Get documents about "Partage de ressources entre le monde Windows 2000/XP et le monde
Document Sample
Partage de ressources entre le monde
Windows 2000/XP et le monde Unix
Michel Le Tohic
GET/ENST Bretagne
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 1
Architecture réseau Windows
Fonctionnalités réseau
NetBIOS
Organisation en domaine
Active Directory
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 2
Architecture réseau Windows
• Fonctionnalités réseau
– Totalement intégrées au système d’exploitation
• Déclinaison station de travail fonctions de type
« poste à poste » apportées par :
– Le composant Client pour les réseaux Microsoft …qui
équivaut au service Station de travail
– Le composant Partage de fichiers et d’imprimantes pour les
réseaux Microsoft …qui équivaut au service Serveur
Mastère IR
• Déclinaison serveur idem ci-dessus + services de
type client-serveur (principalement TCP/IP)
– Services réseaux au-dessus de TCP/IP : DNS, DHCP, WINS, etc
– Contrôleur de domaine (au sens NT ou 2000 du terme), DFS, etc
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 3
Composants de base
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 4
Architecture réseau Windows
• Protocole SMB, au cœur des réseaux
Windows
– SMB (Server Message Block)
• Cf. plus avant
– Nombreuses API : Mailslots, Named Pipes,
…etc.
• Mécanismes de communication inter-processus
• Pour la plupart s’appuyant sur SMB
Mastère IR
– NetBIOS, une API historiquement liée à SMB
• NetBT, mise en œuvre de cet API dans le monde
TCP/IP
• Cf. plus avant
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 5
Architecture réseau Windows
• Protocole SMB au cœur des réseaux
Windows (suite)
– Winsock, une implémentation Windows des
sockets BSD
• Pour toutes les applis client-serveur Internet
– (MS)RPC, une implémentation Windows des
RPC DCE
• RPC sur TCP/IP
Mastère IR
– Pour transporter DCOM, MAPI, …etc
• RPC sur SMB (via “tubes nommés”)
– Partage spécial IPC$
– Pour la plupart des outils Windows d’administration à distance
– Impléméntation rpcclient (Samba)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 6
Architecture réseau Windows
Mastère IR
Source O’Reilly
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 7
Architecture réseau Windows
• NetBIOS
– Une API, à l’origine
• Extension du BIOS pour l’échange de données réseau
• Nécessite un protocole de transport
– D’où la création de NetBEUI… mais NetBEUI n’est pas routable
– D’où le recours à un protocole routable : TCP/IP (typiquement)
– Un espace de nommage
• Pour identifier les éléments d’un réseau MS-Windows :
Mastère IR
Machines, Groupes de travail, Domaine
– Plat, à l’inverse de DNS (NB : même si la segmentation est
possible avec les ID d’étendue NetBIOS …à proscrire !)
• Un protocole « bavard »
– Recours par défaut à la diffusion (broadcast), en particulier pour
la résolution de nom NetBIOS… si l’on y prend pas garde
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 8
Nommage d’un ordinateur
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 9
Architecture réseau Windows
– Problématique de résolution de nom NetBIOS
• Type de nœud NetBIOS mode de résolution
– B-nœud diffusion (= broadcast)
– P-nœud point à point (cf. service WINS)
– M-nœud mixte (B-nœud puis P-nœud au besoin)
– H-nœud hybride (P-nœud puis B-nœud au besoin)
• Nom NetBIOS = <chaîne><type>
– 15 octets pour la chaîne + 1 octet pour le type (caractérisant un
type de machine ou un type de ressource)
• Types de ressources
Mastère IR
– Référencent les services session ou datagrammes (Cf. Services
NetBT)
– Deux classes principales : Unique et Group (i.e. partagé par
plusieurs hôtes)
• Commandes utiles
– nbtstat (Windows) et nmblookup (Samba)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 10
Type de ressources NetBIOS
Nom y
Tpe se
Uag
o mn ]
m h[
ai 0
n _ c e0 n
Ue
iu
q ec r a
r W i
v k o
s
S ie o tt n
o mn ]
m h[
ai 0
n _ c e3 n
Ue
iu
q ec s g
r M e
v se
S ie e nr
o mn ]
m h[
ai 0
n _ c e6 n
Ue
iu
q e c ee R
r svr S
v
S ie r u A
o mn ]
m h[
ai 1
n _ c eF n
Ue
iu
q ec t E
r N
v
S ieeDD
o mn ]
m h[
ai 2
n _ c e0 n
Ue
iu
q ec r u
r S r
v
S ieeev
o mn ]
m h[
ai 2
n _ c e1 n
Ue
iu
q ecl t S
r c R
v e
S iein A
o mn ]
m h[
ai B
n _ c eE n
Ue
iu
q g m uéa
e n r su
n i t
At oe r e
o mn ]
m h[
ai B
n _ c eF n
Ue
iu
q p a n nuéa
p t m r su
l i
i it
Aco oe r e
o use[ ]
m i tu
ti 0
n _l a r 3 n
Ue
iu
q e c s g(i a rc l e cn é
r M e ti tu t l n nc
v
S ie e nruse a em oe )
se l ue t t
. S W[ ]
_ B S.
