active Directory

C’est le nom du service d'annuaire de Microsoft qui permet de hiérarchiser les utilisateurs et les ordinateurs en groupes et sous groupes afin de faciliter l'administration des droits et des restrictions.

C'est aussi lui qui se charge de stocker tous les comptes utilisateurs (login / mdp / n°tel / adresse etc..) et de gérer l'authentification des utilisateurs sur le domaine Windows.

Pour l’installer :

Démarrer / exécuter /commande « DCPROMO » Cette commande lance l’installation de l’Active Directory Création du « nouveau nom de domaine » Nom DNS complet pour le nouveau domaine : dde50.local Nom de domaine NETBIOS : DDE50

B / Installation du service DNS.

Qu’est ce que DNS ?

Il permet d'associer à une adresse IP, un nom, plus simple à retenir, appelé nom de domaine. Client.dde50.local, par exemple, est composé du domaine dde50.local et du nom d'hôte Client Quand un utilisateur souhaite accéder à un site, comme par exemple www.free.fr, son ordinateur émet une requête spéciale à un serveur DNS, demandant 'Quelle est l'adresse de www.free.fr ?'. Le serveur répond en retournant l'adresse IP du serveur, qui est dans ce cas-ci, 212.27.48.10. Il est également possible de poser la question inverse, à savoir 'Quel est le nom de domaine de telle adresse IP ?'. On parle alors de résolution inverse.

Configuration de la Zone direct : NOM –IP

Configuration de la Zone Indirecte : IP – NOM


10

Pour voir si le DNS fonctionne : on peut effectuer la commande NSLOOKUP. NSLOOKUP interroge les serveurs DNS pour obtenir soit l'adresse IP en fonction d'un nom de domaine, soit l'inverse. Dans notre cas, si l’on tape « pdc » la commande renvoie l’IP 192.168.0.3 Inversement si l’on tape « 192.168.0.3, la commande nous renvoie le nom du serveur : « pdc.dde50.local »

C / Configuration du serveur samba Samba est un serveur de fichiers pour Linux (en licence libre) compatible avec les réseaux Microsoft Windows. C'est-à-dire qu'il permet de partager les fichiers et les imprimantes d'un serveur linux avec les ordinateurs d'un réseau Microsoft Windows, et de manière totalement transparente : Linux passe pour un serveur Windows aux "yeux" des clients Windows. 1 - Installation de Samba (rpm –i samba ou urpmi samba)

Démarrer samba: service smb start 2 - Installation de Webmin

Qu’est ce que Webmin ?

C’ est une interface graphique qui : - permet l'administration à distance d’un serveur via un simple navigateur Web. - solution, (non obligatoire), à l'édition directe des fichiers de configuration. - propose de nombreux modules d'administration des services les plus divers (en standard ou disponibles sur Internet)

3 – Création de dossiers et sous dossiers dans lesquels l’utilisateur sauvegardera ses données : 4 – Ces répertoires doivent être partagés sur Samba pour que les utilisateurs du domaine puissent y avoir accès. J’ai donc édité le fichier / etc / samba / smb.conf Toute la configuration du serveur samba se fait par l’intermédiaire de ce fichier.


11

Dans notre cas, il faut au minimum appliquer les paramètres suivants :

Paramètre général

Workgroups = DDE50 -- nom du domaine -- NetBIOS Name = serveur_samba -- nom du serveur -- Host allow = 192.168.0. 127. -- Autoriser l’accès a certain réseau --

Partage des Ressources

[dossier] comment = dossier de sauvegarde -- nom du dossier a partager -- path = /sauvegarde/dossiers/sisc -- chemin du dossier a partager -- writeable = yes -- possibilité d’écrire sur la ressource -- service smb restart (pour prendre en compte les changements) A présent, grâce au voisinage réseau nous voyons que le serveur de Fichiers SAMBA se comporte comme un serveur Windows aux yeux des utilisateurs.


12

D / Gestion du Contrôleur de domaine Une fois les 2 serveurs configurés j’ai créé des Unité Organisationnelle dans lesquels j’ai créé mes groupes et mes utilisateurs. (J’ai repris le nom des cellules qui se trouve dans le service SISC de la DDE)

L'Unité Organisationnelle : Dans l'arborescence, ce sont des contenants qui permettent de créer une hiérarchie d'objets au sein d'un domaine. Ces OU sont principalement utilisées pour l'application de GPO. De plus,face aux grand nombre de service et de cellules au sein de la DDE il est indispensable de s’en servir pour s’y retrouver. Les OU sont parfois confondues avec les groupes, qui sont des objets et non des contenants.

