Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte

Linux LPIC-3 (examen 300) :

Présentation de la formation.

Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©

Linux LPIC-3 (examen 300) : Environnement Mixte

Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum

Ludovic Quenec'hduFormateur et Consultant indépendant OpenSource et virtualisation

Plan• Présentation du formateur

• Qu’est-ce que la LPIC?

• La certification LPIC 3

• Le plan de formation

• Publics concernés


• Publics concernés

• Connaissances requises

• Présentation du Lab

• Liens des ressources logicielles

A propos du formateur• Ludovic Quenec’ hdu

• [email protected]� Mon profil LinkedIn : https://www.linkedin.com/pub/ludovic-quenec-hdu

� Mon profil Alphorm : http://www.alphorm.com/auteur/Ludovic-QUENECHDU

• Formateur et consultant indépendant Logiciel libre depuis plus de 15 ans,


15 ans,

• Consultant en virtualisation

• Consultant expert en logiciels Libre

• administrateur, chef de projet, architecte et consultant

• Je dispense des formations sur les logiciels libres depuis plus de 15 ans.

A propos de la LPIC-3• La certification Linux senior (LPIC-3) est le point culminant du programme des

certifications du LPI.

• Elle valide les compétences nécessaires pour la gestion à un niveau "structure ouentreprise".

• développé à partir de contributions de centaines de professionnels du monde entier ainsique celles d’entreprises parmi les plus importantes du secteur des technologies.

• certification indépendante de la distribution Linux de plus haut niveau dans le monde de


• certification indépendante de la distribution Linux de plus haut niveau dans le monde del’entreprise.

� 300 Mixed Environment (remplace les 301 et 302 depuis octobre 2013)

� 303 Sécurité

� 304 Virtualisation et Haute disponibilité

La certification LPIC

� LPIC 301 + 302


� LPIC 301 + 302� Intégration des services réseaux hétérogène� Samba 3 et Samb 4� Adminstriation Openldap

Objectifs de l’examen 300 de la LPIC-3• Afin de réussir l’examen LPIC 3, vous devez disposer de :

� Plusieurs années d’expérience sur l’installation et l’administration desystème Linux dans differents environnements .

� Connaître les niveaux de l'administration Linux, y compris l'installation, lagestion, la sécurité, le dépannage et la maintenance

� être capable d'utiliser des outils open-source afin de mesurer laplanification des capacités et des ressources pour résoudre les problèmes


� être capable d'utiliser des outils open-source afin de mesurer laplanification des capacités et des ressources pour résoudre les problèmes

� Avoir une expérience professionnelle sur les outils LDAP avec les servicesUnix et les services Windows, y compris Samba, PAM, NSS, ActiveDirectory.

� être en mesure de planifier, architecturer, designer et mettre en œuvre unenvironnement complet en utilisant Samba3, samba4, LDAP et Kerberos.

Le plan de formation� Concepts et architecture

� Les annuaires et Openldap� Le protocole LDAP� Le modèle de nommage� Le modèle de données� Le modèle fonctionnel� Le modèle de sécurité� Le modèle de duplication� LDIF, un format d'échange de données

� Installation et configuration d'OpenLdap

� OpenLDAP en tant que base d'authentification� Intégration de LDAP avec PAM et NSS� Intégration de LDAP avec Active Directory et

Kerberos

� Fondamentaux sur Samba� Architecture et concepts de Samba� Configuration de Samba� Maintenance courante de Samba � Résolution de problèmes avec Samba


� Installation et configuration d'OpenLdap� Installation et configuration d'OpenLdap� Gestion des utlisateurs et groupes

� Configuration avance d'OpenLDAP� SSL/TLS� Iptables� SASL� (ACL) dans LDAP� Réplication avec OpenLDAP� performances du serveur OpenLDAP

� Configuration des partages Samba� Partages de fichiers� Permissions sur le système de fichiers Linux et les

partages� Services d'impression

� Gestion des utilisateurs et des groupes Samba� Gestion des comptes utilisateurs et des groupes� Authentification, autorisation et Winbind

Le plan de formation� Samba et domaines Windows

� Samba en tant que contrôleur de domaine principal (PDC) Samba3 TDBSAM

� Samba en tant que contrôleur de domaine principal (PDC) Samba3 avec LDAP

� Samba en tant que contrôleur de domaine secondaire (BDC) SAMBA3 TDBSAM et LDAP

� Contrôleur de domaine compatible AD avec Samba4

� Configuration de Samba en tant que serveur membre et DC du domaine


membre et DC du domaine� gestions des clients MS windows

� Service de nom Samba� NetBIOS et WINS� Résolution de nom Active Directory

� Travail avec les clients Linux et Windows� Intégration CIFS

� Conclusion� Le mot de la fin

A Propos de la formation• Public concerné

� Ingénieur, administrateur et technicien voulant installer, configurer, administrer et dépanner un environnement OpenLDAP/Samba et AD

• Connaissances préalables au cours

� Avoir réussi ou suivi les formations LPIC-1, LPIC-2

Disposer d’une bonne expérience (entreprise) dans des environnements


� Disposer d’une bonne expérience (entreprise) dans des environnements hétérogènes MS windows, Linux. Gestion d’une administraton système

� De bonnes connaissances sur les réseaux TCP/IP

� De bonnes connaissances dans la gestion des utilisateurs.

Présentation du Lab• Cette formation ne demande pas des ressources CPU/RAM extravagantes,

comme peut être une formation sur la Virtualisation par exemple.

• Néanmoins au cours de cette formation nous allons déployer plusieurs serveurs Linux et au moins un serveur Windows 200X et un client Windows 7/8.

• Ce qui veux dire que nous aurons 4 machines virtuelles qui tournent

• Il faut donc disposer de ressources suffisantes :


• Il faut donc disposer de ressources suffisantes :

� Un PC Core i5/7 pour la virtualisation et au moins 8Go de RAM pour déployer un serveur et client MS Windows.

� J’ utiliserai VirtualBox pour la virtualisation des serveurs.

Liens des ressources logicielles• Le Wiki LPI :

� http://wiki.lpi.org/wiki/LPIC-3

• Samba Experience

� http://sambaxp.org/sambaxp-home.html

Wiki Samba 3 et 4


• Wiki Samba 3 et 4

� https://wiki.samba.org/index.php/Main_Page

� https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/

• Documentation Active Directory

� https://technet.microsoft.com/fr-fr/windowsserver/dd448614

Are you ready ? ☺


Concepts et architectureLes annuaires et



Les annuaires et Openldap


Plan • Les annuaires

• Les annuaires électroniques

• Historique d’Openldap


Les annuaires• Le petit Larousse nous dit :

� ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année,donnant la liste des membres d'une profession, des abonnés à un service, etc.: Annuaire du téléphone, Botin.

• L'exemple classique d'un répertoire est l’annuaire téléphonique, où les gens sont classés par ordre alphabétique et en regard leurs numéros de téléphone et adresses.


• Chaque personne (ou famille) représente alors un objet, le numéro de téléphone et l’adresse sont les attributs de cet objet.

• Certains objets peuvent être aussi des entreprises, et leurs attributs peuvent alors inclure les numéros de fax ou les heures d'ouverture et diverses informations (Logo, adresse de messagerie,…).

� Famille de Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67

� Entreprise a Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Fax : 784930202

Les annuaires électroniques• Contrairement à son homologue imprimé, un annuaire électronique a une nature

hiérarchique.

• Ce qui permet aux objets d'être placés sous d'autres objets pour indiquer une relation parent-enfant.

• Par exemple, le répertoire téléphonique pourrait être étendu et avoir des objets représentant des zones de la ville, chacune avec des objets personnes et entreprises se trouvant sous les objets de zone.


trouvant sous les objets de zone.

• Les objets arrondissement se trouverait alors sous un objet ville, et qui pourrait encore se trouver sous un objet état ou province, et ainsi de suite.

• Une copie imprimée serait beaucoup plus difficile à utiliser car vous auriez besoin de connaître le nom et localisation géographique, alors qu’il serait peut être plus simple de rechercher par type d’entreprise. Je cherche un plombier

• En revanche, les ordinateurs sont capables de trier et rechercher des informations dans des fichiers, répertoires et bases de données, cela permet donc une structure plus évoluée.

Les annuaires électroniques

France

Ile de France Provence

Paris Marseille


Paris Marseille11e arrondissement 8e arrondissementsFamille de Ludo

Adresse : 7 rue du paradis

Tel : 0033 6 78 45 24 67

Les annuaires électroniques• L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou

de ressources. Un annuaire permet de :

� constituer un carnet d'adresse

� authentifier des utilisateurs

� définir les droits de chaque utilisateur


� définir les droits de chaque utilisateur

� recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs adresses IP et adresses MAC, ...)

� contenir les informations configuration des services DHCP, DNS, …

� décrire les applications disponibles

Les annuaires électroniques• ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup

plus simple à réaliser que celle d'un annuaire papier. Ainsi un annuaire en ligne sera à jour beaucoup plus rapidement, d'autant plus que les personnes recensées dans l'annuaire peuvent elles-mêmes modifier les informations les concernant.

• ils sont sûrs : les annuaires en ligne disposent de mécanismes d'authentification des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des


des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des règles d'accès permettant de définir les branches de l'annuaire auxquelles l'utilisateur peut accéder

• ils sont souples : ils permettent ainsi de classer l'information selon des critères multiples contrairement aux annuaires papiers, imprimés une fois pour toute pour permettre de rechercher selon un critère figé (en général l'ordre alphabétique selon le nom)

Les annuaires électroniques• On trouve beaucoup d’implémentations d’annuaires électronique. Tous

ces serveurs implémentent le protocole LDAP:

� Apache Directory Server,

� Open Directory d'Apple,

� Critical Path Directory Server et Meta Directory Server


� 389 Directory Server, OpenLDAP, Mandriva Directory Server offre une interface web pour administrer Samba et LDAP

� Oracle Directory Server Enterprise Edition, Oracle Internet Directory,

� IBM SecureWay Directory, IBM Directory Server, IBM Lotus Domino, IBM Tivoli Directory Server

� Microsoft Active Directory

Historique d’Openldap• Le projet a débuté en 1998 sous l'impulsion de Kurt Zeilenga en prenant pour

base les travaux de l'Université du Michigan où des chercheurs développaient le protocole LDAP. Parmi les autres contributeurs, il y a Howard Chu et Pierangelo Masarati.

� OpenLDAP Version 1 (1998) : première version publique

� OpenLDAP Version 2 (août 2000) : prise en charge de LDAPv3, d'IPv6, du TLS, …


� OpenLDAP Version 2.1 (juin 2002) :

� OpenLDAP Version 2.2 (décembre 2003) :

� OpenLDAP Version 2.3 (juin 2005) : possibilité d'avoir la configuration accessible dans l'annuaire (cn=config)

� OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maîtres; réplication Proxy Sync; extensions LDAP v3.

OpenLDAP fournit• Un protocole de communication.

• Un modèle de données

• Un modèle de nommage

• Un modèle fonctionnel


• un modèle de sécurité

• Un format d'échange de données, le format LDIF.

• Un modèle de réplication

Ce qu’on a couvert• Les annuaires

• Les annuaires électroniques

• Historique d’Openldap


Le protocole LDAP

Concepts et architecture


Le protocole LDAPLightweight Directory acces Protocol



Plan• Lightweight Directory Access Protocol


Lightweight Directory Access Protocol• Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter,

modifier, supprimer, rechercher des données dans une base de données, quels protocoles de chiffrement utilisés (kerberos, ssl...), et quels mécanismes d'authentification sont utilisés.

• Ce protocole est utilisé dans la relation client/serveur, mais également entre serveurs (serveur/serveur). Les BDs LDAP peuvent être dupliquer et repartie

LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access


• LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access Protocol (DAP)

• Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du ISODE et Wengyik Yeong de Performance Systems International en 1993

Lightweight Directory Access Protocol• Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que

l'université du Michigan n'en fasse un annuaire Standalone

• L'annuaire LDAP est une base de donnée organisée hiérarchiquement qui recense des données sur des objets qui peuvent être des personnes, des serveurs, des imprimantes, …

• Il existe deux versions de LDAP : LDAPv2 et LDAPv3


• Il existe deux versions de LDAP : LDAPv2 et LDAPv3

• LDAP v3 devient un standard pour l'Internet (RFC 2251)

• LDAP V3 permet d’etendre les fonctionnalitées

Lightweight Directory Access Protocol• Les messages LDAP sont codés sous une forme BER (Basic Encoding

Rule)

� Se connecter, se déconnecter, rechercher des informations, comparer, modifier, supprimer, …

• Les requêtes ont un identifiant de requête nommé numéro de séquence, qui permet au client de connaître sa réponse en cas de


séquence, qui permet au client de connaître sa réponse en cas de multiples réponses.

Lightweight Directory Access Protocol• Usage d'un service d'annuaire LDAP

� un service d'annuaire

� un service d'authentification

� pour la messagerie, carnet d’adresses


� pour les applications internet/intranet, certificats, configuration des applis…

Ce qu’on a couvert• Lightweight Directory Access Protocol


Le modèle de nommageConcepts et architecture


Le modèle de nommage



Plan• Le modèle de nommage

• Le Directory Information Tree DIT

• Structure de l'annuaire


Le modèle de nommage• Le modèle de nommage définit l'organisation des données et la façon d'y

accéder.

• Il spécifie une structure arborescente appelée le Directory Information Tree (DIT) dans laquelle on trouve des entrées.

• L'arbre est composé d'entrées simples et d'alias.

• Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs


• Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs serveurs (referall ) et peuvent etre designés de deux facons, les DN et le RDN.