R _
. MOE 1 0 Ge
rp
ou ae pa r
î x tu
t
r
M elreo
oda 0
m ie0
on
n _m[ ] Ge
rp
ou o em
m ad n
Nd o ie
Mastère IR
oda 1
m ieB
on
n _m[ ] n
Ue
iu
q ae pa ru m
î x tu d a
t
r o
M elre d o ie n
oda 1
m ieC
on
n _m[ ] rp
o
Ge
u o lu u m
n es d a
t
r
C ô rd o ien
oda 1
m ieD
on
n _m[ ] n
Ue
iu
q ae pa r1 ro r e)
î x tu a uéa
t
r o
M elre (ps s su-
on
m ieE
oda 1
n _m[ ] o
rp
Ge
u S ieeod pa r
e c lc n’ lres
r ét se o u
x t
v i
n e c[ ]
e r s
~v 1
I tS ie C Ge
rp
ou e cI
r I
v
S ieS
S o mn ]
n _ h[
ai 0
I~ mc e0 n
Ue
iu
q e uI
r rS
v
Se I
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 11
Architecture réseau Windows
• Organisation en domaine
– Modèle de domaine (jusqu’à NT 4.0 inclus)
• La sécurité pour l’accès aux ressources est assurée
par le contrôleur de domaine
– Un domaine est constitué... d’au moins un PDC
– Fondamentalement différent d’un groupe de travail !
• Service d’annuaire utilisateurs et machines
– La base de compte du domaine permet une authentification
centralisée
Mastère IR
– Contrôleur(s) & serveur(s) au sein d’un domaine
• Contrôleurs : PDC (éventuellement BDC…)
• Autres serveurs (tout ce qu’il y a de classique)
– Serveurs de fichier, d’impression, …etc
– Fournisseurs de « services réseaux»
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 12
Groupe de travail versus Domaine
Serveurs
Domaine
Groupe
de travail
Clients
Clients
Clients et/ou
Serveurs
Contrôleur
de domaine
Mastère IR
Clients
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 13
Architecture réseau Windows
– Enregistrement dans un domaine
• Notion de SID
– Identifiant unique sur un domaine (utilisateur, groupe, machine)
– E.g. S-1-5-21-3585186845-3833581854-4065617495-1006
• Utilisateur (et groupes d’utilisateurs)
– Enregistrement des utilisateurs dans la base de compte du PDC
– Différents types de groupes (locaux, globaux) et possibilité
d’imbrication
• Machines (serveur, station, contrôleur…)
Mastère IR
– Comptes cachés !
– Jonction d ’un ordinateur à un domaine (= création d’un compte)
• Domaine unique ? domaines multiples ?