Architecture :

Par défaut, les utilisateurs sont classés dans « utilisateur du domaine » Pour chaque groupe, ajouter les utilisateurs concernés (propriété /membre / ajouté XXX) En résumé, chaque utilisateur doit être membre de :

Utilisateur du domaine / Nom du groupe de sa cellule

http://fr.wikipedia.org/wiki/OU


13

- Création du script de connexion :

Il s’agit en fait d’un fichier de commande (.bat ou .cmd) ou d’un fichier exécutable qui s’exécute automatiquement lorsque l’utilisateur se connecte au réseau. Ils sont notamment utilisés pour créer les lecteurs réseaux sur les postes clients.. Ces lecteurs permettent d’accéder aux différentes ressources stockées sur serveurs. Dans: C/windows/SYSVOL /sysvol/dde50.local/scripts J’ai créé un fichier texte du type :

NET USE T : \\ « nom du serveur » \ « ressource partagée »

Enregistrer en sisc.bat

- Application du script de connexion à l’ensemble d’un groupe = GPO (De l'anglais : Group Policy Object )

Les G.P.O sont des stratégies de groupe applicables aux Domaines et OU. L’avantage d’une GPO est de pouvoir déployer facilement un script de démarrage sur un ensemble de machine ou d’utilisateurs. Cela permet d’éviter d’ouvrir les propriétés de chaque utilisateur. Dans les propriétés de l’UO, stratégie de groupe, il faut créer une nouvelle Stratégie de Groupe. Le bouton modifié permet d’accéder à la console d’administration de la Stratégie de Groupe. Dans configuration utilisateur, paramètres Windows, cliquez sur scripts, puis sur ouverture de session. Sur la nouvelle fenêtre ajouter le fichier sisc.bat

L’ensemble des utilisateurs contenus dans l’Unité d’Organisation auront le

même script de démarrage.


14

Autre GPO possible :

Dans l’onglet Configuration Ordinateur tous les paramétrages liés aux connexions réseau comme l’ajout ou la suppression ou encore interdire d’afficher les statistiques d’état sont paramétrables dans cette stratégie :

Ainsi les utilisateurs de la DDE qui avait le droit de modifier leurs paramètres réseaux sont maintenant dans l’impossibilité de faire cette manipulation.

Pour prendre en compte les GPO, dans démarrer/ exécuter il faut faire un : « gpupdate /force »

TEST DU SCRIPT DE CONNEXION :

Sur le client XP, se connecter au domaine avec le login et mot de passe d’un utilisateur quelconque : Dans poste de travail, nous devons voir apparaître le lecteur réseau (T :) pointant sur la ressource partagée « dossiers » du serveur Samba.

(Voir capture d’écran N.1)


15

5.2 / Intégration d’une Machine Linux a l’Active Directory A / Le protocole Kerberos :

Le protocole Kerberos est le protocole de sécurité principal par défaut pour les authentifications réalisées dans un domaine Windows 2000/2003.Il est basé sur l’attribution de « tickets » qui contient des clés cryptés. ( Kerberos v. 5 remplace le protocole NTLM de NT pour assurer l'identification dans Active Directory)

Fonctionnement simplifier de l’authentification Kerberos :

1/ Demande de Ticket au service Kerberos ( via la commande Kinit ) 2/ Le service Kerberos intègre une base de donnée appelé : le KDC (Key Distribution Center) qui va identifier le client. 3/ Si le Client est authentifié, le KDC va générer un ticket crypté et l’envoyer au Service Kerberos. 4/ Le service Kerberos va renvoyer le Ticket au Client qui pourra alors confirmer son Identité et utiliser les ressources réseau tel qu’Active Directory.


16

Remarque : L'authentification proposée par le serveur Kerberos a une durée limitée dans le temps, ce qui permet d'éviter à un pirate de continuer d'avoir accès aux ressources. Trois commandes sont utilisées pour Kerberos :

kinit pour demander un ticket ; klist pour lister les tickets ; kdestroy pour supprimer les tickets.

B / Mise en place de Kerberos

Il faut tout d'abord s'assurer que les deux serveurs sont bien à la même heure. Une différence de plus de 5 minutes n'est pas acceptée.

