Bonjour,
je suis débutant, et je voudrais monter un controlleur de domaine primaire (cdp) pour gérer les ordinateurs, (et leurs utilisateurs) d'une salle. Voici mes objectifs:
-empêcher les utilisateurs qui ne sont pas inscrits dans mon cdp de pouvoir travailler sur les ordinateurs de cette salle;
-attribuer des droits en fonction des utilisateurs: certains auront le droit d'installer des logiciels, d'autres pourront naviguer sur internet ...il faudrait certainement creer des groupes de travail pour cela;
-controler (éteindre) un ordinateur à distance
-suspendre le compte d'un utilisateur indiscipliné
J'ai installé débian sarge (à partir du cd de l'installateur), puis j'ai téléchargé les packages suivants:
-samba
-un package de messagerie (je ne sais plus lequel): je voudrais aussi mettre en place un service de messagerie interne
J'ai lu cette doc pour la configuration de samba http://www.faqs.org/docs/samba/toc.html; j'ai lus les fichiers smb.conf (il n'y avait pas grand chose à modifier), /etc/resolv.conf (pour la config du DNS du réseau local).
Maintenant je dois inscrire les postes autorisés à se connecter au cdp samba dans le fichier "hosts.allow" et ceux qui ne le peuvent pas dans le fichier "hosts.deny"; est ce exact?
Où dois je enregistrer les utilisateurs et comment créer les groupes de travail et donner les droits? Tout conseil, et tout document sera très apprécié.
Merci
# Quelques pistes et réponses
Posté par Ellendhel (site web personnel) . Évalué à 2.
attribuer des droits en fonction des utilisateurs
Sauf erreur de ma part, Samba ne peut rien faire directement sur ce point-là.
Samba gère des partages de ressources (fichiers et imprimantes) et les droits d'accès à ces ressources.
Pour ce qui est de la politique d'utilisation de la machine, il faudra utiliser les outils correspondant sur le poste Windows (gpedit.msc notemment).
Dans un domaine géré en "full-Windows" il est effectivement possible de déterminer les stratégies de sécurité sur le serveur et de les propager vers les clients.
Avec Samba il sera possible d'avoir un fichier de politique (.pol) qui pourra être utilisé sur les clients, mais pas de créer ce fichier via Samba.
Dans tous les cas, c'est une opération pénible et délicate vu la "simplicité" du système Microsoft...
controler (éteindre) un ordinateur à distance
Idem, ce n'est pas du registre de Samba, il faudra passer par des utilitaires Windows pour cela.
Néanmoins il devrait être possible d'envoyer une commande depuis le serveur vers les postes clients pour activer le programme utilitaire en question.
suspendre le compte d'un utilisateur indiscipliné
Aucun problème de ce côté : la commande smbpasswd avec l'argument -l pour verrouiller et -e pour réactiver le compte fait merveille.
empêcher les utilisateurs qui ne sont pas inscrits dans mon cdp de pouvoir travailler
Pas de souci non plus : pas de compte, pas d'accès (c'est le principe des contrôleurs de domaine).
je dois inscrire les postes autorisés à se connecter au cdp samba dans le fichier "hosts.allow"
Non, avec une double réponse :
- il y a une directive dans le fichier smb.conf pour spécifier les hôtes ou les réseaux autorisés (hosts allow = localhost 192.168.1. par exemple pour autoriser tout le réseau 192.168.1.0)
- dans une configuration comme contrôleur de domaine le serveur gérera les postes ayant un compte machine déclaré sur le dit serveur (voir la commande smbpasswd avec les options -m et -a).
Où dois je enregistrer les utilisateurs et comment créer les groupes de travail et donner les droits?
Les utilisateurs doivent avoir un compte système valide (commande adduser) et d'un compte Samba (commande smbpasswd), les deux systèmes pouvant être synchrones.
Pour les groupes de travail, là encore on s'appuie sur les groupes systèmes existants (déclarés dans /etc/groups).
Pour les droits, on ne parle bien que de droits sur les fichiers : ils sont paramétrables au niveau du système de fichiers (commande chmod) et selon les partages Samba déclarés (accès en lecture ou en lecture et écriture).
Il n'y a pas de notion de groupes "utilisateur avec pouvoir" ou "gestionnaire de sauvegarde" comme sous Windows ; la gestion de ces droits n'est pas pris en compte par Samba.
Pour le reste la lecture du site samba.org reste très instructive (même si elle prend du temps).
http://us4.samba.org/samba/docs/man/Samba3-HOWTO/
[^] # Re: Quelques pistes et réponses
Posté par Tonguim Ferdinand GUINKO (site web personnel) . Évalué à 1.
J'essaie de mettre dans le meme domaine un ordinateur win xp pro sp2 (à partir du poste de travail de cet ordi: clique droit sur poste de travail, nom de l'ordi ....) et j'obtiens ce message d'erreur: "un controleur de domaine pour le domaine monDomaine n'a pu être contacté." comment puis je résoudre ce problème? Merci.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.