– Relation d’approbation : domaine approuvant ou approuvé
– Problème de hiérarchie (intransitivité des relations)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 14
Architecture réseau Windows
• Active Directory
– Évolution (majeure!) depuis Windows 2000
• Annuaire de type LDAP (+ Kerberos + DDNS)
– Structure hiérarchique : domaine, arbre, forêt, site
– Espace global de nommage (basé sur DNS)
• Avantages/inconvénients
– Impose la présence d’un DDNS
– Intégration délicate avec le monde Unix
– Le système de relations d’approbation devient caduque
Mastère IR
– Réplication sur plusieurs maîtres
• Compatibilité
– Avec le monde Windows (systèmes NT, architecture de
composants distribués COM/DCOM, …)
– Avec l ’extérieur : LDAP, NetWare (?)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 15
Active Directory
DNS (racine)
Kerberos AD Espace de nommage
Internet (public)
LDAP AD org
Espace de nommage
Active Directory (privé)
tuyaux.org TUYAUX.ORG tuyaux
Mastère IR
la.tuyaux.org si.tuyaux.org la si
bemol.si.tuyaux.org bemol
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 17
TCP/IP en environnement Windows
TCP/IP à la « sauce » NT : NetBT
Services d’annuaires
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 18
TCP/IP en environnement Windows
• TCP/IP à la « sauce » NT : NetBT
– NetBT= NBT = NetBIOS over TCP/IP
• Virage TCP/IP opéré par Microsoft
– Cf. %SystemRoot%\system32\drivers\etc\ services
– Fourni en standard dans la pile…
• Des services TCP/IP
– Fournis principalement avec les déclinaisons serveurs ;-)
– Exceptions notables : httpd, ftpd, telnetd
• Des utilitaires TCP/IP
Mastère IR
– Connectivité : telnet, ftp, rsh, rexec, …etc.
– Diagnostic : ping, tracert, netstat, nbtstat,...etc.
– Offre tierce-partie
• Vient combler les manques
– Essentiellement : NFS et X-Window
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 19
TCP/IP en environnement Windows
– Services NetBT
• Réseau virtuel via la couche NetBIOS
– Même si les nœuds appartiennent à différents sous-réseaux
– Concept de Voisinage Réseau
• NetBT procure 3 services différents
– Service de nom, Service de session, Service de datagramme
Extrait du fichier services
(…)
netbios-ns 137/tcp nbname #Service de nom NETBIOS
Mastère IR
netbios-ns 137/udp nbname #Service de nom NETBIOS
netbios-dgm 138/udp nbdatagram #Service de
datagramme NETBIOS
netbios-ssn 139/tcp nbsession #Service de session NETBIOS
(…)
microsoft-ds 445/tcp
microsoft-ds 445/udp
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 20
TCP/IP en environnement Windows
• Avenir de NetBT ?
– Importance décroissante depuis Windows 2000
• Windows repose désormais sur DNS, LDAP, Kerberos, …etc
– NetBT tend à disparaître
• SMB peut être transporté directement par TCP/IP
– Cf. plus avant CIFS
• Disparition de WINS
– Service permettant de répondre à la problématique NBNS (résolution de
Mastère IR
nom NetBios en adresse IP et vice-versa)
– Enregistrement SRV dans le DNS remplacent les noms NetBIOS pour la
localisation des ressources
– Enregistrement dynamique dans le DNS (DDNS) remplacent les
enregistrements auprès de WINS
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 21
TCP/IP en environnement Windows
• Services d’annuaires
– Services DNS, DHCP, etc.
• En standard sur les déclinaisons serveurs
– WINS : résolution de noms NetBIOS en @IP
• Une spécificité Windows (RFC => spécification NBNS)
– Rappel : broadcast par défaut sinon
– Inscription automatique du client dans la base de données du
serveur ; renouvellement et libération automatique… en théorie
Mastère IR
• Nécessité de WINS ?
– Dans un environnement routé
– Peut venir « épauler » le DNS
– NetBIOS et WINS peuvent être supprimés si l’on est passé en
tout Windows 2000 (ou supérieure)
• Résolution statique possible (pour petits réseaux)
– Fichier %SystemRoot%\system32\drivers\etc\lmhosts
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 22
Paramétrage WINS
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 23
TCP/IP en environnement Windows
– DHCP : affectation dynamique d’@IP
• Classique par ailleurs…
– Excepté base de donnée Jet (versus fichier texte sous Unix)
– DNS : traduction des noms d’hôtes en @IP
• Le service DNS est devenu le principal service de nom
au détriment de WINS
• Classique par ailleurs…
– Excepté intégrable dans Active Directory (versus fichier texte
Mastère IR
sous Unix)
– Excepté nécessité d’un DDNS si d’Active Directory
– Excepté collaboration étroite entre DHCP et DDNS
– Excepté mixage délicat avec Bind
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 24
DNS, DHCP, WINS (approche Windows 2000)
Résolution de Affectation Résolution de
nom d’hôte d’@IP nom NetBIOS
Dynamique ? Dynamique ? Dynamique ?
