Forum général.général smb.conf -> profils errants et locaux...

Posté par  .
Étiquettes : aucune
0
16
juil.
2009
Bonjour,

J'ai un serveur samba qui fonctionnait très bien en contrôleur de domaine avec les profils itinérants (obligatoire -> le même pour tout le monde)

Je dois maintenant laisser les profils en "local" (sur des XP pro)

j'ai donc commenté le partage "profiles" ainsi que l'attribut "logon path"... (ci-joint un "testparm" pour voir la nouvelle config)

Mais lorsque je joins une machine au domaine (cela marche bien), à chaque démarrage de session, j'ai une erreur car il cherche le profil itinérant (sur le serveur!!) et sur les postes déjà dans le domaine c'est pareil..

Dans les propriété du poste de travail > avancés > gestion des profils (..) le bouton "modifier le type" est grisé!! Et en administrateur local, le profils des utilisateurs n'est pas présent... je ne peux donc pas "modifier le type"..

bref, je tourne en rond.. si quelqu'un avait une idée...

merci.




[global]
workgroup = DOMAINE1
server string = Samba PDC Server
obey pam restrictions = Yes
passdb backend = tdbsam
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
name resolve order = lmhosts host wins bcast
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null -g machines %u
logon script = %U.cmd
domain logons = Yes
domain master = Yes
dns proxy = No
wins support = Yes
panic action = /usr/share/samba/panic-action %d
admin users = maintenance
hide files = /desktop.ini/ntuser.ini/NTUSER.*/

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = Yes
browseable = No
share modes = No


[partage1]
comment = Tous les repertoires Perso (J:) des etudiants
path = /home/comptes
valid users = @etudiant @enseignant
  • # hummm

    Posté par  . Évalué à 1.

    hey je viens de voir cela :


    # pdbedit -v -u utilisateur
    Unix username: utilisateur
    NT username:
    Account Flags: [U ]
    User SID: S-1-5-21-2026905325-341997211-2826466348-3020
    Primary Group SID: S-1-5-21-2026905325-341997211-2826466348-513
    Full Name:
    Home Directory: \\serv1\utilisateur
    HomeDir Drive:
    Logon Script: utilisateur.cmd
    Profile Path: \\serv1\utilisateur\profile
    Domain: DOMAINE1
    Account desc:
    Workstations:
    Munged dial:
    Logon time: 0
    Logoff time: mar, 19 jan 2038 04:14:07 CET
    Kickoff time: mar, 19 jan 2038 04:14:07 CET
    Password last set: mar, 28 aoû 2007 10:23:24 CEST
    Password can change: mar, 28 aoû 2007 10:23:24 CEST
    Password must change: mar, 19 jan 2038 04:14:07 CET
    Last bad password : 0
    Bad password count : 0
    Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF


    il faudrait que je change le profil path (comment?) sur tous mes users?

    merci de l'info

    bonne soirée
    • [^] # Re: hummm

      Posté par  . Évalué à 1.

      bonjour,

      je crois qu'il suffisait tout simplement de faire ceci :

      # pdbedit -r utilisateur --profile=
      Unix username: utilisateur
      NT username:
      Account Flags: [U ]
      User SID: S-1-5-21-2026905325-341997211-2826466348-3020
      Primary Group SID: S-1-5-21-2026905325-341997211-2826466348-513
      Full Name:
      Home Directory: \\serv1\utilisateur
      HomeDir Drive:
      Logon Script: utilisateur.cmd
      Profile Path:
      Domain: DOMAINE1
      Account desc:
      Workstations:
      Munged dial:
      Logon time: 0
      Logoff time: mar, 19 jan 2038 04:14:07 CET
      Kickoff time: mar, 19 jan 2038 04:14:07 CET
      Password last set: mar, 28 aoû 2007 10:23:24 CEST
      Password can change: mar, 28 aoû 2007 10:23:24 CEST
      Password must change: mar, 19 jan 2038 04:14:07 CET
      Last bad password : 0
      Bad password count : 0
      Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF



      pourtant ce que je ne comprends pas c'est lorsque je créé un nouvel utilisateur :


      userad toto
      smbpasswd -a toto



      lorsque, après, je fais un pdbedit -vL toto
      j'ai tout de même :


      ...
      Profile Path: \\serv1\toto\profile
      ....


      c'est à dire que par défaut, le profil "devrait" être stocké sur le serveur...


      merci
      bonne journée
      • [^] # Re: hummm

        Posté par  . Évalué à 3.