Le modèle de nommage• Il y a plusieurs approches afin d’organiser le nommage des entrées :

� Par pays : C=FR, C=UK

� Par organisation : O=ALPHORM

� Par nom de domaine : ALPHORM.COM DC=ALPHORM,DC=COM


Le Directory Tree, structure de l’arbre• On peut trouver pour une grande organisation :


Structure de l'annuaire, Exemples d'arbres • Dans ce cadre, le modèle LDAP peut être plat :


Structure de l'annuaire, Exemples d'arbres• Découpage pour refléter l'organisation interne :


Structure de l'annuaire, Exemples d'arbres • Découpage par type d'objet :


Structure de l'annuaire• Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT)

• Chaque entrée a un identifiant unique, le Distinguished Name (DN).

• Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son parent. C'est une définition récursive.

• On peut faire l'analogie avec une autre structure arborescente, les systèmes de fichiers ; le DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN d'une entrée représentant une personne est l'attribut cn (common name) :


DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN d'une entrée représentant une personne est l'attribut cn (common name) :

dc=com

dc=alphorm

ou=people ou=groupe

cn=ludo

• Le RDN est rdn:cn=ludo, son DN est dn: cn=ludo, ou=people, dc=alphorm,dc=com

Structure de l'annuaire• Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent

donc le DIT.

• dc est l’abréviation de domain component (composante du domaine).

• Dans notre exemple com est le top-level du domaine et alphorm est un sous domaine de com.

• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules dans la norme X500


• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules dans la norme X500

dc=alphorm, dc=com

Structure de l'annuaire• On trouvera donc un espace de nom de type :


• On trouve également ObjectClasss

Ce qu’on a couvert• Le modèle de nommage

• Le Directory Information Tree DIT

• Structure de l'annuaire


Le modèle de donnéesConcepts et architecture


Le modèle de données



Plan• Modèle de données

• Classes et attributs

• Les schémas


Modèle de données• Définit les informations stockées dans un annuaire et leurs représentations.

� Les informations ou données sont stockées sous forme hiérarchique.

� Dans un arbre appelé Directory Information Tree (DIT), chaque élément de cet arbre est une entrée Directory Entry Service (DES), ces dernieres sont regroupés par objet.

� Un objet représente une abstraction du monde réel :

• personnes, organisation, ressources, service


• personnes, organisation, ressources, service

• machines, configuration, équipement, …

� Une classe d’objet donne la description des objets en caractérisant des attributs

� On trouve un couple attributs –valeurs d'attributs, les attributs d'une entrée peuvent être obligatoires ou optionnels, multi-valeurs ou non.

� Toutes ces informations entrées sont constituées dans des schémas.

Classes et attributs• Les attributs sont caractérisés par :

� Un nom qui l'identifie

� Un Object Identifier (OID) qui l'identifie

� S'il est mono ou multi-valeurs

� Un indicateur d'usage (facultatif/obligatoire)


� Un indicateur d'usage (facultatif/obligatoire)

� Une syntaxe et des règles de comparaison

� Un format ou une limite de taille de valeur qui lui est associé

Classes et attributs

Nom Description

sn Nom de famille, dérive de l'attribut name

telephoneNumber Numéro de téléphone

member Membre d'un groupe.


attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family) SUP name )

attributetype ( 2.5.4.20 NAME 'telephoneNumber' DESC 'RFC2256: Telephone Number' EQUALITY telephoneNumberMatchSUBSTR telephoneNumberSubstringsMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )

( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn )MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )

Classes et attributs• L'object Identifier est issu de X.500, il est aussi unique :

� Un OID est une suite de nombres séparés par des points

OID Description

0 branche de l'International Télécommunication Union

1 branche ISO


2branche commune entre l'International TelecommunicationUnion et ISO

2.5 fait référence au service X500

2.5.4 définition des types d'attributs

2.5.6 définition des classes d'objets

1.3.6.1 the Internet OID

1.3.6.1.4.1 IANA-assigned company OIDs, used for private MIBs

1.3.6.1.4.1.4203 OpenLDAP

Classes et attributs• Toutes les entrées de l'annuaire appartiennent à une ou plusieurs classes d'objet

(héritage).

• Une classe d'objet possède un nom et un ensemble d’attributs. Ces attributs peuvent être obligatoires ou optionnels

• Les classes d'objets forment une hiérarchie avec au sommet l'objet top

• Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué


• Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valuéspécial appelé ObjectClass.

Classes et attributs• Une classe d'objet est caractérisée par :

� un nom de classe unique dans l'annuaire

� un identifiant de classe (OID) unique

� un ensemble d'attributs obligatoires généralement petit

� un ensemble d'attributs optionnels généralement plus grand


� un ensemble d'attributs optionnels généralement plus grand

� un type qui peut prendre les valeurs structural, auxiliary ou abstract..

Classes et attributs• Le type de la classe est lié à la nature des attributs :

� La classe structurelle correspond aux objets de bases manipulés dans l'annuaire (ex : les personnes)

� La classe auxiliaire définit des objets qui ajoute des informations aux classes structurelles

La classe abstraite correspond à des objets particuliers comme top ou alias


� La classe abstraite correspond à des objets particuliers comme top ou alias

( 2.5.6.0 NAME 'top' ABSTRACT MUST objectClass )

( 2.5.6.3 NAME 'locality' SUP top STRUCTURAL MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) )

( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn )MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )

Les Schémas• Les attributs, classe d’objet sont définis dans des schémas

� schéma nis, schéma samba, schéma core, schéma écrit par un utilisateur

� On peut créer ses propres schémas pour un besoin bien spécifiques, il faut donc récupérer des OID auprès de l’IANA

� Samba.schema, nis.schema, core.schema, monschema.schema, …


Samba.schema, nis.schema, core.schema, monschema.schema, …

Les schémasattributetype ( 1.3.6.1.4.1.7165.2.1.20 NAME 'sambaSID' DESC 'Security ID‘EQUALITY caseIgnoreIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{64} SINGLE-VALUE )

objectclass ( 1.3.6.1.4.1.7165.2.2.11 NAME 'sambaShare' SUP top STRUCTURAL DESC 'Samba Share Section'


DESC 'Samba Share Section' MUST ( sambaShareName ) MAY ( description ) )

Ce qu’on a couvert• Modèle de données

• Classes et attributs

• Les Schémas


Le modèle fonctionnel



Le modèle fonctionnel



Plan• Le modèle fonctionnel

• Les opérations d'authentification et de contrôle

• Les opérations de recherche

• Les opérations de modification


Le modèle fonctionnel• Décrit les opérations autorisées sur un annuaire LDAP.

• Similaires aux opérations de manipulation des fichiers sous UNIX

• Trois types d’opérations possibles :

� les opérations d'authentification et de contrôle

� les opérations recherches sur l'annuaire


� les opérations recherches sur l'annuaire

� les opérations de mise à jour définissant la façon de manipuler les entrées de l'annuaire, Ajout, suppression, modification

• Un numéro de séquence est attribué à chaque requête afin que le client puisse reconnaître les réponses, à chaque opération, le serveur renvoie également un acquittement.

Les opérations d'authentification et de contrôle• LDAP définit

� deux opérations d'authentification bind et unbind

� une opération de contrôle, l'opération abandon.


Les opérations d'authentification et de contrôle• L'opération Bind

� L'opération bind sert à authentifier le client.

� Le client fournit un DN et un password.

� Après vérification par le serveur, le client est autorisé à se connecter on non.

� L'authentification peut être sécurisée avec TLS, SASL,…

• Opération unbind


• Opération unbind

� Utilisée par le client pour se déconnecter du serveur.

� Le serveur termine toutes les opérations en cours, puis ferme la connexion.

• Opération abandon

� permet au client de demander au serveur l'arrêt du traitement d'une opération.

� Le client fournit l'ID du message de l'opération.

� Le serveur arrête l’opération correspondante

Les opérations d'interrogation• LDAP offre deux opérations d'interrogation

� L'opération de recherche

� L'opération de comparaison

• Opération de recherche (search)

� Elle offre une recherche multi-critères sur les entrées de l'annuaire


� Elle offre une recherche multi-critères sur les entrées de l'annuaire

� Elle simule la fonction de lecture (recherche limitée à une entrée)

• Opération de comparaison (compare)

� Vérifie qu'une entrée contient une valeur d'attributs donnée

Options de recherche• Les options des commandes search et compare

� base object : entrée à partir de laquelle doit commencer la recherche

� scope : la profondeur de la recherche

� size limit : nombre de réponses limites

� time limit : temps maxi alloué pour la recherche


� search filter : le filtre de recherche

� attrOnly : renvoie ou pas la valeur des attributs en plus de leur type

� list of attributes : la liste des attributs que l'on souhaite connaître

La profondeur des recherches• Profondeur de recherche peut prendre trois valeurs :

� Base : la recherche est limitée à l'entrée désignée

� Onelevel : la recherche est limitée aux enfants immédiats

� Subtree : la recherche est limitée à l'entrée et son sous-arbre


L'expression de recherche• L'expression de recherche est un ensemble de filtres.

• 6 types filtres

� Le filtre d'égalité : cn=Ludo

� Le filtre de contenance : cn=Lu*, sn=*que*, cn=Ha*

� Le filtre d'approximation : cn~=ludo)


� Le filtre d'approximation : cn~=ludo)

� Le filtre de comparaison : cn>ludo, <= , >= , <

� Le filtre de présence : cn=*

� Le filtre extensible match (LDAP v3)

Les opérations de modifications : Add• Ajout des entrées dans l'annuaire.

• Le DN de l'entrée et l'ensemble des valeurs des attributs de la nouvelle entrée.

• Conditions à respecter

� le parent de la nouvelle entrée doit déjà exister dans l'annuaire,

� il n'existe pas d'entrée portant le même nom,


� il n'existe pas d'entrée portant le même nom,

� le contrôle d'accès doit autoriser cette opération d'ajout.

Les opérations de modifications : Modify• mise à jour des valeurs d'une entrée

• les modifications peuvent être :

� des valeurs à ajouter

� des valeurs à supprimer

� des valeurs à remplacer



� l'entrée à effacer doit exister dans l'annuaire,

� elle ne doit pas avoir d'enfants

� le contrôle d'accès doit autoriser cette opération de modification

Les opérations de modifications : Delete• Suppression d'entrées de l'annuaire. Il suffit d'indiquer le DN de l'entrée.




� le contrôle d'accès doit autoriser cette opération de suppression


� le contrôle d'accès doit autoriser cette opération de suppression

Les opérations de modifications : Rename• Sert à renommer ou à déplacer une entrée

• Il faut indiquer le DN de l'entrée,

• Fournir le nouveau RDN ou DN

• Préciser si l'ancien RDN doit être effacé ou pas






� le contrôle d'accès autorise l'opération de renommage

Ce qu’on a couvert• Modèle fonctionnel

• Les opérations d'authentification et de contrôle

• Les opérations de recherche

• Les opérations de modification


Le modèle de sécuritéConcepts et architecture


Le modèle de sécurité



Plan• Le modèle de sécurité

• L'authentification du client

• Le contrôle d'accès


Le modèle de sécurité• Le modèle de sécurité assure la protection des accès non autorisés

• Couvre deux aspects :

� l'authentification du client

� le contrôle d'accès aux données.

• L'authentification du client peut être sécurisée


• L'authentification du client peut être sécurisée

L'authentification du client• LDAP propose plusieurs choix d'authentification

� Anonymous authentication : pas d'authentification

� Simple password : authentification avec mot de passe en clair

� Simple password over SSL : le client s'authentifie par un mot de passe transmis par SSL ou TLS. Ce choix est fait pour les annuaires nécessitant un niveau élevé de sécurité.

Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le


� Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le protocole SSL (usage d'un certificat).

� SASL –Simple Authentication and Security Layer – fournit l’encryptage des données, l’authentification et la signature des messages. (kerberos)

Le contrôle d'accès• Permet de restreindre les accès aux données pour le client authentifié

• Au travers de listes de contrôle d’accès ou ACL – Access Control List

• Permet de définir plusieurs niveaux de visibilité, d’écriture, de limite, de sécurité d'un annuaire


Le contrôle d'accès• Les ACL s'expriment avec des règles sous la forme :

� <target> <permission> <bind rule>

• target : point d'entrée de l'annuaire auquel s'applique la règle

• permission : permet ou refuse un type d'accès (read,write,search...)

• bind rule : identifie le bindDN utilisé en connexion


• bind rule : identifie le bindDN utilisé en connexion

Le contrôle d'accès• Les règles peuvent s'appliquer

� à tout ou partie de l'annuaire,

� à des entrées ou attributs spécifiques

• Exemple : une liste de diffusion autorisée à son seul propriétaire !