?
oui oui oui
Serveur Serveur Serveur
DDNS DHCP WINS
Mastère IR
Synchro.
DHCP/DNS
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 25
Services de base Windows
NT/2000/XP
SMB
CIFS
Visibilité des ressources
partagées
Mastère IR
Accès aux ressources partagées
Traitement réparti
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 26
Services de base Windows NT/2000/XP
• SMB
– Protocole à tout faire du monde Windows…
• Protocole implémenté historiquement sur NetBIOS
• Partage de fichiers et d’imprimantes
– Également orienté communications : tubes nommés, BAL, etc (et
même ports séries !)
– Paquets « Server Message Blocks »
(NFS + Lpd/Lpr + Login/Passwd) du monde Unix
• Protocole client-serveur de « niveau application »
Mastère IR
– Orienté connexion
– Très complexe : 65 opérations de premier niveau, des dizaines
de sous-fonctions comprenant chacune des dizaines d’options
– Difficile à inclure dans un noyau Unix standard… d’où SAMBA
(implémentation la plus répandue)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 27
Modèle NetBIOS vs TCP/IP
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 28
Services de base Windows NT/2000/XP
– Sécurité et contrôle d’accès
• Très différent de NFS
– Sensible à la rupture de connexion
– Incluant un système d’authentification « utilisateur » et non basée
sur la machine
• Protection au niveau ressource (Share-level)
– Un mot de passe par répertoire partagé (disponible uniquement
sur les systèmes de type Windows 9x) => on oublie !!!
• Protection au niveau utilisateur (User-level)
– Authentification basée sur le couple login/mot de passe (seul
Mastère IR
mode disponible sur les systèmes de type Windows NT)
– Évolution du protocole
• Différents dialectes : Lan Manager, NTLM, CIFS
– SAMBA implémente la version NTLM 1.0 (?)
– Une session SMB comprend une phase de négociation sur la
version de protocole utilisée
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 29
Session SMB
Négociation
Protocole sélectionné
Ouverture de session ?
UID
Mastère IR
Connexion à
l ’arborescence ?
TID
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 30
Services de base Windows NT/2000/XP
• CIFS
– SMB au-dessus de TCP/IP
• Version « ouverte » du protocole SMB
– Code offert à l’IETF… dans le but d’en faire un standard Web ?
– Nombreux utilitaires de type passerelle Web-SMB
• S’appuie sur les adresses IP et non sur NetBIOS
– Depuis Windows 2000 on peut ainsi faire du SMB sans NetBIOS
(Direct Hosting)
– CIFS troque WINS au profit de DDNS
Mastère IR
– CIFS peut donc (en théorie) franchir les routeurs
• Réfère à une suite de protocoles
– Partage de fichiers et/ou imprimantes, annonce de service,
nommage, authentification, autorisations
• Maintient une compatibilité avec les anciennes
versions SMB
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 31
Services de base Windows NT/2000/XP
• Visibilité des ressources partagées
– Mécanisme d’exploration
• Voisinage Réseau
– Basé sur SMB
– Rôle : identifier/répertorier les ressources réseau disponibles
• Toute machine s’enregistre auprès du Master Browser
– Cela a pour principal avantage de limiter les broadcast !-)
• Types d’explorateurs
Mastère IR
– Explorateur maître de domaine (= PDC), explorateur maître,
explorateur de sauvegarde, potentiel et non-explorateur
– Temps de synchronisation (plusieurs minutes)
– Mécanismes d’élections d’explorateurs
– Rôle dévolue à Active Directory désormais
• Recensement des ressources partagées dans LDAP
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 32
Services de base Windows NT/2000/XP
• Accès aux ressources partagées
– Notation UNC
• Localisation des ressources partagées via SMB
– Dans sa version la plus simple : \\nom_serveur\nom_partage
– Commande net share (~ exportfs Unix) et net use (~ mount Unix)
– Accès direct via chemin UNC
– Accès via disque réseau = mappage ou montage sous une lettre de
lecteur disponible (e.g. net use H: \\homesrv\my_home)
– Permissions
Mastère IR
• Deux « niveaux » de permissions
– Grossier : permissions de dossiers partagés (~ type d’export Unix)
– Très fin : permissions de disques NTFS (> permissions Unix)
• Permission à distance = & logique entre les permissions
NTFS et de partage
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 33
Répertoire partagé
• Onglet Général
• Informations générales
• Onglet Partage
• Si partage : Autorisations
(i.e. Permissions de
partage), Mise en cache
(travail hors connexion),
… etc
Mastère IR
• Onglet Sécurité
• Permissions NTFS
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 34
Services de base Windows NT/2000/XP
• Traitement réparti
– Principe
• Client-serveur
– Déjà vu par ailleurs
– Mécanismes de communications inter-
processus (IPC)
• De très nombreux mécanismes :
Mastère IR
– Interface NetBIOS , Canaux nommés, BAL, RPC, Windows
Sockets (ou WINSocks), NetDDE, DCOM, Message Queues
– Certains mécanismes utilisent en fait des API sous-jacentes (eg.