Sur le serveur samba : - Installation du Client Kerberos ( urpmi krb5-workstation-1.5.2.rpm) - configuration du fichier Kerberos (etc / krb5.conf) - Ensuite j’ai testé la demande de ticket avec la commande :

« KINIT Administrateur »

- Pour vérifier si la demande aboutie, j’ai utilisé la commande KLIST donnant une réponse du type : Ticket cache: FILE:/ tmp /krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 14/02/08 10:28:51 14/02/08 20:27:43 krbtgt/[email protected]

mailto:krbtgt/[email protected]


17

C / Configuration de Winbind

Pour joindre l’active directory, il faut également éditer le fichier /etc/samba/smb.conf de la façon suivante : [global] security = ads - - Mode d’authentification : active directory service - - realm = DDE50.LOCAL - - Nom de la Zone kerberos - - password server = pdc.dde50.local workgroup = dde50 winbind separator = + idmap uid = 10000-20000 - - winbind attribue un identifiant pour idmap gid = 10000-20000 chaque groupe ou utilisateurs récupérés - - winbind enum users = yes - - listage des groupes et des utilisateurs du winbind enum groups = yes domaine - - template shell = /bin/bash client use spnego = yes winbind use default domain = yes

Qu’est ce que Winbind ? C’est lui qui nous permet récupérer la liste des utilisateurs et des groupes d'un domaine Windows, et permet au système Unix de les réutiliser pour mettre des restrictions d'accès sur des fichiers ou ressources partagés par Samba. Il assure la conversion d’un utilisateur (ou d’un groupe) d’un domaine Windows en un utilisateur ( ou groupe ) LINUX . « mapping » entre les SID Windows et les uid / gid Unix et vice-versa

(stockage dans une base de données)

SID : permet d’identifier un utilisateur dans un réseau Microsoft UID : numéro qui identifie un utilisateur sous LINUX GID : idem pour les groupes

Redémarrer les services smb et winbind

On peut à ce niveau intégrer Samba dans Active Directoy. On utilise la commande :

« net ads join -U Administrateur »

Si la configuration est bonne, la réponse est immédiate :

Using short domain name DDE50 Joined 'linux' to realm “DDE50.


18

TESTS : Pour voir si nous arrivons bien à joindre l’Active Directory on peut utiliser les commandes :

- wbinfo –u / g pour voir les utilisateurs ou les groupes de l’AD

- getent passwd / group

Celle-ci permet de vérifier que les utilisateurs ou group du domaine sont ajoutés à la liste des utilisateurs du serveur Linux avec les bons uid :

Les utilisateurs doivent apparaître sous forme de liste

5.3 / Un exemple d’utilisation :

Sur le serveur Samba Une fois que l’on peut atteindre les utilisateurs et les groupes de l’Active Directory, nous pouvons gérer les permissions d’accès aux ressources : Comment ? Installation du module ACL de webmin : Webmin-fsacls .wbm.gz

ACL pour faire quoi ?

Les Listes de Contrôle d'Accès (ACL) sont utilisées pour gérer les permissions d’accès sur les fichiers et répertoires. Avec les ACL, on peut (entre autres) ajouter à un fichier d'autres utilisateurs et groupes et définir leurs droits séparément. Alors que dans le monde UNIX, chaque fichier ne peut normalement indiquer des permissions que pour un seul utilisateur et un seul groupe


19

1/ Grâce à ce module, il est possible de sélectionner le fichier ou le dossier sur

lequel on veut appliquer des droits :

2/ Une fois que l’on a sélectionné le fichier ou dossier, on peut éditer la liste de

contrôle D’accès :

(Voir capture d’écran N.2) 3/ On peut ajouter plusieurs utilisateurs et/ou plusieurs groupe stockés dans

l’Active Directory et leur affecter des droits séparément.


20

5 / BILAN Conclusion :

J’ai pu remarquer dans ce projet l’efficacité du 2003 serveur comparé aux serveurs NT, en particulier dans l’administration des utilisateurs et des groupes puis au niveau de la sécurité des postes de Travail. De plus ce projet m’a permis de voir l’intérêt économique qu’ont les entreprises à utiliser les logiciels libres avec la mise en place de serveurs Linux. Difficultés rencontrées : J’ai connu quelques difficultés en ce qui concerne l’intégration du serveur Samba à l’Active Directory. Notamment dans la configuration du protocole Kerberos qui m’était totalement inconnue, J’ai donc dû me documenter sur plusieurs points à partir d’Internet. Autre Solution : J’aurais pu également proposer une solution qui viserait a tout passer sous LINUX c’est à dire a faire de SAMBA un contrôleur de domaine ainsi il n’y aurait plus aucun serveur Windows. Mais j’avais comme contrainte de garder l’authentification des utilisateurs sur un serveur Windows.

Documents

Rapport VIC samba