• Les permissions peuvent être appliquées


• Les permissions peuvent être appliquées

� aux utilisateurs, authentifié, anonymes

� aux groupes

Ce qu’on a couvert• Modèle de sécurité

• L'authentification du client

• contrôle d'accès


Le modèle de duplication



Le modèle de duplication



Plan• La réplication principe

• Le partitionnement avec les référents (referrals servers)


La réplication principe• La réplication consiste à recopier tout ou partie du contenu d'un annuaire sur un

autre serveur

• La duplication est utilisée pour :

� Mettre en œuvre une architecture d'annuaires hautement disponible

� Permettre l'équilibrage de charge entre serveurs


� Rapprocher les serveurs des utilisateurs

� Importer des portions d'annuaire

La réplication principe• Le service de réplication met en jeu plusieurs serveurs :

� les Provider servers qui exportent les données,

� les Consumer servers qui les importent

• La replication agreement précise

� quels serveur est le serveur Provider


� quels serveur est le serveur Provider

� quels sont ses consumers

� quelles sont les données échangées

La réplication principe• La réplication peut être totale ou incrémentale

• Plusieurs stratégies de réplication

� master réplication : un provider et des consumer en read-only, refreshOnly et refeshAndPersist

� multiple-master réplication, les consumers sont également Provider

En cascade (les consumer deviennent des suppliers pour d'autres serveurs)


� En cascade (les consumer deviennent des suppliers pour d'autres serveurs)

Le partitionnement• Le partitionnement consiste à séparer les branches de l'annuaire sur plusieurs serveurs

• Ce service est assuré par les referrals

� Les mécanismes qui permettent de créer des liens d’arbres entre eux s’appellent Les knowledgereferences

� Le point de branchement d'un arbre qui vient se raccrocher un autre DIT se nomme (immediatesuperior knowledge reference)

Un ObjectClass permet de créer des dn vers les autres serveurs


� Un ObjectClass permet de créer des dn vers les autres serveurs

� Si l’objet n’est pas dans son espace de nommage, les serveurs utilisent alors Les knowledgereferences

Ce qu’on a couvert• La réplication principe

• Le partitionnement avec les référents (referrals servers)


LDIF, format d'échange



LDIF, format d'échange de données



LDIF - LDAP Data Interchange Format• LDIF - LDAP Data Interchange Format

• La syntaxe

• Ajout d'une entrée

• Modification


LDIF - LDAP Data Interchange Format• Format standard d'échange de données entre les annuaires LDAP.

• Permet de décrire des objets dans l’annuaire

• Permet également de décrire la manipulation des objets dans LDAP

� Exporter/importer, ajout, suppression, modifications.


• C’est un fichier simple, format texte.

Le format• Le format

• Les enregistrements sont représentés comme un groupe de couples attributs-valeurs. Chaque enregistrement est séparé d'un autre par une ligne vide.

• Les attributs d'un enregistrement sont représentés sur une seule ligne logique par un couple "nom: valeur". Il est possible de représenter un attribut sur plusieurs lignes en faisant précéder les lignes supplémentaires par un espace.


plusieurs lignes en faisant précéder les lignes supplémentaires par un espace.

• Les données sont normalement encodées en ASCII, cependant s'il n'est pas possible de représenter le caractère en ASCII, il faut utiliser l'UTF-8 encodé en base64.

La syntaxedn: dc=alphorm, dc=comdc: alphormdescription: Serveur ldap alphormobjectClass: dcObjectobjectClass: organizationo: Serveur alphorm

dn: ou=people, dc= alphorm , dc= com


dn: ou=people, dc= alphorm , dc= comou: people objectClass: organizationalUnit

dn: cn=admin, ou=people, dc=alphorm, dc=comdescription: Administrateur LDAP objectClass: organizationalRolecn: admin

Ajoutdn: cn=Ludo Quenec,ou=people,dc=alphorm,dc=comobjectclass: inetOrgPersoncn: Ludo Queneccn: Ludovic Quenecsn: Quenecuid: lQuenecuserpassword: JN78,2/@rzpcarlicense : grosseVoiture


carlicense : grosseVoiturehomephone: 555-111-2223 mail: [email protected] mail: [email protected] m mail: [email protected] ou: Formation

Modificationdn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=comchangetype: modifyadd: telephonenumbertelephonenumber: 555-555-1212telephonenumber: 212-135-654

replace: uiduid : rjosmith


uid : rjosmithReplacemail: [email protected] mail: [email protected] –

add: jpegphotojpegphoto: < file://path/to/jpeg/file.jpg

delete: description

Modificationdn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=comchangetype: delete

dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=comchangetype: deletedelete: telephonenumber


telephonenumber: 555-555-1212

Ce qu’on a couvert• LDIF - LDAP Data Interchange Format

• La syntaxe

• Ajout d'une entrée

• Modification


Installation et configurationInstallation et configuration d'OpenLdap


Installation et configuration



Plan• Installation et configuration sur une Debian/Ubuntu

• Installation et configuration sur une Centos/RHEL


Installation• Compiler ?

� Ne pas bénéficier des updates, les versions proposées sont presque à jour

� Réparer un bug

• Trouver les paquets :

� Yum search openldap; apt-cache search openldap


� Yum search openldap; apt-cache search openldap

• Installer le paquets

� apt-get install slapd ldap-utils

� Yum install openldap-server openldap-client

Configuration d’Opendap• Plusieurs possibilités de configuration sont possibles avec Openldap 2.4

• Le mode OCL OnLineConfiguration au travers de ldif

• OU

• Créer un fichier slapd.conf comme on faisait avant la version 2.4

• Deux méthodes proposées :


• Deux méthodes proposées :

� Le mode ocl sur une ubuntu 14.04

� La génération d’un slapd.conf sur une centos

Configuration sur une Debian/Ubuntu• Utiliser l’outil de configuration dpkg

OU

• Utiliser ldif pour la configuration :

1. Créer un fichier ldif pour le backend

2. Modifier le mot de passe du manager ldap


2. Modifier le mot de passe du manager ldap

3. Ajouter le fichier ldif dans la base de données backend :

• ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif

4. Créer un fichier ldif pour le frontend :

• ldapadd -Y EXTERNAL -H ldapi:/// -f frontend.ldif

• ldapsearch -xLLL -b "dc=alphorm,dc=local" uid=ludo sn givenName cn

Configuration sur une Centos/RHEL• Après une installation minimale de Centos 6.5 :

1. Installer les outils Openldap serveur, client et Kerberos pour ldap

2. Créer un fichier slapd.conf

• Ajouter les schémas dans le fichier

3. Editer le fichier slapd.conf pour ajouter :


• Le suffix, le RootDN, le RootPW (généré avec slappasswd)

• L’emplacement de la base de données ldap et le type de BD

• Quelques acl et les fichiers de pid et d’arguments de slapd

Configuration sur une Centos/RHEL• Apres une installation minimale de Centos 6.5 :

1. On teste le fichier de conf et on génère les base données à partir du fichier slapd.conf

2. Vérifier notre nouvelle base cn=config avec slaptest

3. Mettre en place notre nouvelle config ocl

4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG


4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG

5. Mettre en place les options pour ldap dans sysconfig

6. Configuration de syslog pour ajouter openldap

7. On redemarre openldap et on le fichier client ldap

Configuration sur une Centos/RHEL

• On vérifie tout ca avec quelques commandes :

� Ldapwhoami -WD cn=admin,dc=alphorm,dc=local

� ldapsearch -xLLLWD cn=admin,dc=alphorm,dc=local -b cn=config dn


Ce qu’on a couvert• Installation et configuration sur une Debian/Ubuntu

• Installation et configuration sur une Centos/RHEL


Gestion des utilisateurs Utilisation du serveur


Gestion des utilisateurs et groupes



Plan• Création des branches utilisateurs et groupes

• Ajout des groupes

• Ajout de utilisateurs


Création des branches utilisateurs et groupes• Créer un fichier ldif et simplement ajouter les entrées dans la base

dn: dc=alphorm,dc=local dc: alphormobjectClass: top objectClass: domain

dn: ou=users,dc=alphorm,dc=local ou: Users objectClass: top


ou: Users objectClass: top objectClass: organizationalUnitdescription: utilsateurs Linux/Unix Posix

dn: ou=groups,dc=alphorm,dc=local ou: Groups objectClass: top objectClass: organizationalUnitdescription: groupes Linux/Unix Posix

ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/users_groups.ldif

Ajout de groupesdn: cn=admin, ou=groups, dc=local, dc=local cn: admin objectClass: top objectClass: posixGroupgidNumber: 1100 description: Groupe des administrateurs Linux

dn: cn=formateur, ou=groups, dc=local, dc=local cn: oinstall objectClass: top


cn: oinstall objectClass: top objectClass: posixGroup gidNumber: 500 description: Formateur Alphorm

dn: cn=boss, ou=groups, dc=local, dc=local cn: dba objectClass: top objectClass: posixGroup gidNumber: 501 description: Les boss d alphorm

ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/groups.ldif

Ajouter les utilisateursdn: cn=lquenec, ou=users, dc=alphorm, dc=local uid: lquenecgecos: Ludovic Quenec hduobjectClass: top objectClass: accountobjectClass: posixAccountobjectClass: shadowAccountuserPassword: {SSHA}RsAMqOI3647qg1gAZFfa shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999

dn: cn=hamid, ou=users, dc=alphorm, dc=local uid: hamidgecos: Hamid HarabazanobjectClass: top objectClass: accountobjectClass: posixAccountobjectClass: shadowAccountuserPassword: {SSHA}RsAMqOI3647qg1gAZF3x2BKBnshadowLastChange: 15140 shadowMin: 0 shadowMax: 99999


shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bashuidNumber: 1100 gidNumber: 1100 homeDirectory: /home/lquenec

shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bashuidNumber: 1101 gidNumber: 1101 homeDirectory: /home/hamid

ldapmodify -a -xWD cn=admin,dc=local,dc=local -f ~/ldif/users.ldif

Ajouter les utilisateurs• Positionnons des mots de passe pour les users :

ldappasswd -xZWD cn=admin,dc=alphorm,dc=local -S \cn=Hamid,ou=users,dc=alphorm,dc=local


Ce qu’on couvert• Création des branches utilisateurs et groupes

• Ajout des groupes

• Ajout de utilisateurs


Securité de l'annuaire

Configuration avance d'OpenLDAP





Plan• Menaces sur un annuaire LDAP

• Mecanisme de sécurité

• SSL/TLS, Cryptographie, Les certificats

• OpenSSL


Objectifs 390.2 Securité de l'annuaire• Les candidats doivent être en mesure de mettre en place un accès chiffré à

l'annuaire LDAP et de restreindre les accès au niveau du pare-feu

• Domaines de connaissance les plus importants :

� Sécurité de l'annuaire avec SSL et TLS.

� Considérations sur la protection par pare-feu.


� Méthodes d'accès sans authentification.

� Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe.

� Gestion d'une base de données utilisateur SASL.

� Certificats client / serveur.

Menaces sur un annuaire LDAP• Interceptions des communications et accès au serveur:

� accès non autorisé aux données et configuration

� Modification non autorisé des données et configuration

� Usurpation d’identités

� Détournement d’identités


• Dénis de service ::

� Utilisation en exces des ressources

� Refus d’acces au service

Mecanisme de sécurité

• L’operation Bind fournit une methodes simple :

� Anonymes

� Non authentifié

� Couple nom d’utilsateur/mots de passe

Methodes SASL et TLS


� Methodes SASL et TLS

Mecanisme de sécurité• Le liste de controle d’acces sur les données de l’annuaire

� Les ACLs

• Les service de limitations d’utilisation des ressources

� Configuration du serveur

Les mécanismes SSL/TLS et SASL


• Les mécanismes SSL/TLS et SASL

� L’authentification, l’integrité, la confidentialités

• Les mécanismes de filtrage de connexion

� Mise en place de regle de filtrage avec un pare-feu

L’opération Bind• Méthode d’authentification simple

• La méthode d’authentification simple de l’opération Bind donne trois mécanismes d’authentification :

� Un mécanisme d’authentification anonyme

� Un mécanisme d’authentification non authentifié


� Un mécanisme d’authentification non authentifié

� Un mécanisme d’authentification nom/mot de passe utilisant des accréditifs consistant en un nom (sous la forme d’un nom distinctif LDAP.

SSL/TLS• SSL/TLS : Secure Socket Layer/Transport layer Security

� Est une couche qui permet l’authentification, la confidentialité et l’integrité des données

� Peut etre appliqué a tout type de communication entre des parties

• SSL/TLS : Secure Socket Layer/Transport layer Security


• SSL/TLS : Secure Socket Layer/Transport layer Security

� SSL protocole mise au point par Netscape afin d’etablir des connexions chiffrés, integrité et authentifié

� Ajourd’hui SSL est en version 3.0

� TLS est une “mise a jour” de SSL , TLS actuellement V1.2

� Aujourd’hui on utilise TLS et non SSL !

Le protocole TLS• TLS utilise à la fois la cryptographie asymétrique pour l’authentification

et un chiffrement symétrique pour garantir la protection des données

• Symétrique ou clé privé:

� Une clé privé partagé entre les utilisateurs ou applications, les données sont chiffrés avec une meme clé (secrete), cette clés est transmise avec le messages

Asymétrique ou clé publique:


• Asymétrique ou clé publique:

� Deux clés, une dite publique et une privé

� Ces deux sont générés ensemble par un logiciel, la clé privé est conserver bien a l’abri, la clé publique est publié sans risque

� La clé publique sert a chiffrer le message et a clé privé le decrypte et inversement

� La clé publique est elle sur ? Les certificats

Certifacats X509• Un certificat est un “document” qui permet au travers d’une chaine de

confiance, de certifier le proprietaire de la clé publique

• Un certificat comprend une clé publique et des renseignements sur le proprietaire. Ce certificat signé avec la clé privé d’une autorité de cerification CA (Certification Authority)

• Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire


• Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire de la clé publique ou du serveur (certificat serveur)sur lequel je me connecte est bien la personne ou le serveur.

