Re-hello !
Voilà, j'aimerai monter un réseau de PC sous Linux respectant les contraintes suivantes :
Nous avons actuellement un serveur samba (LFS 5.1) qui fait office de serveur de fichiers + contrôleur de domaine.
Les postes clients sont tous sous windows (sic !). Lors de la connexion, un script shell met à l'heure le PC qui se connecte, et un certain nombre de lecteurs réseaux sont "montés" :
$HOME/samba -> P:\
$HOME/mail -> M:\
/home/$GROUP ->S:\
/home/pub -> X:\
et quelques autres...
Voilà le tableau à l'heure actuelle.
Pour faire une démo de Linux, et surtout pour ne pas trop perdre les utilisateurs, nous envisageons d'installer sur un disque dur de récup un Linux "customisé". L'environnement choisi est KDE, la suite office, ben openoffice, plus quelques autres outils, bref, ceci n'est pas un laché de trolls, c'est une liste de choix ;-) !
Voici maintenant ce que j'aimerai réaliser, si c'est possible :
- Faire en sorte que l'utilisateur renseigne son nom/mdp via kdm, et que ceux-ci soient vérifiés par le serveur samba. Est-ce possible ?
- Ne pas avoir à modifier la conf locale du PC client, si possible. Ce que je veux dire par là : on a un master, on l'installe, le PC boot et hop, pourvu qu'un nom d'utilisateur/mdp soit fourni, peu importe la babasse, on se retrouve sous son environnement de travail, avec ses fichiers, ses documents, ses lecteurs réseaux, etc.
-Suis-je utopique ? Non, je ne pense pas. Je suis presque certain que c'est faisable, mais pour l'instant je n'ai pas trouvé comment. C'est pourquoi je m'adresse à vous !
J'ai déjà cherché du côté de pam_smb, mais je n'ai rien trouvé de probant (j'dois être trop con, ou alors c'est pas par là qu'il faut chercher !).
Il aurait pu y avoir la solution de stations diskless, mais on perd toutes les spécificités de chaque machine : lecteur CD/graveur/carte son, etc...
Il nous faut donc un linux sur chaque bécanne. J'envisage de fouiner vers Knoppix et ses outils de personnalisation dans un premier temps, pour les tests grandeur nature avec quelques volontaires, mais j'aimerais d'abord avoir une solution clef en man à tester avec un PC de récup.
Merci donc de m'indiquer les altérations à apporter sur ma babasse perso qui me sert à faire les tests clients, et celles à apporter à notre serveur samba....
Par avance merci pour vos contributions.
# Embryons de solutions
Posté par Jerome Herman . Évalué à 3.
C'ets possible est complexe. Il est beaucoup plus simple de pousser KDM et Samba à déléguer l'authentification à un annuaire LDAP.
Ne pas avoir à modifier la conf locale du PC client, si possible. Ce que je veux dire par là : on a un master, on l'installe, le PC boot et hop, pourvu qu'un nom d'utilisateur/mdp soit fourni, peu importe la babasse, on se retrouve sous son environnement de travail, avec ses fichiers, ses documents, ses lecteurs réseaux, etc.
Dans ce ca sil faut aussi mettre le /home en réseaux et dans samba/nfs rajouter un partage sur /home/$LenomduUser. Ce disque doit être monté sur windows comme défaut pour doccuments and settings par exemple.
A partir de là, ilf aut que tout ce que fasse le disque de boot soit de lancer un serveur X branché sur un client KDM. Il existe 8000 façons de rediriger les clients X vers tel ou tel serveur, ca se choisit en fonction des applicatiosn et du réseau.
Tout ce que je dis ets très vague, mais je en peux pas rentrer plus dans les détails sans informations. Ceci étant si tu veux un coup de main pas de problèmes tu peux me contacter sur kha at free point fr .
[^] # Re: Embryons de solutions
Posté par Gyro Gearllose . Évalué à 2.
Ok pour le LDAP, mais on a déjà une solution PDC qui fonctionne, alors non, on souhaite rester sous smb, même si c'est plus compliqué.
J'ai bien vu que visiblement c'est possible de faire autentifier un utilisateur sur un PDC via KDM. Ce qui me manque, c'est :
1) que dois-je faire pour que le PDC fournisse la liste des utilisateurs (éventuellement, c'est pas une obligation), et en tout cas qu'il serve d'autorité d'identification ?
2) Que dois-je faire sur le client pour que ça marche, sans pour autant créer de comptes locaux ?
Je sais, je suis exigeant, mais j'aimerais si possible toucher le moins possible à la structure actuelle.
Le problème sur le PC de test : y'a rien (ou presque) dans /etc/pam.d/, et y'a pas de fichiers de conf genre /etc/pam.conf. En fait, j'ai juste installé PAM comme expliqué ici : http://www.hu.linuxfromscratch.org/blfs/view/5.1/postlfs/linux_pam.(...)
et puis c'est tout !
Je suis bien conscient de demander beaucoup, alors je cherche, je cherche.... Tous les commentaires sont les bienvenus !