RPC qui peut s’appuyer sur les Canaux nommés, WINSocks,
NetBIOS ou autre)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 35
Partage de fichiers entre
Windows & Unix
Constat et approches possibles
SAMBA (GNU)
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 36
Partage de fichiers entre Windows & Unix
• Constat
– Pas de protocole commun :-(
• Monde Microsoft : SMB (CIFS)
• Monde Unix : NFS
• Approche tout SMB
– Solution atypique
• Serveurs Windows ou Samba => Clients SMB pour Unix
Mastère IR
– Produits tiers ou support natif : Sharity, smbsh, smbfs, cifsfs
• Approche tout NFS
– Solution très répandue… jusqu’en 1995
• Serveurs Unix purs et durs => Clients, Serveurs et
Passerelles NFS pour Windows
– Produits chez Intergraph, FTP Software, NetManage, SunSoft, ...
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 37
Partage de fichiers entre Windows & Unix
• Approche SMB et NFS
– Solution très répandue aujourd’hui
• Avantage : rien à ajouter côté postes clients Windows
– Serveurs de fichiers multi-protocoles (NAS)
• Solutions matérielles
– Entièrement dédiées (aka Appliance) : baie RAID + système
spécifique et/ou optimisé ; offre variée : produits d’entrée de
gamme (Iomega, SnapAlliance, etc.), produits intermédiaires
(IBM, Dell, HP/Compaq, Additionnal Design, etc.), produits haut
Mastère IR
de gamme (Network Appliance, etc.)
• Solutions logicielles (libres essentiellement)
– FreeNAS, OpenFiler, NasLite : (NFS + Samba + Ftp) pour le
moins ; supporte parfois Rsync, WebDAV, SSH, …etc
– Élément clé : surcouche SMB pour Unix
• Typiquement : SAMBA (GNU)
– Autres solutions : AS/U (AT&T), TAS (Syntax), VisionFS (SCO)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 38
Partage de fichiers (approche serveur & client SMB)
Serveur Unix Serveur NT
Serveur
SMB
Client SMB
Mastère IR
Station Unix PC Windows
SMB NFS
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 39
Partage de fichiers entre Windows & Unix
• SAMBA (GNU)
– Implémentation open-source du protocole SMB
• Un colossal travail (développement et documentation)
• Environ une trentaine de développeurs (Samba Team)
– Permet (essentiellement) à un client Windows
d’accéder aux fichiers d’un serveur Unix
• Mais permet également…
– Partage d’imprimantes (évolution CUPS), Exploration réseau,
Mastère IR
Authentification des utilisateurs (PDC et/ou BDC NT), Serveur
intégré dans un domaine AD
• Produit gratuit disponible pour tous les Unix
– Inclus dans certaines offres éditeurs/constructeurs
• Configurable via un navigateur (Swat)
– D’autres interfaces graphiques sont possibles : Webmin, …etc.