• Un certificat comprends :

� La version, une numéro de série unique, L’alogirithme de chiffrement, le CA, une période de validité, la personne ou la société identifié par ce derneir, la clé publique et la signature du CA

OpenSSL• OpenSSL est une boite a outils de chiffrement

• LibreSSL un “fork” d’openSSL afin de réparer la faille Heartbleed en 2014

• Voyons un peu comment mettretout cela en oeuvre ☺

� Test d’openSSL


� Test d’openSSL

� Mise en place de certificat auto-signé avec Openldap

• Generer une clé privé

• Faire une requete de certificat avec la cle prive

• signer le certificat (creer sa CA)

• Installer les certificats dans openldap et configurer le client ldap

Ce qu’on a couvert• Menaces sur un annuaire LDAP

• Mecanisme de sécurité

• SSL/TLS, Cryptographie, Les certificats

• OpenSSL








Plan• Le pare feu : Netfilter – iptables

• Le types de pare feu

� Routeur filtrant, filtre local

• Iptables



� Manipulation des chaînes











Le pare feu : Netfilter – iptables• Netfilter est la pare feu livré avec le noyaux Linux 2.4

• C’est un module noyau qui permet le filtrage de paquets

• Mais egalement de garder l’etat des connexions !!

• Il a recu le Certificat de Sécurité de Premier Niveau (CSPN) par l'Agence nationale de la sécurité des systèmes d'information


nationale de la sécurité des systèmes d'information

Iptables• Le programme iptables permet de manipuler les regles de filtrages du

noyau linux

• Il permet donc configurer un pare-feu

• Iptables manipule un liste de regles appelées CHAINES. 5 chaines

• Analyser les une a la suite des autres


• Analyser les une a la suite des autres

• Les chaînes se trouvent dans des TABLES, nat, filter et mangle

• Seul la table FILTER, nous interesse

Routage filtrant• La table FILTER contient 3 chaînes :

� INPUT : qui rentre dans le firewall processus locaux

� OUTPUT : qui sort du le firewall processus locaux

� FORWARD : qui traverse le firewall

• Chaque chaînes dispose de politiques :


• Chaque chaînes dispose de politiques :

� ACCEPT : les paquets sont acceptés

� DROP : Les paquets sont refusés sans notification

� REJECT : Les paquets sont refusés avec notification

� Ils est ainsi sur chaques chaînes d’interdire ou d’autoriser l’acces aux services

Manipulation des chaînes • Iptables sert donc a minupiler des regles, des chaines et des tables:

� Iptables –A INPUT –p icmp –s 127.0.0.1 –j DROP

� Iptables –A OUTPUT –p tcp –sport 389 –d 0/0 –j ACCEPT

� Iptables –A INPUT –p tcp –dport 389 –s 0/0 –j ACCEPT

� Iptables –N LOG_DROP


� Iptables –N LOG_DROP

� Iptables –A LOG_DROP –j LOG

� Ipatbles –F

� Iptables –P INPUT DROP

� Iptables –A INPUT -p udp -s 0/0 -d 192.168.0.150/24 --sport 53 –j ACCEPT

Ce qu’on a couvert• Le pare feu : Netfilter – iptables

• Le types de pare feu


• Iptables



� Manipulation des chaînes

Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.

SASL



SASL



Plan• SASL Simple Authentification Security Layer

• délégation d'autorisation












SASL Simple Authentification Security Layer• SASL Couche simple d’authentification et de sécurité est un framework

ou couche utilisé pour l’authentification qui offre la possibilités d’externaliser cette derniere , mais egalement de chiffrer les connexions

• Openldap offre la possibilites de “bind” avec sa propre base de compte.

• Qu’en est il dans un environnement hétérogene avec du Microsoft Windows ou du Kerberos, des serveurs web apache, du postfix, de


Windows ou du Kerberos, des serveurs web apache, du postfix, de l’exchange ou les bases de compte sont independantes ?

Authentification simples• Nous avons pu voir trois methodes d’authetifcation avec openldap :

• Anonyme

• Non authentifie : avec un compte sans mots de passe

• Authentifciation par DN et mot de passe


• Openldap offre la posssibilites de mieux gerer les mots de passe avec le ppolicy.

SASL Simple Authentication Security Layer� SASL est un framework normalise par l’iETF qui permet alors des

authentifications et la securisation via des mecanisme :


Mécanismes SASL• EXTERNAL : est externalise dans une autre base.

• ANONYMOUS, accès anonyme sans authentification.

• PLAIN, accès avec authentification par mot de passe transmis en clair.

• DIGEST-MD5, mécanisme basé sur MD5 et compatible HTTP (DIGEST-MD5 fournit une couche d’intégrité des données ; Digest-MD5 rend obsolète le mécanisme CRAM-MD5.)


mécanisme CRAM-MD5.)

• NTLM (NT LAN Manager ; Microsoft), mécanisme d’authentification pour réseau local NT . Par ailleurs, NTLM est le protocole d'authentification utilisé par les ordinateurs qui ne font pas partie d'un domaine.

• GSSAPI (Generic Security Services Application Programming Interface), pour l’authentification utilisant le protocole Kerberos 5.

SASL Simple Authentification Security Layer• SASL est donc un framework qui permet d’interfacer des bases

d’authentification avec des logiciels serveur.

• LDAP � SASL->AD

• NTLM<>SASL <> LDAP

• LDAP<>SASL<>KERBEROS


• LDAP<>SASL<>KERBEROS

• Regardons un peu comment cela fonctionne

� Installation de sasl

� Configuration

� Test d’autentification

délégation d'autorisation• Test de délégation d'autorisation en digest-md5


Ce qu’on a couvert• SASL Simple Authentification Security Layer

• délégation d'autorisation


Les ACL Openldap

Configuration avancé d'OpenLDAP


Les ACL Openldap

Site : http://www.alphorm.localBlog : http://www.alphorm.local/blogForum : http://www.alphorm.local/forum


Plan• Les listes de controles d’accès

� OU

� QUI

� QUOI

� Mise en place des access list



OU

0: dc=alphorm,dc=local1: cn=admin,dc=alphorm,dc=local2: ou=users, dc=alphorm,dc=local 3: cn=hamid,ou=users, dc=alphorm,dc=local4: cn=addresses, cn=hamid,ou=users, dc=alphorm,dc=local5: cn=vicky,ou=users, dc=alphorm,dc=local


dn.base="ou=users, dc=alphorm,dc=local" correspond a 2;dn.one="ou=users, dc=alphorm,dc=local" correspond a 3 et 5;dn.subtree="ou=users, dc=alphorm,dc=local " correspond a 2, 3, 4, et 5;dn.children="ou=users, dc=alphorm,dc=local " correspond a 3, 4, and 5.

QUI

*Tous le monde, inclus anonyme et

utilisateurs authentifie

anonymous Anonyme

users utilisateurs authentifie

self utilisateurs authentifie sur la cible


self utilisateurs authentifie sur la cible

dn[.<basic-style>]=<regex>Utlisateurs correspondant a une

expression reguliere

dn.<scope-style>=<DN>utilisateurs authentifie avec son « scope »

DN

QUOI

none =0 Pas access

auth =dxDemande d’authentification(bind)

search =scdx Recherche

read =rscdx Lecture


read =rscdx Lecture

write =wrscdx Ecriture

manage =mwrscdx Administratation

Quelques exemples• olcAccess: to * by * read : Lecture pour tous le monde sur tout ls DIT

• olcAccess: to dn.children="dc=alphorm,dc=local " by * search olcAccess: to dn.children="dc=local" by * read

• olcAccess: to attrs=userPawword by self write

• olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by


• olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by dn.children="dc=alphorm,dc=local" search by anonymous auth

Mise en place des access list• Avec ldapvi :

olcAccess: {0}to attrs=userPassword by dn.base=cn=admin,dc... Self write

olcAccess: {1}to dn.children="dc=alphorm,dc=local" by * search

olcAccess: {2}to dn.children=« dc=alphorm,dc=loca" by * read

• En ldif :

changetype: modify


changetype: modify

delete: olcAccess

olcAccess: to dn.children="dc=alphorm,dc=local" by * search

-

add: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * write

Ce qu’on a couvert• Les listes de controles d’accès

� OU

� QUI

� QUOI




Réplication Openldap



Réplication Openldap



Plan• La réplication sous OpenLDAP

� Réplication maître esclave

� Réplication multi-master

� Mise en place

� Test de la replication



Objectifs 390.1 Réplication avec OpenLDAP• Les candidats doivent bien connaître les différentes stratégies de

réplication serveur disponibles avec OpenLDAP.


� Concepts autour de la réplication.

� Configuration de la réplication avec OpenLDAP.


� Analyse des journaux de réplication.

� Compréhension des concentrateurs de réplication (replica hub).

� Referrals LDAP.

� LDAP sync replication.

La réplication sous OpenLDAP

• La réplication d’annuaire consiste à synchroniser plusieurs annuaires répartis sur le réseau.

• “slurpd”, était anciennement le démon de réplication sous openldap depuis les versions 2.4.X. OpenLDAP utilisent l’overlay (le module) “syncprov” pour la réplication


• Deux modes de réplication sont disponibles :

� le mode maître esclave (dans le protocole le maître est nommé “provider” et l’esclave “consumer”),

� le mode multi-master.

Réplication maître esclave

• Deux modes de configuration maitre esclave pour la réplication :

� le mode “refreshOnly” ou le consumer initie une connexion à intervalle régulier avec le provider.

� le mode “refreshAndPersist” ou le consumer initie une connexion avec le maître pour la première synchronisation, puis conserve la connexion ouverte Ce mode permet une synchronisation immédiate entre le provider et le


Ce mode permet une synchronisation immédiate entre le provider et le consumer

Réplication multi-maître

• Cette méthode est indentique au mode réplication maitre esclave.

• En revanche il n y a pas de notion de maitre esclave

• Le consumer et également le provider et le provider et également le consumer


Mise en place de la replication

• Tous d’abord nous devons disposer de deux annuaires ldap !

• Depuis la version 2.4 d’openldap la synchronisation est prise en charge par un module (overlay) syncprov

• Mise en place

• Sur le provider


• Sur le provider

� Déclaration du module dans syncpro dans la base

� Configuration du module sur le provider

� Création de l’utilisateur pour la réplication

• Sur le consumer

� Declaration du mode de replicationRefreshOnly ou RefreshAndPersist

Mise en place de la replication Provider• Sur le provider

� Déclaration du module dans syncpro dans la base

dn: cn=module{0},cn=configobjectClass: olcModuleListcn : module{ 0}


cn : module{ 0}olcModuleLoad: {0}back_bdbolcModuleLoad: {1}syncprovolcModulePath:/usr/lib64/openldap

Mise en place de la replication Provider� Configuration du module sur le provider

dn: olcOverlay={0}syncprov,olcDatabase={2}bdb,cn=con figobjectClass: olcOverlayConfigobjectClass: olcConfigobjectClass: topobjectClass : olcSyncProvConfig


objectClass : olcSyncProvConfigolcOverlay: {0}syncprovolcSpCheckpoint: 100 10olcSpSessionlog: 100

Mise en place de la replication Provider• Création de l’utilisateur pour la réplication

dn: cn=replicator,dc=alphorm,dc=localobjectClass: simpleSecurityObjectobjectClass: organizationalRolecn: replicatordescription : replicator


description : replicatoruserPassword: {SSHA}bFi6lbr/fxb49jV3NkHxIMboF4NBK3NY

Mise en place de la replication Consumer• Declaration du mode de replicationRefreshOnly

dn: olcDatabase={2}bdb,cn=configadd: olcSyncreplolcSyncrepl:{0}rid=123provider=ldap://master.alphorm.localtype=refreshOnlyinterval= 00: 00: 00: 10


interval= 00: 00: 00: 10searchbase="dc=alphorm,dc=local"retry="5 5 300 +"schemachecking=offattrs="*,+"bindmethod=simplebinddn="cn=replicator,dc=alphorm,dc=local"credentials=traxdem

Mise en place de la replication Consumer• Declaration du mode de replicationRefreshOnly ou RefreshAndPersist

dn: olcDatabase={2}bdb,cn=configadd: olcSyncreplolcSyncrepl:{0}rid=123provider=ldap://master.alphorm.localtype=refreshAndPersistinterval= 00: 00: 00: 10


interval= 00: 00: 00: 10searchbase="dc=alphorm,dc=local"retry="5 5 300 +"schemachecking=offattrs="*,+"bindmethod=simplebinddn="cn=replicator,dc=alphorm,dc=local"credentials=traxdem

Niveau de log slapd• Modification du niveau de log a chaud en ldif

dn: cn=configchangetype: modifyreplace: olcLogLevelolcLogLevel: sync


Test de la replication• Creation d’utlisateurs sur le provider

• Verification sur le consumer

• Voila ☺


Ce qu’on a couvert• La réplication sous OpenLDAP

� Réplication maître esclave

� Réplication multi-master

� Mise en place




Paramétrage des performances



Paramétrage des performances



Plan

•Les index


• Les candidats doivent être en mesure d'évaluer les performances d'un serveur LDAP et de le paramétrer.


� Compréhension des index.

390.3 Paramétrage des performances


� Mesure des performances du serveur OpenLDAP.

� Règlage de la configuration du serveur pour améliorer les performances.

Les index• A chaque requete Openldap, ouvre la base de données et scan toutes

les entrées de l’annuaire.