        Réponse rapide, car étant en vacances, je n'ai pas accès à mon serveur samba du boulot. Et quelques précisions aussi.
        D'abord, vu comment tu procèdes, (i.e. créer les comptes des utilisateurs uniquement sur le serveur), c'est normal que les profiles soient sur sur le serveur. En effet, tu as configuré ton serveur samba en contrôleur de domaine, il est donc normal que les profiles soient stockés sur le serveur. C'est d'ailleurs ce que j'ai fait à mon travail (en plus d'avoir couplé le serveur samba à un annuaire ldap).
        Je n'ai pas le lien sous la main, mais j'ai lu quelque part qu'il fallait séparer à tout prix l'endroit où est stocké le profile sur le serveur des données utilisateur, à cause d'un bug windows qui peut permettre une escalade de droits sur le contrôleur de domaine. Là encore, je dis tout ça de mémoire. En clair, voici ce que j'ai fait moi :
        sur le serveur : les profiles sont dans /smbhome/profiles/toto
        Les données utilisateur dans /smbhome/users/toto/samba
        Enfin, il faut noter que par défaut, windows stocke beaucoup de choses dans le répertoire enfermant le profile de l'utilisateur (données de session, mais aussi données de l'utilisateur, fichiers temporaires, configuration des applications, etc). Par conséquent, plus l'utilisateur a d'informations dans ce profile, plus l'ouverture et la fermeture de session sont longues.
        Pour pallier à ce problème, voici les astuces que nous avons mis en place :
        Le partage samba nommé Personnel pointe vers /smbhome/users/toto/samba. Il est mappé automatiquement vers P: à l'ouverture de session. On configure systématiquement tous les postes pour que le dossier "Mes Documents" pointe vers ce P:, ce qui le sort du profile.
        Ensuite, pour les applications firefox et thunderbird, on a un autre partage (/smbhome/users/toto/mail) qui est mappé sur M:\ et dans le profile de l'utilisateur, on a placé les fichiers c:\Documents And Settings/toto/Application Data/Mozilla/firefox/profiles.ini et C:\Documents and settings/toto/Application Data/thunderbird/profiles.ini Avec un contenu ressemblant à : (extrait du profiles.ini de firefox)

        [Profile0]
        Name=default
        IsRelative=0
        Path=M:\firefox

        Il suffit de créer sur le serveur le répertoire idoine M:\firefox et M:\thunderbird pour que les profiles soient automatiquement créés sur le serveur à cet emplacement, et hop, c'est sorti du profile. Et quand les utilisateurs ont une boîte mail de 2Go, ça allège d'autant l'ouverture de session.
        Il doit y avoir d'autres choses à modifier, mais pour l'instant mes investigations ne sont pas allées plus loin, et ceci nous suffit.

        Voilà pour la partie serveur. A noter que dans cette configuration, les utilisateurs sont des utilisateurs du DOMAINE, et non des utilisateurs de WINDOWS et/ou du PC qu'ils utilisent lorsqu'ils sont connectés.
        Il existe une possibilité cependant pour changer ce comportement. Il "suffit" de se connecter en tant qu'administrateur sur la machine concernée, et d'ajouter un utilisateur, en allant le chercher sur le contrôleur de domaine. En procédant ainsi, tu peux définir des droits "spéciaux" et différents selon le point de vue que tu utilises.
        Exemple : toto est utilisateur du domaine (on ne change rien sur le serveur quoi). Et sur le PC de toto, tu ajoutes l'utilisateur DOMAINE\toto en tant que PowerUser. Dans ce cas, l'utilisateur toto pourra faire tout ce qu'un PowerUser à le droit de faire sur un windows, sans pour autant perturber le contrôleur de domaine. Et à ce moment là, tu pourras changer le type du profile de l'utilisateur.

        Voilà, j'espère que ces quelques explications te seront utiles, et qu' éventuellement elle donneront lieu à corrections si jamais j'ai écrit des boulettes (car je le rappelle, j'ai rédigé tout ça de mémoire).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.