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 40
SWAT
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 41
Partage de fichiers entre Windows & Unix
– Version 2.x : implémentation quasi complète des
services réseaux NT sous Unix
• Contrôleur de domaine (DC)
– … mais pas de réplication possible avec du pur DC Windows
• Serveur de fichiers/d’imprimantes
– Gestion des ACLs NT
• Serveur WINS
• Maître explorateur
– Version 3.0 : intégration avec Active Directory
Mastère IR
• Intégration dans un domaine AD finalisée
• Prochaine étape, Samba 4 : DC pour domaine AD
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 42
Partage de fichiers entre Windows & Unix
– Démons et services
• 2 démons principaux : smbd et nmbd
– smbd : serveur de partage de fichier et d’impression
– nmbd : serveur de noms NetBIOS (« contrôlé » par smbd)
• 1 démon « auxiliaire » : winbindd
– Permet « d’importer » des utilisateurs de domaine Windows en
tant qu’utilisateurs Unix (via PAM et nsswitch)
– Indépendant de smbd
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 43
Partage de fichiers entre Windows & Unix
– Fichier de configuration : smb.conf
• 3 sections prédéfinies (et réservées !) :
– [global] : configuration globale
– [homes] : homedir utilisateurs ( auto-montage)
– [printers] : imprimantes ( auto-montage)
• Autres sections réservées :
– [netlogon] : scripts de login et stratégies (usage en PDC)
– [profiles] : profils errants utilisateurs
Mastère IR
– [print$] : drivers imprimantes
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 44
Partage de fichiers entre Windows & Unix
– Bases de données de comptes ou backends
• Évolution au fil des versions
– Samba 2, Samba TNG, Samba 3
• Anciens backends
– « Texte clair » : ie. base de compte Unix (typiquement
/etc/passwd) ; proscrit (mots de passe circulent en clair !)
– smbpasswd : inclut compte LanMan et NT mais pas les autres
informations ; déprécié
Mastère IR
– ldapsam_compat : utilisée lors de mise à niveau ; déprécié
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 45
Partage de fichiers entre Windows & Unix
– Bases de données de comptes ou backends
(suite)
• Nouveaux backends
– tdbsam : inclut toutes les informations de compte mais non
recommandé au delà de 250 comptes
– ldapsam : basé sur OpenLDAP, inclut toutes les informations de
compte et représente la solution de choix actuellement
– mysqlsam : possible dans un contexte très orienté MySQL
Mastère IR
– xmlsam : utile lors de migration ?
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 46
Partage de fichiers entre Windows & Unix
– Plusieurs utilitaires
• Binaires :
– testparm : vérification du fichier smb.conf
– smbstatus : statut des connexions actives
– smbpasswd : gestion des mots de passe cryptés
– nmblookup : résolution de noms NetBIOS en adresse IP
– smbclient : client SMB « ftp-like »
– smbmount : montage de système de fichier smbfs (ie. partage
Mastère IR
SAMBA) ; s’appuit sur smbmnt, équivalent à mount –t smbfs …
– smbcacls : modifie les ACLs des fichiers/répertoires SAMBA
– net : « semblable » à l’utilitaie net de Windows
– rpcclient : exécution de commandes à distance
– …etc
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 47
Partage de fichiers entre Windows & Unix
– Plusieurs utilitaires (suite)
• Scripts :
– pdbedit : gestion des comptes (tous backends confondus)
– smbtar : sauvegarde/restauration de fichiers/répertoires
Windows
– findsmb : information sur les systèmes SMB du réseau local
– ...etc
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 48
Mise en œuvre de SAMBA
Problématique d’authentification
utilisateur
Problématique de contrôle d’accès
Problématiques de types de
fichiers
Mastère IR
Tests et diagnostics
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 49
Mise en œuvre de SAMBA
• Problématique d’authentification utilisateur
– Bases de compte « parallèles » 2000/XP et Unix
• Pas de compte Samba… sans compte Unix !