• Indexer des attributs permet donc d’ameliorer les requetes de recherches

• Plusieurs options pour indexer les attributs :


� pres : presence. Type de recherche attribut=*

� eq : equality. Type de recherche cn=ludo

� sub : substring. Type de recherche avec un jocker : uid=lud*

� approx : approximation. recherche de type uid~=Lu

Quelles attributs indexer• Dans les logs

#tail -f /var/log/slapd.log |grep indexed

<= bdb_equality_candidates: (objectClass) not indexed

<= bdb_substring_candidates: (uid) not indexed

• Ou sont les attributs indexés :


• Ou sont les attributs indexés :

� Dans olcDatabase={1}bdb

Accessible par : ldapsearch, ldapvi ou un grep olcDbIndex dans le olcDatabase={1}bdb.ldif

Ajouter et modifications des index• Avec OnLineConfiguration dans l’entré :

� olcDatabase={1}dbd,cn=config

dn: olcDatabase={1}bdb,cn=configadd: olcDbIndexolcDbIndex: uid eqolcDbIndex: cn eq,sub


olcDbIndex: cn eq,sub

dn: olcDatabase={1}bdb,cn=configchangetype: modifydelete: olcDbIndexolcDbIndex: uid eq-add: olcDbIndexolcDbIndex: uid eq,pres,sub

Indexer les attributs• A chaque modifications ou régulierement, on doit recalculer les index

#service slpad stop

#slapindex –b ‘dc=alphorm,dc=local’

#service slapd start


Ce qu’on a couvert

•Les index


OpenLDAP en tant que base d'authentification

Intégration de LDAP avec PAM



Intégration de LDAP avec PAM et NSS


Plan• PAM, NSS et NSLCD

• Installation

• Configuration des services pour ldap sur Ubuntu/Debian

• Configuration des services pour ldap sur CentOs/Redhat

• Testons tout cela ☺


• Testons tout cela ☺

Objectifs 391.1 : Intégration de LDAP avec PAM et NSS et SSSD

• Les candidats doivent être en mesure de configurer PAM et NSS pour qu'ils récupèrent les informations à partir d'un annuaire LDAP


� Configuration de PAM pour une authentification LDAP.

� Configuration de NSS pour récupérer les informations à partir de LDAP.


� Configuration des modules PAM dans les différents environnements Unix.

PAM, NSS et NSLCD• Le mécanisme NSS Name Service Switch assure l’aiguillage de l'accès à ces

attributs entre les fichiers locaux et les différents services réseau.

• PAM est un mécanisme qui permet d'intégrer différents modes d'authentification en les rendant transparents vis à vis de l'utilisateur et des logiciels qui accèdent aux ressources du système.

• PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants :


• PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants :

� account : fournit une vérification des types de service du compte utilisateur : utilisateur a-t-il le droit d'accéder au service demandé ? le mot de passe de l'utilisateur a expiré

� authentication : établit la correspondance entre l'utilisateur et celui pour lequel il prétend être, vous devrez entrer votre mot de passe (carte a puce, USB...)

� Password : est de mettre à jour les mécanismes d'authentification

� session :ce qui doit être fait en priorité pour un service donné, journalisation, montage du répertoire personnel

Nslcd et SSSD• Le service NSLCD Name Service Ldap Configuration Deamon est un

service pour la communication entre ldap et NSS, permet également le positionnement de filtre (interdiction de uid, gid)

• Depuis les versions 6 de Redhat, Centos. Le nss et pam-ldap est remplacé par SSSD System Security Services Daemon


Installation• Sur une nouvelle machine cliente Debian ou Centos

• Les paquets libnss-ldap libpam-ldap ou libnss-ldapd sous Debian….

� La procédure d’installation inclus la configuration des services

• Les paquets nss-pam-ldapd sous Centos


Configuration des services pour ldap sur Ubuntu/Debian

• Deux modes de configuration

1. Avec les outils auth-client-config et ldap-auth-config

• Avec la commande dpkg-reconfigure libnss-ldap libpam-ldap

2. Au travers de fichiers de configuration

• Ajouter de ldap dans /etc/nsswitch.conf


- passwd: compat ldap, group: compat ldap, shadow: compat ldap

• Ajouter la librairie pam_ldap dans /etc/pam.d/

- common-account, common-password, common-session

Les paquets nss-pam-ldapd pam_ldap sous Centos

• Comme pour Debian/Ubuntu deux modes de configuration

• Avec l’ outil authconfig-...

• Avec les fichiers de configurations a modifier

- /etc/openldap/ldap.conf

- /etc/nslcd.conf


- /etc/nsswitch.conf

- /etc/pam_ldap.conf

- /etc/pam.d/{system-auth-ac}

Testons tout cela ☺

• La commande getent permet de récupérer les utilisateurs et groupes a partir des bases de données précisé dans nss


Ce qu’on a couvert• PAM, NSS et NSLCD

• Installation

• Configuration des services pour ldap sur Ubuntu/Debian

• Configuration des services pour ldap sur CentOs/Redhat

• On a testé


• On a testé

Architecture et concepts

Fondamentaux sur Samba


Architecture et concepts de Samba



Plan• Les objectifs 392.1 : Architecture et concepts de Samba

• Le rôle des services et des composants de Samba

• Les ports TCP et UDP clés utilisés par SMB/CIFS, NetBios, ADS

• Samba 3 vs Samba 4


Les objectifs 392.1 : Architecture et concepts de Samba

• Etre en mesure de comprendre les concepts essentiels de Samba. De plus, les candidats doivent connaître les différences principales entre Samba3 et Samba4


� Compréhension du rôle des services et des composants de Samba.

� Compréhension des problèmes clés liés aux réseaux hétérogènes.


� Compréhension des problèmes clés liés aux réseaux hétérogènes.

� Connaissance des ports TCP et UDP clés utilisés par SMB/CIFS.

� Connaissance des différences entre Samba3 et Samba4.

Le rôle des services et des composants de Samba• Samba est une suite de logicielle développée depuis 1991 par un étudiant

Australien Andrew Tridgell qui avait besoin de monter des partages SMB sur sa machine Unix.

• Samba permet donc la communication entre les réseaux Microsoft LanManager(Windows NT) et les domaines Active Directory.

� Il peut être Contrôleur de domaine, Contrôleur de domaine secondaire, membre d’un domaine, serveur membre, serveur autonome…


domaine, serveur membre, serveur autonome…

� Permettre le partage d’arborescences de répertoires et d’imprimantes à la disposition de clients Linux, UNIX et Windows.

� Fournir la résolution du serveur de noms Windows Internet Name Service (WINS)

� Aider lors de la navigation du voisinage réseau (avec ou sans NetBIOS)

•

Le rôle des services et des composants de Samba

• Samba mets en œuvre plusieurs services et protocoles :

� NetBios sur TCP/IP, SMB/CFIS, les RPC

• NetBIOS over TCP/IP utilise les ports :

� 135 Service de localisation utilisé par les appels de procédure à distance. RPC

137 netbios-ns - NETBIOS Name Service


� 137 netbios-ns - NETBIOS Name Service

� 138 netbios-dgm - NETBIOS Datagram Service

� 139 netbios-ssn - Directory

Le rôle des services et des composants de Samba• Samba est composé de trois démons smbd, nmbd, winbind et deux services

smb et winbind :

• SMBD :

� Il fournit des services de partage de fichiers et d'impression aux clients Windows. Il estresponsable de l'authentification des utilisateurs, du verrouillage des ressources et dupartage des données par le biais du protocole SMB/CIFS. Prend en charge égalementle protocole SMB 3


le protocole SMB 3

� Le service écoute sur les ports :

� TCP 139 : TCP NetBIOS Session (TCP), Windows File and Printer Sharing

� TCP 445 : Microsoft-DS Active Directory, Windows shares

Le rôle des services et des composants de Samba• NMBD :

� Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur Windows. Parmi ces derniers figurent les clients Windows 95/98/ME, Windows NT, Windows 2000, Windows XP et LanManager.

� Ce démon joue également un rôle au niveau des protocoles de navigation qui constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows


constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows

� Le port par défaut sur lequel le serveur attend du trafic NMB est le port UDP 137 : NetBIOS name service

Le rôle des services et des composants de Samba• WINBIND:

� Le service winbind effectue la résolution entre les informations relatives aux utilisateurset aux groupes sur un serveur Windows NT et les rend utilisables par des plates-formesUNIX. Cette opération est possible grâce à l'utilisation d'appels RPC de Microsoft, dusystème PAM (Pluggable Authentication Module,) et du NSS (Name Service Switch).Ceci permet aux utilisateurs de domaines Windows NT d'apparaître comme desutilisateurs UNIX sur une machine UNIX.


� Le démon winbind est contrôlé par le service winbind et il n'est pas nécessaire que leservice smb soit lancé pour que le démon tourne. Étant donné que winbind est unservice côté client utilisé pour la connexion aux serveurs basés sur Windows NT.

Samba3 vs Samba4• Samba3 est une suite logicielle qui permet de s’interconnecter avec les réseaux

Lan Manager et également ADS.

• Samba3 permet de fournir les services :

� Contrôleur Primaire/secondaire d’un réseau NT

� Serveur membre d’un réseau NT et ADS


� Serveur autonome

� Ne permet pas d’être contrôleur de Domaine ADS

Samba3 vs Samba4• Samba4 est une suite de logicielle qui comprends un serveur ldap, kerberos,

DNS et RPC

• Il permet de fournir les services :

� Contrôleur de domaines AD

� Gestion et distributions des GPO


� Gestion et distributions des GPO

� SMB version 3

Ce qu’on a couvert• Les objectifs 392.1 : Architecture et concepts de Samba

• Le rôle des services et des composants de Samba

• Les ports TCP et UDP clés utilisés par SMB/CIFS

• Samba 3 vs Samba 4


Configuration de Samba



Configuration de Samba



Plan• Les objectifs 392.2 Configuration de Samba

• Les fichiers de samba /etc/samba, /var/lib/samba, …

• Smb.conf en détail

• Testparm, /var/lib/samba/secrets.tdb, ..


Les objectifs 392.2 Configuration de Samba • être en mesure de configurer les services Samba pour une large variété de

besoins


� Connaissance de la structure du fichier de configuration du serveur Samba.

� Connaissance des variables et des paramètres de configuration de Samba.


� Résolution de problèmes de configuration de Samba.

Les fichiers de samba

• Après l’installation de Samba (yum|apt-get install samba)

• Nous avons :

� /usr/sbin/ smbd (smbd -b) , nmbd, winbind

� /etc/samba/ fichier de configuration de Samba

/var/lib/samba/*.tdb Base de données Samba


� /var/lib/samba/*.tdb Base de données Samba

� /var/log/samba/log.* Logs de Samba

Smb.conf en détail• Samba se configure via un unique fichier smb.conf

� La section [global]

• Définit le comportant global du serveur PDC, BDC, StandAlone, ..

• L’authentification des utilisateurs, leurs profils, les scripts

• Le backend pour la base de données


� La section [MON_PARTAGE], [HOME]

• Définit les répertoires a partager avec leur options (valid users, …)

� La section [printers]

• Définit les paramètres d’impression

testparm• Une fois effectuée la configuration de samba. Nous pouvons vérifier avec l’outil

Testparm, la cohérence du fichier smb.conf

� Il indique le rôle du serveur, affiche les partages

� MAIS NE VERIFIE PAS LE BON FONCTIONNEMENT DU SERVEUR


/var/lib/samba• Ce répertoire contient la base de données SAMBA

� Le SID du domaine dans secrets.tdb et le compte d’admin ldap

� La stratégie des comptes NT : account_policy.tdb, l’horodotage des passwords, ..

� Les pilotes pour les printers : ntprinters.tdb

� Les ACL : share_info.tdb par defaut FULL CONTROL


Ce qu’on a couvert• Les objectifs 392.2 Configuration de Samba

� être en mesure de configurer les services Samba pour une large variété de besoins

• Les fichiers de samba /etc/samba, /var/lib/samba, …




• Testparm, /var/lib/samba/secrets.tdb, ..

Maintenance courante



Maintenance courante de Samba



Plan• Objectifs 392.3 Maintenance courante de Samba

• smbcontrol

• smbstatus

• tdbbackup


Objectifs 392.3 Maintenance de Samba• Les candidats doivent connaître les différents outils et services faisant

partie de l'installation de Samba.


� Suivi et interaction avec les services Samba en cours d'exécution.

� Sauvegardes courantes de la configuration et des données d'état de Samba.


� Sauvegardes courantes de la configuration et des données d'état de Samba.

smbcontrol• L’outil smbcontrol fait parti de la suite samba. Ce petit utilitaire permet de

discuter avec les démons smbd, nmbd, winbind

• On peut :

� Redémarrer les services

� Forcer une élection des master Browser


� Recharger des configuration

� Fermer des partages

� ….

smbstatus• L’outil smbstatus nous permet de visualiser les connections ouvertes sur les

serveurs

• On peut :

� Visualiser les fichiers «locker» (openoffice, MS Office)

� Visualiser les processus ouvert par les utilisateurs


� Visualiser les connexions

Les fichiers TDB pour samba• Samba utilise une base de données appelé Trivial Database (TDB) dans

laquelle Samba stocke les données. Ces fichiers sont utilisés pour stocker des informations qui sont vitales pour la configuration Samba.

• Ces fichiers se trouvent dans le répertoire /var/lib/samba

• L’ équipe Samba déconseille d’utiliser les fichiers tbb au dela de 250 utilisateurs.


utilisateurs.

L’outil tdbtool, tdbbackup, tdbdump, ….• L’outil tdbtool permet de manipuler les fichiers tdb

• Tdbbackup permet de sauvegarde ces fichiers

• Tdbrestore permet de restaurer un dump d’un backup


Ce qu’on a couvert• Objectifs 392.3 Maintenance courante de Samba

• smbcontrol

• smbstatus

• tdbbackup


Résolution des problèmes



Résolution des problèmes avec Samba



Plan• Objectifs 392.4 Résolution des problèmes avec Samba

• Configuration de la journalisation de Samba

• Les fichiers TDB pour samba

• L’outil tdbtool, tdbbackup, tdbdump, ….