Pour le deuxième point, je l'ai résolu en exploitant les répertoires $HOME/.kde/Autostart et $HOME/.kde/shutdown. Là dedans, j'ai des scripts shells qui font un rsync de la config de kde ($HOME/.kde) et du profile de Mozilla. Les répertoires partagés (anciens lecteurs réseaux) sont montés dans l'arbo de l'utilisateur. Ca marche plutôt bien ! Ils sont bien sur démontés lors de la déconnexion.
Merci pour ton aide. J'espére avoir donné plus de détails pour aboutir à une solution finale viable.
[^] # Re: Embryons de solutions
Posté par jerome (site web personnel) . Évalué à 4.
http://www.flyn.org/projects/pam_mount/(...)
Au login, le $HOME de l'utilisateur est monté à partir du serveur samba. Il se retrouve donc dans son espace perso.
Sinon, essaie de voir LTSP, http://www.ltsp.org/(...)
le principe est le même mais utilise NFS plutôt que Samba, moins intéressant pour toi donc.
[^] # Re: Embryons de solutions
Posté par jerome (site web personnel) . Évalué à 3.
Voilà, je ne le trouvais plus.
# une piste a re-poursuivre... plus simple ?
Posté par Lionel Kaufmann . Évalué à 2.
En gros, il fait que l'authentification ne soit plus sur le /etc/passwd, /etc/group mais interoge ton controleur de domaine et s'il repond ok on peux se loguer... Ceci etant typiquement un problème d'authentification, c'est bien du coté des pam qu'il faut fouiner.....
Le tuto suivant permet , d'avoir une authentification sur un controleur de domaine NT des poste linux, de déléger la gestion des droit au PDC sur un partage samba....
http://lea-linux.org/admin/samba_nt_auth.html(...)
Donc dans ton cas, jette un coup d'oeuil attentif à la partie
- nsswitch.conf ( +winbind :o)
- /etc/pam.d/auth-config
- /etc/pam.d/login
Pour le master c'est parfaitement jouable.... Va juste faloir bien preparer et recetter le poste avant de le graver !!! :o)
[^] # Je suis aux fraises...
Posté par Lionel Kaufmann . Évalué à 2.
Mais le principe de modifier pam.d/login et auth-config reste valable...
Bon, je suis à la rammasse cet aprem...
=====> [Kfé-double]
# LDAP est ton ami...
Posté par Médéric RIBREUX (site web personnel) . Évalué à 2.
j'ai pratiquement eu le même problème que toi: j'ai des postes sous win2K avec un CPD Samba. Pour ma part, je ne bosse que sous Linux et avant la mise en place du CPD Linux, j'ai anticipé mon problème.
Voici la solution que j'ai retenue , qui a le mérite de marcher même si elle est perfectible (largement):
- Désolé mais, faut utiliser un annuaire LDAP. L'avantage c'est que tu regroupes facilement tes comptes POSIX et SAMBA dans un seul endroit.
- Pour les stations win2K, il y a samba: les users vont et viennent dans leur monde connu.
- Pour les stations Unix: deux problèmes à régler: l'authentification, monter le répertoire home qui va bien et éventuellement d'autres emplacements réseau.
- Pour l'authentification à partir de la station cliente, j'utilise nssldap (pour tous les progs qui ont besoin de savoir qui sont les users et les groupes valides) et pam_ldap (pour l'authentification). Avantage de PAM: c'est souple et modulaire: je peux créer une config pour KDM mais pas forcément pour SSH, etc...
- Pour les homes, j'ai un bordel monstrueux: je monte par NFS, l'endroit où je stocke les profils Windows de mes users (enfin, deux niveaux avant en fait pour ne pas écraser et affoler windows). En réglant bien les droits d'accès, j'évite que n'importe qui puisse écraser le contenu du "profil" Linux de l'autre.
- Pour les autres lecteurs réseaux, idem: des lignes à ajouter dans le fstab.
Je conçois que le truc sur NFS est franchement baclé mais ça m'a coûté seulement 1H pour mettre ça en place (doc +serveur + client)...
Configuration sur le serveur:
- OpenLDAP
- OpenSSL (ou GnuTLS pour les Debianneux)
- NFS serveur
- Samba
Configuration requise sur le client:
- installer libpam-nss et configurer avec une communication TLS histoire de ne pas faire transiter les mots de passe en clair.
- installer pam_ldap et le configurer (fichier de conf identique à celui de libpam-nss).
- installer les bons fichiers de config pour les différents progs qui vont utiliser PAM (et surtout les tester avant histoire de ne pas se retrouver avec une machine lockée !!!!).
- installer un client NFS et le configurer (5 secondes)
- régler le fstab pour NFS
Avantage indéniable du LDAP: quand mes users Win2K changent de mot de passe, ça met à jour leur mot de passe POSIX. Donc, deux interfaces différentes mais un seul compte (en fait deux comptes en un).
Au final, ça marche plutôt bien. Quelques idées à prévoir:
- voir pour les quotas sous NFS (si c'est géré ou pas)
- voir si on peut se passer du serveur NFS et utiliser Samba
- tiens, des scripts lancés à la connexion ça serait pas mal des fois aussi sous Linux...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.