– Sinon pas d’accès au système de fichier ;-)
• Configuration très sensible du fichier smb.conf
– Principalement le paramètre security
• Samba supporte les modes (SMB) share et user
– En mode user le serveur SAMBA fait office de contrôleur
Mastère IR
• … mais décline le mode user en plusieurs modes
– Mode server : l’authentification est déléguée à un autre serveur
(qui doit être spécifié) ; connexion maintenue
– Mode domain : idem server et de plus le serveur SAMBA fait
partie intégrante du domaine NT ( SAMBA 2.x)
– Mode ads : idem domain et de plus le serveur SAMBA fait partie
intégrante du domaine Active Directory ( SAMBA 3.x)
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 50
Mise en œuvre de SAMBA
– Sans authentification… passons notre chemin !-)
• Mode security = share & encrypt passwords = no
– Pas d’authentification sur le partage à proscrire !
– Authentification assumée par le serveur SAMBA
• Mode security = user & encrypt passwords = no
– Base locale Unix passwd ou autre (fonction de nsswitch.conf)
– Implique d’user de mot de passe non cryptés (i.e. transmis en
clair) de modifier les clients Windows pour les obliger à cela
(car ce n’est plus standard) à proscrire !
Mastère IR
• Mode security = user & encrypt passwords = yes
– Base locale smbpasswd (i.e. pseudo-base SAM à créer de toute
pièce) commande smbpasswd et autres utilitaires… ou fichier
type tdb ou base locale LDAP (compatible LDAP v3)
– Authentification NTLM
– Possibilité de synchronisation avec la base de compte Unix
– Possibilité d’être configuré en contrôleur de domaine NT
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 51
Mise en œuvre de SAMBA
– Authentification déléguée à un autre serveur
• Dispense de devoir créer une base locale SAMBA
• Mode security = server & password server = <nt_srv>
– Appui sur un contrôleur de domaine Windows NT4 ou 2000
– Authentification NTLM (même dans le cas d’un serveur Windows
2000)
• Mode security = domain
– Idem ci-dessus mais de + le serveur SAMBA doit être raccroché
au domaine NT (à l’instar des autres stations/serveurs Windows)
Mastère IR
• Mode security = ads & realm = <ad_krb_realm>
– Nécessite une version SAMBA 3.0 ou supérieure
– Appui sur un contrôleur de domaine Windows 2000 ou 2003
faisant office de serveur de tickets Kerberos (KDC)
– Authentification Kerberos serveur SAMBA avec configuration
client Kerberos correcte (fichier krb5.conf, etc.) et raccrochage
au domaine Active Directory
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 52
Authentification Samba
Windows
Linux
Base smbpasswd
(voire tdbsam ou
ldapsam)
NTLM Domaine
NT
Mastère IR
Kerberos Domaine
Active Directory
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 53
Mise en œuvre de SAMBA
• Problématique de contrôle d’accès
– Par utilisateur
• Les droits de connexion au service Samba s’appliquent
avant toute chose
– Équivalent aux permissions de partage Windows
– Nombreuses options pour le mode (read only, …etc.), pour le
contrôle des usagers autorisés (valid users, …etc.) notamment
par l’usage des groupes (Unix ou NIS)
• Les droits d'accès des utilisateurs sous UNIX
Mastère IR
s'appliquent en dernière instance
– Droits POSIX (type rwx) ou ACLs (si supportés par le système de
fichiers employés… et la version de Samba)
– Nombreuses options pour spécifier les droits associés aux
fichiers lors de leur création (create mode, …etc.)
– Avec les ACLs on a une meilleure adéquation Unix-Windows
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 54
Mise en œuvre de SAMBA
– Par machine
• Contrôle au niveau de Samba
– Par des directives spéciales (host deny, …etc.).
• Problématiques de types de fichiers
– MS-Dos
• Noms longs ou 8.3, « insensibles » à la casse
(Fonctions de conversion pour les noms longs)
Mastère IR
– Notion de mangling
– Attention aux caractères accentués !
• Transposition des attributs
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 55
Mise en œuvre de SAMBA
• Tests et diagnostics de Samba
– Analyse pyramidale !
• Du plus bas niveau (tests de connectivité, …etc.) au
plus haut niveau (debuggers, etc)
– NB : ceci n’est pas valable que pour Samba ;-)
• Des aides précieuses…
– Comme le fichier The Samba Checklist qui nous servira de fil
conducteur durant le TP
Mastère IR
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 56
Analyse pyramidale
Mastère IR
Source « Samba en 24 h »
Partage de ressources entre le monde Windows 2000/XP et le monde Unix 57