Objectifs 392.4 Résolution des problèmes • Les candidats doivent comprendre la structure des fichiers triviaux de base de

données et savoir comment résoudre les problèmes liés


� Configuration de la journalisation de Samba.

� Sauvegarde des fichiers TDB.

Restauration des fichiers TDB.


� Restauration des fichiers TDB.

� Identification de la corruption d'un fichier TDB.

� Modifier ou afficher le contenu d'un fichier TDB.

Configuration de la journalisation de Samba• Nous avons parfois besoin d’aller vérifier le bon fonctionnement de samba ou

simplement trouver la raison d’un dysfonctionnement.

• Pour cela nous pouvons explorer les journaux

• Dans le répertoire /var/log/samba, nous trouvons les journaux de samba

• La configuration des logs s’effectue dans le fichier smb.conf


� log level = 0 auth:3 passdb:3 winbind:3

� Syslog = 0

� log file = /var/log/samba.log.%m

� max log size = 500

Configuration de la journalisation de Samba• Tdb : utilisation du format de DB ultra light de Samba (backend, et stockage d'info sur le serveur/domaine)

• Printdrivers : comme son nom l'indique

• Lanman : utilisation du protocole de même nom

• Smb : utilisation du protocole de même nom

• rpc_parse : toujours le mettre à 0 ! Ce sont les infos de debug généré lors du découpage des trames RPC reçues ou créées par Samba, c'est très inutile, et ca pourri les logs pour rien.

• rpc_srv : appels rpc côté serveur, rpc_cli : appels rpc côté client.


• rpc_srv : appels rpc côté serveur, rpc_cli : appels rpc côté client.

• Passdb : utilisation du backend de stockage de la base SAM.

• Sam : euh... c utilisé ca ?

• Auth : authentification. aussi bien sur le domaine ou des shares, bref, à chaque fois qu'un user doit s'identifier.

• Winbind : utilisation du logiciel du même nom.

• Vfs : tous les modules vfs.

• Idmap : utilisation de la table de mappage id. (utilisé souvent avec winbind).

Configuration de la journalisation• Une autre façon de « débuguer »

� Loguer par machine et par utilisateur , … :

• Création d’un fichier /usr/local/samba/lib/smb.conf.machine

log level = 0

log file = /usr/local/samba/var/log.%m


log file = /usr/local/samba/var/log.%m

include = /usr/local/samba/lib/smb.conf.%m

• Création d’un fichier /usr/local/samba/lib/smb.conf.ludo

log level = 0

log file = /usr/local/samba/var/log.%u

include = /usr/local/samba/lib/smb.conf.%u

Les fichiers TDB pour samba• Samba utilise une base de données appelée Trivial Database (TDB) dans

laquelle Samba stocke les données. Ces fichiers sont utilisés pour stocker des informations qui sont vitales pour la configuration Samba.

• Ces fichiers se trouvent dans le répertoire /var/lib/samba

• L’équipe Samba déconseille d’utiliser les fichiers tbd au delà de 250 utilisateurs.


utilisateurs.

L’outil tdbtool, tdbbackup, tdbdump, ….• L’outil tdbtool permet de manipuler les fichiers tdb

• Tdbbackup permet de sauvegarde ces fichiers

• Tdbrestore permet de restaurer un dump d’un backup


Ce qu’on a couvert• Objectifs 392.4 Résolution des problèmes avec Samba

• Configuration de la journalisation de Samba

• Les fichiers TDB pour samba

• L’outil tdbtool, tdbbackup, tdbdump, ….


Partages de fichiersConfiguration des partages Samba


Partages de fichiers



Plan• Objectifs 393.1 Partages de fichiers

• Mise en place et configuration de partages de fichiers.

• Paramètres de configuration des accès aux partages Samba.

• Limitation de l'accès à IPC$

• Smbcquotas, mise en place de quotas samba


• Smbcquotas, mise en place de quotas samba

• Elaboration d’une migration d’un serveur de partage

Objectifs 393.1 Partages de fichiers• être en mesure de mettre en place et de configurer des partages de

fichiers dans un environnement hétérogène


� Mise en place et configuration de partages de fichiers.

� Limitation de l'accès à IPC$.


� Limitation de l'accès à IPC$.

� Paramètres de configuration des accès aux partages Samba.

� Gestion des partages des utilisateurs et des groupes.

Partage simple d’un répertoire• Création d’une section :

• [PUBLIC]

� Le chemin linux du répertoire a partager :

path = /samba_share/public

� Un commentaire que l’on pourra voir dans l’explorateur Windows :

comment = Partage Public


comment = Partage Public

� Attribuer les droits Samba sur les partages :

Read only = no

� Autoriser les utilisateurs anomymes

guest ok= yes

� En ecriture

• Writable = yes

Paramètres de configuration des accès • Beaucoup d’option sont disponibles afin de gerer les droits et

permisssions sur les partages Samba :

� Valid users = admin, @sambausers

� Invalid users = root bin daemon adm sync shutdown, ….

� admin users = ludo


� admin users = ludo

� read list = @sambausers

� Write list = @sambaadmins, @sambausers

� Writeable = yes

Limitation de l'accès à IPC$• IPC$ ? C’est quoi ? Inter Process Commnucation

� Ce partage administratif permet :

• Toutes les demandes RPC

- Redémarrer un service par exemple

Associer deux processus distant


- Associer deux processus distant

- échange de commandes et informations

- La modification de la base SAM

- D’obtenir a liste des utilisateurs, la liste des partages

- Autorise les utilisateurs anonymes a liste les partages

Limitation de l'accès à IPC$

• Il est donc important de securiser cet ressources partages

• Pour ce faire dans smb.conf, créer un patage IPC$ :

� [IPC$]

� hosts allow = 192.168.10.0/24 127.0.0.1

hosts deny = 0.0.0.0/0


� hosts deny = 0.0.0.0/0

Smbcquotas, mise en place de quotas• On peut avec smbcquotas positionner des quotas utilisateur

• Smbcquotas s’appuie sur les quotas Linux, Il faut donc mettre en place les quotas linux

• Les quotas sur met en place un filesystem et non sur des répertoires

• Ajout : usrjquota=aquota.user,jqfmt=vfsv0 dans /etc/fstab


• Ajout : usrjquota=aquota.user,jqfmt=vfsv0 dans /etc/fstab

• Créer et activer sur le fs :

- quotacheck –cmuva, quotaon /samba_shares/

• Visualisation et ajout des quotas samba :

- smbcquotas -F //pdc_debian/samba_shares ,

- smbcquotas -S UQLIM:ludo:10000000/20000000 //pdc_debian/samba_shares

Elaboration d’une migration d’un serveur• Samba est destiné a remplacer des serveurs MS Windows NT ou ADS

• Mais également un Samba3 vers un Samba4

• Il va donc être nécessaire d’effectuer une migration

• Les commandes net rpc share, permettent a l’instar des utilisateurs et groupes avec net rpc vampire, de migrer des partages entre serveurs


• net rpc right list accounts –U root : récupère les droits des shares au besoin

• Il faut bien sur disposer d’un serveur samba pleinement fonctionnel et de migrer les utilisateurs/groupes. On récupère les mots de passe et les paramètres de sécurité

Elaboration d’une migration d’un serveur

• Scenario :

� net rcp share MIGRATES SHARES nom_partage –S serveur_source –destination=serveur_cible –U administrateur

� net rcp share MIGRATES SHARES nom_partage –S serveur_source –destination=serveur_cible --acls –-attrs –U administrateur

Une option permet dans smb.conf : force unknown acl user = yes , de


� Une option permet dans smb.conf : force unknown acl user = yes , de convertir le groupe propriétaire NT en utilisateur propriétaire Samba

� net rpc share migrate security -S serveur_source -U administrator

• Permet de copier uniquement les ACL du serveur source

Ce qu’on a couvert• Objectifs 393.1 Partages de fichiers

• Mise en place et configuration de partages de fichiers.

• Paramètres de configuration des accès aux partages Samba.

• Limitation de l'accès à IPC$


• Elaboration d’une migration d’un serveur de partage

Permissions sur le système de fichiers Linux et les partages

Configuration des partages Samba


Permissions sur le système de fichiers Linux et les partages



Plan• Grand retour sur les permissions de fichiers Linux

� Les différents mode des fichiers rwx

� Les acls

� Les attributs attr et xattr

• Les différentes options proposé par Samba pour manipuler les droits et


• Les différentes options proposé par Samba pour manipuler les droits et permissions.

� Create mask, force create mode, security mask, force security mode

• Le module VFS acl_xattr

Objectifs 393.2 Permissions sur le système de fichiers Linux et les partages

• Les candidats doivent comprendre la mise en œuvre des permissions sur un système de fichiers Linux dans un environnement hétérogène.


� Connaissance de la gestion des permissions sur les fichiers et les répertoires.

� Compréhension des interactions entre Samba et les permissions Linux ou les


� Compréhension des interactions entre Samba et les permissions Linux ou les LCA (listes de contrôle d'accès - ACL).

� Utilisation de Samba VFS pour stocker les LCA (ACL) Windows

Grand retour sur les permisssions de fichiers Linux

• Chaque fichier a un propriétaire et appartient a un groupe et a un seul et a un seul propriétaire

� -rw-r--r-- 1 root root 23 janv. 19 12:03 hostname

• Chaque fichier bénéficie de droits, définis en trois catégories

� Les droit du propriétaire, du groupe et des autres. Pour chaque


� Les droit du propriétaire, du groupe et des autres. Pour chaque on trouve trois attributs que sont

� La lecture, l'écriture et l'exécution

• IL y a deux notations :

� la notation symbolique R W X

� la notation octale 4 2 1, respectivement 4=Lecture, 2=Ecriture et 1=Exécution

Grand retour sur les permissions de fichiers Linux

• Les ACL ou Acces Control List

• Le droits classiques permettent d’octroyer des droits a un propriétaire, un groupe et les autres, mais pas a plusieurs groupes ou propriétaire !

• Les acls permettent d’offrir cette possibilité.

• Les commandes de manipulation des ACLs


• Les commandes de manipulation des ACLs

� Setfacl –m u:administrateur:rwx fichier ou répertoire

� Getfacl fichier

• Il existe des attributs que l’on peut positionner sur les fichiers et répertoires.

• Avec les commandes lsattr et chattr, on peut par exemple rendre un fichier non supprimable

� Chattr +i fichier

Grand retour sur les permissions de fichiers Linux


� Lsattr fichier

• Il existe la possibilité de positionner des attributs Étendus sur les fichiers et répertoires, avec les commandes setfattr et getfattr pour les acl par exemple (security.NTACL)

� setfattr -n user.comment -v « Ceci est un commentaire" fichier

� Getfattr fichier

Les différentes options proposé par Samba• Les fichiers etants situé sur un systeme Linux,les droits definis ne sont

pas outrepassé par Samba, un fichier en lecture (seul) ne peut par etre ecrire au travers de Samba

• En revanche Samba permet de definir des masques de droits lors de la creation des fichiers et repertoires


Create mask et force create mode• Lors de la creation d’un creation d’un fichier, les permissions sont

calcules en fonction du mappage Windows/Linux

• Avec l’option create mask par defaut a 744, les fichiers auront les permisssions RWX-R et R.

• Create mask = 644 donne donc lecture, ecriture et lecture et lecture


• force create mode permet de forcer certain bits a un afin qu’ils soient toujours positionnés.

• force create mode = 744. Lors de la creation du fichier, les droits rwx,r et r seront TOUJOURS positionnés

• Existe egalement pour les repertoires directory mask et force directory mode

security mask, force security mode

• Les utilsateurs peuvent modifier les permissions sur les fichiers

• Les options suivantes permettent de controler les permissions que les utilisateur peuvent modifier et permettent de forcer l’interdiction de changer les permissions sur les fichiers

• Security mask = 777 permet de modifier toutes les permissions


• Force security mode pemet de forcer certain bits a 1

• Force security mode = 644 le fichier conservera les droits 644 (rw,r,r)

• Existe egalement Directory security mask et force directory security mask

Le module VFS acl_xattr• Les utilsateurs peuvent attribuer des permissions supplementaire a des

utlisateurs du domaine, comme pour les acl Linux

• Le module VFS acl_xattr permet de coserver les permissions dans un attribut etendus security.NTACL et donc de positionner des acl linux sur les fichiers


Ce qu’on a couvert• Grand retour sur les permissions de fichiers Linux

� Les différents mode des fichiers rwx

� Les acls

� Les attributs attr et xattr

• Les différentes options proposé par Samba pour manipuler les droits et


• Les différentes options proposé par Samba pour manipuler les droits et permissions.

� Create mask, force create mode, security mask, force security mode

• Le module VFS acl_xattr

Gestion des comptes utilisateurs et des groupes

Gestion des utilisateurs et des groupes


Gestion des comptes utilisateurs et des groupes



Plan• Definition d’un utilisateurs MS Windows/Linux/Samba

• Ou se trouve les utilisateurs Samba ?

• Gérer les utilisateurs SAMBA

• Le “mapping” de groupes


Objectifs 394.1 Gestion des comptes utilisateurs et des groupes

• Les candidats doivent être en mesure de gérer les comptes utilisateurs et les groupes dans un environnement hétérogène..


� Gestion des comptes utilisateurs et des groupes.

� Compréhension de la mise en correspondance des utilisateurs et groupes Unix / Windows (user and group mapping).


� Compréhension de la mise en correspondance des utilisateurs et groupes Unix / Windows (user and group mapping).

� Connaissance des outils de gestion des comptes utilisateurs.

� Utilisation de la commande smbpasswd, pdbedit

Definition d’un utilisateurs MS Windows/Linux/Samba

• Un utilisateur MS Windows est defini par un UID et un une appartenance a un Domaine caracteriser par un SID

• Un groupe MS Windows est definis par son RID et une appartenance a un domaine caracterisé par un SID

• Ces derniers sont contenue dans une base de données appeles Base SAM ou au sein de l’acitve directory


SAM ou au sein de l’acitve directory

� Groupe Admins du Domaine = SID+RID

• Domain Admins S-1-5-21-3973431709-4253998799-1660147797-513

� Utilisateurs Ludo

• Ludo = S-1-5-21-3973431709-4253998799-1660147797-1002

Definition d’un utilisateurs MS Windows/Linux/Samba

• Un utilisateur Linux est defini par un UID et GID dans le fichier /etc/passwd et les mots de passe dans /etc/shadow

• Un groupe Linux/Unix est caracterisé par son GID dans le fichier /etc/group

• Utilisateur ludo = UID/GID + info (shell, home directory, ...)


• Groupe sambausers = GID

• Dans un environnement réseau hétérogene, les utilisateurs et groupe se trouvent généralement dans une base de compte centralisé (ldap, Active directory, ...)

Ou se trouve les utilisateurs Samba ?

• Suivant la configuration de Samba mis en place , on utilisera differents types de Backend :

� TDBSAM (sam locale)

� Serveur LDAP (maitre répliqué)

� Serveur Active Directory avec Winbind


� Serveur Active Directory avec Winbind

� Samba 4 avec LDAP interne ou externe associés Kerberos

Gérer les utilisateurs SAMBA• Afin de gérer les utilisateurs , plusieurs commande s’offre a nous,

suivant la configuration choisis :

• Avec TDBSAM :

� Smbpasswd : creations des users et gestions des mots de passe

� Pdbedit : creation et gestion des users : shell, profile, home drive, machine, ...


� Pdbedit : creation et gestion des users : shell, profile, home drive, machine, ...

• Avec Samba ADS:

� Samba-tool user, group, gpo : creation, suppression, mots de passe, gpo

� Pdbedit : gestion des users, gestion des groupes, gpo, ...

� Avec les outils MS Windows

Le “mapping” de groupes

• Sous Linux un groupe se caractérise par un GID sous MS Windows par un SID+RID

• Un groupe Linux ex : groupe samba-admins est un groupe comme un autre sous MS Windows. Sans permissions particuliére

• Un groupe MS Windows ex: Domain Admins a des droit particulier sous MS.


MS.

• Il faut donc lier ou mapper les groupes Linux et les groupes MS Windows pour faire correspondre des groupes MS Windows et Linux

• Pour cela la commande net groupmap nous permet de mapper des groupes Linux vers des groupes MS Windows

Ce qu’on a couvert• Definition d’un utilisateurs MS Windows/Linux/Samba

• Ou se trouve les utilisateurs Samba ?

• Gérer les utilisateurs SAMBA

• Le “mapping” de groupes


Résolution de nom Active

Service de nom Samba


Résolution de nom Active Directory



Plan• Le DNS Samba 4

• Samba-tool dns

• Pensez a resolv.conf !!

• Commande dig et Host


Objectifs 396.2 Résolution de nom Active Directory

• Les candidats doivent être familiarisés avec le serveur DNS de Samba4


� Compréhension et gestion du DNS avec Samba4 en tant que contrôleur de domaine AD.

� Transfert DNS avec le serveur DNS interne de Samba4.



Le DNS Samba 4

• A l’instar de Microsoft Windows Server

• Samba embarque son propre DNS

• Un connecteur Bind 9 est egalement disponible

• Lors de la creation d’un domaine de type AD Samba 4 cree son DNS


Samba-tool dns

• Avec les outils samba-tool

• Option dns

� zoneinfo

� Query

Add


� Add

� Delete

� .....

Commande dig et Host

• Dig

• Host


Ce qu’on a couvert• Le DNS Samba 4

• Samba-tool dns




Samba en tant que contrôleur de domaine

Samba et domaines Windows


Samba en tant que contrôleur de domaine



Plan• Samba en contrôleur de domaine PDC avec tdbsam


Objectifs 395.1 Samba en tant que contrôleur de domaine

• Les candidats doivent être en mesure de mettre en place et de gérer des contrôleurs de domaines principaux et secondaires. Les candidats doivent être en mesure de gérer l'accès des clients Windows et Linux aux domaines de type NT.


� Mise en place et gestion d'un contrôleur de domaine principal avec Samba3 et Samba4.



� Mise en place et gestion d'un contrôleur de domaine secondaire avec Samba3 et Samba4.

� Ajout d'ordinateurs à un domaine existant.

� Configuration des scripts de connexion.

� Configuration des profils itinérants.

� Configuration des politiques système.

Samba en contrôleur de domaine

• Samba peut s’utiliser en tant que PDC ou BDC dans un domaine NTLM au même titre que dans un domaine de type AD

• Samba ne peut pas etre PDC avec un serveur NT BDC

• Samba ne peut pas etre BDC avec un serveur NT PDC

• Les contraintes d’un PDC Samba avec un BDC Samba :



� Pas de replication de tdsam

� Obligation d’utiliser une base ldap

Samba en contrôleur de domaine PDC avec tdbsam

• Configuration du fichier de configuration

• Security

� Positionné a user, offre le logins des utilisateurs

• Domain logons


• Positionné a YES Samba peut accepter les « logins » utilisateurs

• Domain master

� Positionné a YES samba devient PDC

• Local master (browser)

� Positionné a YES Samba devient un maitre explorateur local

Les options• OS level

� Niveau d’os du maitre

• Preferred master

� Maitre d’exploration preferé


Ajout de machine dans le domaine• Pour les machines sous MS Windows 7, il faut modifier des clés de

registre.

• Dans

� HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]


� "DNSNameResolutionRequired"=dword:00000000"DomainCompatibilityMode"=dword:00000001

Ce qu’on a couvert• Samba en contrôleur de domaine PDC avec tdbsam

• Ajout de machine Windows 7 dans le domaine


Samba en tant que contrôleur de domaine (ldap)



Samba en tant que contrôleur de domaine (ldap)



Plan• Samba en contrôleur de domaine PDC avec base ldap

� Configuration de samba en PDC

� Configuration de smb.conf pour utilser le backend ldap

� Configuration des smbldap-tools

Configuration de nsswitch, pam


� Configuration de nsswitch, pam

� Ajout de la machine cliente dans le domaine





















Configuration de samba en PDC avec ldap


• Security


• Domain logons



• Domain master

� Positionné a YES samba devient PDC







• Prefered master

� Maitre d’exploration preferé


Installation de la base ldap• Configuration du serveur Openldap

� Ajout du schema samba.schema avec un slapd.conf

� slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/


Configuration de smb.conf pour utilser la base ldap

#Configuration du Backend ldap

passwd program = /usr/sbin/smbldap-passwd ?u %u

ldap passwd sync = Yes

passdb backend = ldapsam:ldap://127.0.0.1/

ldap admin dn = cn=admin,dc=alphorm,dc=local

ldap suffix = dc=alphorm,dc=local

ldap group suffix = ou=Groups

ldap user suffix = ou=Users

ldap machine suffix = ou=Machines


#Scripts pour samba pour créer les utilisateurs, les groupes, etc.add user script = /usr/sbin/smbldap-useradd -m "%u"

ldap delete dn = Yes

delete user script = /usr/sbin/smbldap-userdel "%u"

add machine script = /usr/sbin/smbldap-useradd -w "%u"

add group script = /usr/sbin/smbldap-groupadd -p "%g"

delete group script = /usr/sbin/smbldap-groupdel "%g"

add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"

delete user from group script = /usr/sbin/smbldap-groupmod -x "%u"

"%g"

set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

• Installation des smbldap-tools

• Configuration de smbldap-tools

� /etc/smbldap-tools/smbldap_bind.conf

� /etc/smbldap-tools/smbldap.conf

Executions du script smbldap-populate

Configuration des smbldap-toos


� Executions du script smbldap-populate

� Test avec smbldap-tools user, group, ....

Configuration de nsswitch et pam• Installation et configuration de nns ldap et pam ldap

� apt-get install libnss-ldap libpam-ldap


Ajout de machine dans le domaine• Pour les machines sous MS Windows 7, il faut modifier des clés de

registre.

• Dans

� HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]


� "DNSNameResolutionRequired"=dword:00000000"DomainCompatibilityMode"=dword:00000001

Ce qu’on a couvert• Samba en contrôleur de domaine PDC avec base ldap

� Configuration de samba en PDC

� Configuration du Backend ldap

� Configuration des smbldap-tools

� Configuration de nsswitch, et pam


� Configuration de nsswitch, et pam

� Ajout de la machine cliente dans le domaine

Samba en tant que contrôleur de domaine secondaire



Samba en tant que contrôleur de domaine secondaire



Plan• Samba en contrôleur de domaine BDC avec tdbsam

• Samba en contrôleur de domaine BDC avec Openldap






















Samba en contrôleur de domaine BDC avec tdbsam


• Security


• Domain logons



• Domain master

� Positionné a NO samba devient BDC



Samba en contrôleur de domaine BDC avec tdbsam

• OS level





• Security


• Domain logons



• Domain master

� Positionné a NO samba devient BDC






Installation de la base ldap• Configuration du serveur Openldap

� Ajout du schema samba.schema avec un slapd.conf

� slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/


Configuration de smb.conf pour utilser la base ldap

#Configuration du Backend ldap

passwd program = /usr/sbin/smbldap-passwd ?u %u

ldap passwd sync = Yes

passdb backend = ldapsam:ldap://samba-pdc/

ldap admin dn = cn=admin,dc=alphorm,dc=local

ldap suffix = dc=alphorm,dc=local

ldap group suffix = ou=Groups

ldap user suffix = ou=Users

ldap machine suffix = ou=Machines


#Scripts pour samba pour créer les utilisateurs, les groupes, etc.add user script = /usr/sbin/smbldap-useradd -m "%u"

ldap delete dn = Yes

delete user script = /usr/sbin/smbldap-userdel "%u"

add machine script = /usr/sbin/smbldap-useradd -w "%u"

add group script = /usr/sbin/smbldap-groupadd -p "%g"

delete group script = /usr/sbin/smbldap-groupdel "%g"

add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"

delete user from group script = /usr/sbin/smbldap-groupmod -x "%u"

"%g"

set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

• Installation des smbldap-tools

• Configuration de smbldap-tools

� /etc/smbldap-tools/smbldap_bind.conf

� /etc/smbldap-tools/smbldap.conf

Executions du script smbldap-populate

Configuration des smbldap-toos


� Executions du script smbldap-populate

� Test avec smbldap-tools user, group, ....

Configuration de nsswitch et pam• Installation et configuration de nns ldap et pam ldap

� apt-get install libnss-ldap libpam-ldap


Ajout de machine dans le domaine• Test d’ ouverture de session et creation des repertoires sur le BDC


Ce qu’on a couvert• Samba en contrôleur de domaine BDC avec tdbsam

• Samba en contrôleur de domaine BDC avec Openldap


Contrôleur de domaine AD



Contrôleur de domaine AD



Plan• Mise en place d’un contrôleur de domaine ADS

• Configuration DNS server

• Configuration de Kerberos

• Configuration de NTPD


• Test du serveur

• Quelques commandes samba-tools

• RSAT – Remote Server Administration Tools

Objectifs 395.2 Contrôleur de domaine compatible AD

• Les candidats doivent être en mesure de configurer Samba 4 pour faire office contrôleur de domaine compatible AD (Active Directory).


� Configuration et test de Samba 4 comme contrôleur de domaine AD.

� Utilisation de smbclient pour vérifier le fonctionnement de l'active directory.


� Utilisation de smbclient pour vérifier le fonctionnement de l'active directory.

� Compréhension de l'intégration de Samba avec les services AD : DNS, Kerberos, NTP et LDAP.

Mise en place d’un contrôleur de domaine ADS

• Chaque serveur hébergeant l'Active Directory est appelé un contrôleur de domaine ou DC

• Chaque contrôleur de domaine est un contrôleur de domaine maître, il n'y a donc plus de notion de contrôleur de domaine secondaire. Toutefois il peut y avoir plusieurs contrôleur de domaine et des contrôleur en lecture seul.


contrôleur en lecture seul.

• Pour un DC compatible AD, on va devoir configurer :

� le nom de domaine

� Le Royaume Kerberos

� Le serveur DNS interne ou externe

Mise en place d’un contrôleur de domaine ADS

• Les commandes samba-tools permette la mise en place d’un contrôleur de domaine Samba 4.

• #samba-tools domain provision --interactive

• Ajout d’un nouveau contrôleur de domaine Samba 4.

� #samba-tool domain join alphorm.local DC –[email protected]


� #samba-tool domain join alphorm.local DC –[email protected] –realm=ALPHORM.LOCAL

• Promotion d’ un serveur membre ou serveur Samba3 en DC AD

� #samba-tool domain dcpromo alphorm.local DC -U administrator

Configuration DNS server• Un serveur DNS fonctionnel est indispenable a l’Active Directory

• Sans ce dernier le Kerberos ne fonctionnera pas par exemple

• Pendant la configuration du DC, un serveur DNS interne a été installé, pour le configurer� #vi /etc/resolv.conf


� #vi /etc/resolv.conf

domain alphorm.local

nameserver “notre serveur AD”

• Test du serveur

#host -t SRV _ldap._tcp.alphorm.local

#host -t SRV _kerberos.slphorm.local

#host -t A samba.alphorm.local

Configuration de Kerberos• Installation d’un client kerberos

� #apt-get install krb5-user

• Configuration du fichier kerberos dans /etc/krb5.conf

� #ln –sf /var/lib/samba/private/krb5.conf /etc/krb5.conf

Test du serveur avec kinit et klist


• Test du serveur avec kinit et klist

� #kinit [email protected]

� #klist

Configuration de NTP• Installation du paquet ntpd

• Configurer le fichier ntpd.conf


Test du serveur

• Commande smbclient

• Ajout des utilisateurs

� #samba-tool user add –f “Hamid Harabazan” hamid

� #samba-tool group addmembers “Domain Admins”


� #samba-tool group addmembers “Domain Admins” hamid

Test du serveur• Ajout d’une machine dans le domaine AD

� #netdom /domain:alphorm.local /user:administrateur /password:Pa$$w0rd MEMBER CLIENT-WIN7 /joindomain

� Ou via l’ interface graphique (fonctionne aussi)


Quelques commandes samba-tools• Démonstration


Ce qu’on a couvert• Mise en place d’un contrôleur de domaine ADS

• Configuration DNS server

• Configuration de Kerberos

• Configuration de NTPD


• Test du serveur

• Quelques commandes samba-tool

Configuration de Samba en tant que serveur membre



Configuration de Samba en tant que serveur membre



Plan• Joindre un domaine LanManager avec samba 3

• Joindre un domaine AD avec samba 4 Membre

• Joindre un domaine AD avec samba4 Domain Controleur


Objectifs 395.2 3 Samba en tant que serveur membre

• Les candidats doivent être en mesure d'intégrer des serveurs Linux à un environnement utilisant Active Directory


� Enregistrement de Samba sur un domaine NT4 existant.

� Enregistrement de Samba sur un domaine AD existant.


� Enregistrement de Samba sur un domaine AD existant.

� Capacité à obtenir un TGT (Ticker Granting Ticket) à partir d'un KDC (Key Distribution Center).

Joindre un domaine LanManager avec samba 3.6

• Installer winbind, libnss-winbind et libpam-winbind

• Configurer smb.conf comme membre du domainesecurity = domain

idmap config * : range = 10000-20000idmap config * : backend = tdb


• Configurer nsswitch et joindre le serveur membre au domaine

winbind separator = \winbind cache time = 10template shell = /bin/falsetemplate homedir = /home/%Uwinbind enum users = yeswinbind enum groups = yeswinbind use default domain = truewinbind offline logon = false

Joindre un domaine AD avec samba4• Supprimer le fichier smb.conf

• Configurer la resolution de noms

• Installer kerberos clients et prendre un ticket

� Yum install krb5-workstation ou apt-get install krb5-users


• Joindre la machine au domaine

� Samba-tool domain join alphorm.local MEMBER –Uadministrateur realm=....

Joindre un domaine AD avec samba4 DC• Supprimer le fichier smb.conf

• Configurer la resolution de noms

• Installer kerberos clients et prendre un ticket

� Yum install krb5-workstation ou apt-get install krb5-users


• Joindre la machine au domaine

� Samba-tool domain join alphorm.local DC –Uadministrateur realm=....

� Samba-tool drs showrepl

Ce qu’on a couvert• Joindre un domaine LanManager avec samba

• Joindre un domaine AD avec samba 4


Profils, scripts



Profils, scripts



Plan• Configuration des scripts de connexion.

• Configuration des profils itinérants.













Configuration des scripts de connexion.

• Le service Netlogon permet de faire executer des scripts de connexion sur les machines clientes du domaine.

• Dans smb.conf

� Logon script = %U.cmd Par nom d’utilisateur

� Logon script = %m.cmd Par machine


� Logon script = %m.cmd Par machine

� Le partage Netlogon

• [NETLOGON]

Configuration des profils itinérants.• Deux types de profiles

� Local

� Itinérant (roaming)

• Deux types de profiles depuis Windows 7

profile


� profile

� Profile.v2

Configuration des profils itinérants.• Dans smb.conf

Logon path = \\%L\profiles\%U

[profile]path = /samba-shares/profilesbrowseable = Nowriteable = Yes


writeable = Yesprofile acls = yescreate mask = 0777directory mask = 0777[profile.V2]copy = profile

Ce qu’on a couvert• Configuration des scripts de connexion.

• Configuration des profils itinérants.


NetBIOS et WINS



NetBIOS et WINS



Plan

•NetBios

•NetBIOS, la notion de voisinage réseau

•Maître Explorateur : Domaine, local


•Wins

•Types de noeuds

•Samba en serveur WiNS

• Les candidats doivent être familiarisés avec les concepts concernant NetBIOS/WINS et comprendre l'exploration du réseau.


� Compréhension des concepts liés à WINS, de Samba en tant que serveur

Objectifs : 396.1 NetBIOS et WINS


� Compréhension des concepts liés à WINS, de Samba en tant que serveur WINS, réplication WINS

� Compréhension des concepts liés à NetBIOS, noms NetBIOS, élections de navigateur

� Compréhension du rôle d'un serveur de navigation maître local, maître pour le domaine.

NetBios• NetBIOS (Basic Input/Output system) a été mis au point pour IBM en 1983 par

Syteck Corporation

• NetBIOS n'est pas un protocole en soi. C'est une interface logicielle, et un mode de nommage.

• Sans NetBIOS, pas de partage de fichiers et d'imprimantes, pas de Samba

• Le voisinage réseau


• Le voisinage réseau

• Le nommmage :

� des machines, station de travail

� Des Groupes de travail, des domaines

� Identification des contrôleurs de domaine

NetBIOS, la notion de voisinage réseau• Dans les réseaux Microsoft, afin d’identifier les ressources, on utilise

NetBios

• Un Nom Netbios est le nom attribué aux ordinateurs

• Il y a donc résolution Non Netbios mappage adresse IP

• La résolution des noms se fait par diffusion


• La résolution des noms se fait par diffusion

• Les nom Netbios utilise maximum 15 caractères + un seizième

� Netbios name = pdc-alphorm

• Le seizième est un caractères caché

� Un hexa qui caractérise le nom NetBIOS <00>, <20>, <1D>, <1E>, ...

NetBIOS, la notion de voisinage réseau

• Nmblookup ou nbstat

PDC-SAMBA <00> - B <ACTIVE>PDC-SAMBA <03> - B <ACTIVE>PDC-SAMBA <20> - B <ACTIVE>ALPHORM <1c> - B <ACTIVE>ALPHORM <1e> - <GROUP> B <ACTIVE>ALPHORM <00> - <GROUP> B <ACTIVE>


ALPHORM <00> - <GROUP> B <ACTIVE>

MASTER <00> - B <ACTIVE>MASTER <03> - B <ACTIVE>MASTER <20> - B <ACTIVE>ALPHORM <1e> - <GROUP> B <ACTIVE>ALPHORM <00> - <GROUP> B <ACTIVE>

NetBIOS, la notion de voisinage réseau• Netbios est un “protocole” de Niveau 4 qui utilise les port :

� 137

� 138

� 139

• Pour communiquer les machines diffusent (broadcast) dans le meme


• Pour communiquer les machines diffusent (broadcast) dans le meme domaine IP ! Les diffusions ne passe les routeurs.

• Le Domaine de diffusion est donc le voisinage réseau. Le voisinage réseau, c'est donc l'ensemble des machines NetBIOS dans un même réseau IP.

Maître Explorateur : Domaine, local• Le service Explorateur réseau est le service qui rassemble les ressources

disponibles.

• C’est une série de liste distribuées aux machines dans le réseau

• Les liste sont affectées a des EXPLORATEURS qui maintiennent les liste des ressources a jour et diminue le trafic réseau


• Toutes les 10 ou 15 minutes, les listes sont renouvellées

• Il y a donc un Maître d’exploration réseau dans son domain ou groupe de travail

• Des explorateur de secours qui conserve une copie de la liste du maître

• D’ou une élection des explorateurs reseaux

Maître Explorateur : Domaine, local• Le Maître Explorateur du domaine de sécurité, plus du domaine IP

• Un domaine de sécurité peut etre sur plusieurs réseaux IP, donc derrière un routeur.

• Le Maître Explorateur du domaine est un Contrôleur Principal de Domaine.


• Il fusionne les liste d’exploration local et les difusse a chaque maitre explorateur local du domaine IP.

• On utilse alors les Serveur WINS

Maître Explorateur : Domaine, local


Le Wins – Windows Internet Name Service

• Le service Wins mappent dynamiquement les adresse IP aux noms netbios

• On demande aux machines de s’inscirer sur le serveur Wins

• WINS améliore le mécanisme de collecte des noms de domaine ou de groupe de travail.


• Les maitres explorateur du domaine dispose de la liste de tous les machines de TOUS les domaines.

Types de noeuds• Dans quel ordre utiliser les ressources ?

� Diffusion Broadast

� Wins

� Lmhost

• IL ya des type de noeuds


• IL ya des type de noeuds

� B node : Broadcast - la résolution de nom se fait uniquement par diffusion

� P node : Point à Point - la résolution de nom se fait uniquement avec le serveur WINS

� H node: Hybride - la résolution se fait d'abord avec WINS, puis par diffusion, si WINS n'a pas donné de réponse.

� M node: Mixte - la résolution de nom se fait d'abord par diffusion, puis avec WINS.

Samba en serveur WiNS• Les options de smb.conf

� wins support = yes

� wins server = 192.168.0.120

� wins proxy = yes

• Ou sont les listes ?


• Ou sont les listes ?

� Fichier wins.dat

Ce qu’on a couvert

•NetBios

•NetBIOS, la notion de voisinage réseau

•Maître Explorateur : Domaine, local


•Wins

•Types de noeuds

•Samba en serveur WiNS

Résolution de nom Active



Résolution de nom Active Directory



Plan• Le DNS Samba 4

• Samba-tool dns




Objectifs 396.2 Résolution de nom Active Directory

• Les candidats doivent être familiarisés avec le serveur DNS de Samba4


� Compréhension et gestion du DNS avec Samba4 en tant que contrôleur de domaine AD.




Le DNS Samba 4

• A l’instar de Microsoft Windows Server

• Samba embarque son propre DNS

• Un connecteur Bind 9 est egalement disponible

• Lors de la creation d’un domaine de type AD Samba 4 cree son DNS


Samba-tool dns

• Avec les outils samba-tool

• Option dns

� zoneinfo

� Query

Add


� Add

� Delete

� .....

Commande dig et Host

• Dig

• Host


Ce qu’on a couvert• Le DNS Samba 4

• Samba-tool dns




Intégration CIFS

Travail avec les clients Linux et Windows


Intégration CIFS



Plan• SMB/CIFS

• Le montage de partages CIFS distants à partir d'un poste Linux

• Les commandes samba : smbtree, smbclient, ...


Objectifs 397.1 Intégration CIFS

• Les candidats doivent être à l'aise dans un environnement CIFS hétérogène


� Compréhension des concepts liés à SMB/CIFS.

� Accès et montage de partages CIFS distants à partir d'un poste Linux.

Stockage sécurisé des informations d'authentification CIFS.


� Stockage sécurisé des informations d'authentification CIFS.

� Compréhension des fonctionnalités et avantages de CIFS.

� Compréhension des permissions d'accès et propriétés (utilisateur / groupe) des fichiers sur les partages CIFS distants.

SMB/CIFS

• SMB Server Message Block est un protcole client/serveur de partage de ressources

• Initialement développer par IBM

• Microsoft modifie le protole pour utiliser avec les réseaux Lan Manager

• Microsoft renomme SMB en CIFS est l’ameliore considérablement


• Microsoft renomme SMB en CIFS est l’ameliore considérablement

� Support direct sur TCP port 445

� Lien symbolic

� Support de fichier de grande taille

� Netbios n’est plus necessaire pour utliser SMB

� netBios sur TCP ,port UDP 137, 138 et TPC 137, 139

SMB/CIFS• CIFS est donc une version SMB V1 amélioré

• MS Windows XP et Samba utlise CIFS

• A partir de MS windows Vista/2008, Microsoft a développé la version 2 de SMB. Samba 2.1 est introduit avec Ms Windows 7/2008R2

• Samba 3.6 a un support basique de SMB2


• Samba 3.6 a un support basique de SMB2

• Windows 8/2012 utilise SMB version 3

• Samba 4 a un support de SMB 2.1 et SMB 3 mais pas toutes les fonctionnalitées

• Windows 8.1/2012R2 utilise SMB version 3.02

CIFS-UTILS

• Le paquet cifs-utils est une suite d’outils qui permet :

� Mount.cifs : outil pour monter des partages SMB/CIFS

� Cifscred : permet de créer un porte clé pour monter des partages en multiuser

� Cifs.idmap : permet de mapper UID/GID pour cifs


Cifs.idmap : permet de mapper UID/GID pour cifs

� Getcifsacl/setcifsacl

Permissions d'accès et propriétés CIFS

• Monter un systeme de fichier cifs

#mount //serveur/partage /repertoire –o username=user

• Avec un fichier creds

#vi /etc/.cifscreds

Username=


Username=

Password=

#mount /serveur/partages /repertoires –o credentials=/etc/.cifscreds

Les commandes samba• Smblcient

• Smbcacls

• Smbtree

• smbquota


Ce qu’on a couvert• Objectifs 397.1 Intégration CIFS

• SMB/CIFS

• Le montage de partages CIFS distants à partir d'un poste Linux

• Permissions d'accès et propriétés (utilisateur / groupe) des fichiers sur les partages CIFS distants.


les partages CIFS distants.

Technology

Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte