Partage de ressources entre le monde Windows 2000/XP et le monde

Document Sample
Partage de ressources entre le monde Windows 2000/XP et le monde Powered By Docstoc
					                   Partage de ressources entre le monde
                     Windows 2000/XP et le monde Unix
                                                      Michel Le Tohic
                                                  GET/ENST Bretagne
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   1
                              Architecture réseau Windows
                           Fonctionnalités réseau
                           NetBIOS
                           Organisation en domaine
                           Active Directory
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   2
   Architecture réseau Windows

                • Fonctionnalités réseau
                      – Totalement intégrées au système d’exploitation
                           • Déclinaison station de travail  fonctions de type
                             « poste à poste » apportées par :
                                – Le composant Client pour les réseaux Microsoft …qui
                                  équivaut au service Station de travail
                                – Le composant Partage de fichiers et d’imprimantes pour les
                                  réseaux Microsoft …qui équivaut au service Serveur
Mastère IR




                           • Déclinaison serveur  idem ci-dessus + services de
                             type client-serveur (principalement TCP/IP)
                                – Services réseaux au-dessus de TCP/IP : DNS, DHCP, WINS, etc
                                – Contrôleur de domaine (au sens NT ou 2000 du terme), DFS, etc




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                3
   Composants de base
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   4
   Architecture réseau Windows

                • Protocole SMB, au cœur des réseaux
                  Windows
                      – SMB (Server Message Block)
                           • Cf. plus avant
                      – Nombreuses API : Mailslots, Named Pipes,
                        …etc.
                           • Mécanismes de communication inter-processus
                           • Pour la plupart s’appuyant sur SMB
Mastère IR




                      – NetBIOS, une API historiquement liée à SMB
                           • NetBT, mise en œuvre de cet API dans le monde
                             TCP/IP
                           • Cf. plus avant


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   5
   Architecture réseau Windows

                • Protocole SMB au cœur des réseaux
                  Windows (suite)
                      – Winsock, une implémentation Windows des
                        sockets BSD
                           • Pour toutes les applis client-serveur Internet
                      – (MS)RPC, une implémentation Windows des
                        RPC DCE
                           • RPC sur TCP/IP
Mastère IR




                                – Pour transporter DCOM, MAPI, …etc
                           • RPC sur SMB (via “tubes nommés”)
                                – Partage spécial IPC$
                                – Pour la plupart des outils Windows d’administration à distance
                                – Impléméntation rpcclient (Samba)


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                 6
   Architecture réseau Windows
Mastère IR




                                                                                     Source O’Reilly
             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                     7
   Architecture réseau Windows

                • NetBIOS
                      – Une API, à l’origine
                           • Extension du BIOS pour l’échange de données réseau
                           • Nécessite un protocole de transport
                                – D’où la création de NetBEUI… mais NetBEUI n’est pas routable
                                – D’où le recours à un protocole routable : TCP/IP (typiquement)
                      – Un espace de nommage
                           • Pour identifier les éléments d’un réseau MS-Windows :
Mastère IR




                             Machines, Groupes de travail, Domaine
                                – Plat, à l’inverse de DNS (NB : même si la segmentation est
                                  possible avec les ID d’étendue NetBIOS …à proscrire !)
                           • Un protocole « bavard »
                                – Recours par défaut à la diffusion (broadcast), en particulier pour
                                  la résolution de nom NetBIOS… si l’on y prend pas garde


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                     8
   Nommage d’un ordinateur
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   9
   Architecture réseau Windows

                      – Problématique de résolution de nom NetBIOS
                           • Type de nœud NetBIOS  mode de résolution
                                –   B-nœud  diffusion (= broadcast)
                                –   P-nœud  point à point (cf. service WINS)
                                –   M-nœud  mixte (B-nœud puis P-nœud au besoin)
                                –   H-nœud  hybride (P-nœud puis B-nœud au besoin)
                           • Nom NetBIOS = <chaîne><type>
                                – 15 octets pour la chaîne + 1 octet pour le type (caractérisant un
                                  type de machine ou un type de ressource)
                           • Types de ressources
Mastère IR




                                – Référencent les services session ou datagrammes (Cf. Services
                                  NetBT)
                                – Deux classes principales : Unique et Group (i.e. partagé par
                                  plusieurs hôtes)
                           • Commandes utiles
                                – nbtstat (Windows) et nmblookup (Samba)

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                    10
   Type de ressources NetBIOS

             Nom                           y
                                           Tpe           se
                                                         Uag
              o mn ]
               m h[
                 ai 0
             n _ c e0                      n
                                           Ue
                                            iu
                                            q            ec r a
                                                          r W i
                                                          v    k o
                                                                s
                                                         S ie o tt n
              o mn ]
               m h[
                 ai 0
             n _ c e3                      n
                                           Ue
                                            iu
                                            q            ec s g
                                                          r M e
                                                          v    se
                                                         S ie e nr
              o mn ]
               m h[
                 ai 0
             n _ c e6                      n
                                           Ue
                                            iu
                                            q            e c ee R
                                                          r svr S
                                                          v
                                                         S ie r u A
              o mn ]
               m h[
                 ai 1
             n _ c eF                      n
                                           Ue
                                            iu
                                            q            ec t E
                                                          r N
                                                          v
                                                         S ieeDD
              o mn ]
               m h[
                 ai 2
             n _ c e0                      n
                                           Ue
                                            iu
                                            q            ec r u
                                                          r S r
                                                          v
                                                         S ieeev
              o mn ]
               m h[
                 ai 2
             n _ c e1                      n
                                           Ue
                                            iu
                                            q            ecl t S
                                                          r c R
                                                          v e
                                                         S iein A
              o mn ]
               m h[
                 ai B
             n _ c eE                      n
                                           Ue
                                            iu
                                            q            g m uéa
                                                          e n r su
                                                           n i t
                                                         At oe r e
              o mn ]
               m h[
                 ai B
             n _ c eF                      n
                                           Ue
                                            iu
                                            q            p a n nuéa
                                                          p t m r su
                                                           l i
                                                           i     it
                                                         Aco oe r e
              o use[ ]
               m i tu
                ti   0
             n _l a r 3                    n
                                           Ue
                                            iu
                                            q            e c s g(i a rc l e cn é
                                                          r M e ti tu t l n nc
                                                          v
                                                         S ie e nruse a em oe )
                                                               se    l    ue t t
             . S W[ ]
              _ B S.
                 R _
             . MOE 1  0                    Ge
                                           rp
                                           ou            ae pa r
                                                          î x tu
                                                           t
                                                           r
                                                         M elreo
              oda 0
               m ie0
                on
             n _m[ ]                       Ge
                                           rp
                                           ou            o em
                                                          m ad n
                                                         Nd o ie
Mastère IR




              oda 1
               m ieB
                on
             n _m[ ]                       n
                                           Ue
                                            iu
                                            q            ae pa ru m
                                                          î x tu d a
                                                           t
                                                           r   o
                                                         M elre d o ie n
              oda 1
               m ieC
                on
             n _m[ ]                       rp
                                           o
                                           Ge
                                            u            o lu u m
                                                          n es d a
                                                           t
                                                           r
                                                         C ô rd o ien
              oda 1
               m ieD
                on
             n _m[ ]                       n
                                           Ue
                                            iu
                                            q            ae pa r1 ro r e)
                                                          î x tu a uéa
                                                           t
                                                           r   o
                                                         M elre (ps s su-
                on
               m ieE
              oda 1
             n _m[ ]                       o
                                           rp
                                           Ge
                                            u            S ieeod pa r
                                                         e c lc n’ lres
                                                          r ét se o u
                                                                    x t
                                                          v    i
             n e c[ ]
              e r s
               ~v 1
             I tS ie C                     Ge
                                           rp
                                           ou            e cI
                                                          r I
                                                          v
                                                         S ieS
             S o mn ]
               n _ h[
                   ai 0
             I~ mc e0                      n
                                           Ue
                                            iu
                                            q            e uI
                                                          r rS
                                                          v
                                                         Se I




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   11
   Architecture réseau Windows

                • Organisation en domaine
                      – Modèle de domaine (jusqu’à NT 4.0 inclus)
                           • La sécurité pour l’accès aux ressources est assurée
                             par le contrôleur de domaine
                                – Un domaine est constitué... d’au moins un PDC
                                – Fondamentalement différent d’un groupe de travail !
                           • Service d’annuaire utilisateurs et machines
                                – La base de compte du domaine permet une authentification
                                  centralisée
Mastère IR




                      – Contrôleur(s) & serveur(s) au sein d’un domaine
                           • Contrôleurs : PDC (éventuellement BDC…)
                           • Autres serveurs (tout ce qu’il y a de classique)
                                – Serveurs de fichier, d’impression, …etc
                                – Fournisseurs de « services réseaux»


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix           12
   Groupe de travail versus Domaine
                                                                             Serveurs
                                                                                                    Domaine
              Groupe
             de travail
                                                                                                    Clients
                                                          Clients
                        Clients et/ou
                         Serveurs
                                                                                       Contrôleur
                                                                                       de domaine
Mastère IR




                                                                       Clients




               Partage de ressources entre le monde Windows 2000/XP et le monde Unix                          13
   Architecture réseau Windows

                      – Enregistrement dans un domaine
                           • Notion de SID
                                – Identifiant unique sur un domaine (utilisateur, groupe, machine)
                                – E.g. S-1-5-21-3585186845-3833581854-4065617495-1006
                           • Utilisateur (et groupes d’utilisateurs)
                                – Enregistrement des utilisateurs dans la base de compte du PDC
                                – Différents types de groupes (locaux, globaux) et possibilité
                                  d’imbrication
                           • Machines (serveur, station, contrôleur…)
Mastère IR




                                – Comptes cachés !
                                – Jonction d ’un ordinateur à un domaine (= création d’un compte)
                           • Domaine unique ? domaines multiples ?
                                – Relation d’approbation : domaine approuvant ou approuvé
                                – Problème de hiérarchie (intransitivité des relations)



             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                   14
   Architecture réseau Windows

                • Active Directory
                      – Évolution (majeure!) depuis Windows 2000
                           • Annuaire de type LDAP (+ Kerberos + DDNS)
                                – Structure hiérarchique : domaine, arbre, forêt, site
                                – Espace global de nommage (basé sur DNS)
                           • Avantages/inconvénients
                                –   Impose la présence d’un DDNS
                                –   Intégration délicate avec le monde Unix
                                –   Le système de relations d’approbation devient caduque
Mastère IR




                                –   Réplication sur plusieurs maîtres
                           • Compatibilité
                                – Avec le monde Windows (systèmes NT, architecture de
                                  composants distribués COM/DCOM, …)
                                – Avec l ’extérieur : LDAP, NetWare (?)



             Partage de ressources entre le monde Windows 2000/XP et le monde Unix          15
   Active Directory
               DNS                                                                    (racine)
               Kerberos AD                                                              Espace de nommage
                                                                                          Internet (public)
               LDAP AD                                                               org

                                        Espace de nommage
                                        Active Directory (privé)
                                   tuyaux.org            TUYAUX.ORG                  tuyaux
Mastère IR




                        la.tuyaux.org      si.tuyaux.org                      la              si



                                                     bemol.si.tuyaux.org                             bemol




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                            17
                     TCP/IP en environnement Windows
                           TCP/IP à la « sauce » NT : NetBT
                           Services d’annuaires
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   18
   TCP/IP en environnement Windows

                • TCP/IP à la « sauce » NT : NetBT
                      – NetBT= NBT = NetBIOS over TCP/IP
                           • Virage TCP/IP opéré par Microsoft
                                – Cf. %SystemRoot%\system32\drivers\etc\ services
                      – Fourni en standard dans la pile…
                           • Des services TCP/IP
                                – Fournis principalement avec les déclinaisons serveurs ;-)
                                – Exceptions notables : httpd, ftpd, telnetd
                           • Des utilitaires TCP/IP
Mastère IR




                                – Connectivité : telnet, ftp, rsh, rexec, …etc.
                                – Diagnostic : ping, tracert, netstat, nbtstat,...etc.
                      – Offre tierce-partie
                           • Vient combler les manques
                                – Essentiellement : NFS et X-Window




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix            19
   TCP/IP en environnement Windows

                      – Services NetBT
                           • Réseau virtuel via la couche NetBIOS
                                – Même si les nœuds appartiennent à différents sous-réseaux
                                – Concept de Voisinage Réseau
                           • NetBT procure 3 services différents
                                – Service de nom, Service de session, Service de datagramme

                  Extrait du fichier services
                  (…)
                  netbios-ns              137/tcp    nbname                 #Service de nom NETBIOS
Mastère IR




                  netbios-ns              137/udp    nbname                 #Service de nom NETBIOS
                  netbios-dgm                        138/udp     nbdatagram             #Service de
                      datagramme NETBIOS
                  netbios-ssn             139/tcp    nbsession               #Service de session NETBIOS
                  (…)
                  microsoft-ds            445/tcp
                  microsoft-ds            445/udp
             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                         20
   TCP/IP en environnement Windows

                • Avenir de NetBT ?
                      – Importance décroissante depuis Windows 2000
                           • Windows repose désormais sur DNS, LDAP, Kerberos, …etc
                      – NetBT tend à disparaître
                           • SMB peut être transporté directement par TCP/IP
                                – Cf. plus avant CIFS
                           • Disparition de WINS
                                – Service permettant de répondre à la problématique NBNS (résolution de
Mastère IR




                                  nom NetBios en adresse IP et vice-versa)
                                – Enregistrement SRV dans le DNS remplacent les noms NetBIOS pour la
                                  localisation des ressources
                                – Enregistrement dynamique dans le DNS (DDNS) remplacent les
                                  enregistrements auprès de WINS




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                        21
   TCP/IP en environnement Windows

                • Services d’annuaires
                      – Services DNS, DHCP, etc.
                           • En standard sur les déclinaisons serveurs
                      – WINS : résolution de noms NetBIOS en @IP
                           • Une spécificité Windows (RFC => spécification NBNS)
                                – Rappel : broadcast par défaut sinon 
                                – Inscription automatique du client dans la base de données du
                                  serveur ; renouvellement et libération automatique… en théorie
Mastère IR




                           • Nécessité de WINS ?
                                – Dans un environnement routé
                                – Peut venir « épauler » le DNS
                                – NetBIOS et WINS peuvent être supprimés si l’on est passé en
                                  tout Windows 2000 (ou supérieure)
                           • Résolution statique possible (pour petits réseaux)
                                – Fichier %SystemRoot%\system32\drivers\etc\lmhosts

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                 22
   Paramétrage WINS
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   23
   TCP/IP en environnement Windows

                      – DHCP : affectation dynamique d’@IP
                           • Classique par ailleurs…
                                – Excepté base de donnée Jet (versus fichier texte sous Unix)

                      – DNS : traduction des noms d’hôtes en @IP
                           • Le service DNS est devenu le principal service de nom
                             au détriment de WINS
                           • Classique par ailleurs…
                                – Excepté intégrable dans Active Directory (versus fichier texte
Mastère IR




                                  sous Unix)
                                – Excepté nécessité d’un DDNS si d’Active Directory
                                – Excepté collaboration étroite entre DHCP et DDNS
                                – Excepté mixage délicat avec Bind




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                 24
   DNS, DHCP, WINS (approche Windows  2000)
                     Résolution de                       Affectation                 Résolution de
                      nom d’hôte                           d’@IP                     nom NetBIOS




                     Dynamique ?                        Dynamique ?                  Dynamique ?




                                                                                       ?
                             oui                                 oui                        oui
                        Serveur                            Serveur                     Serveur
                        DDNS                               DHCP                         WINS
Mastère IR




                                          Synchro.
                                         DHCP/DNS




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                   25
                                   Services de base Windows
                                                 NT/2000/XP
                           SMB
                           CIFS
                           Visibilité des ressources
                           partagées
Mastère IR




                           Accès aux ressources partagées
                           Traitement réparti




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   26
   Services de base Windows NT/2000/XP

                • SMB
                      – Protocole à tout faire du monde Windows…
                           • Protocole implémenté historiquement sur NetBIOS
                           • Partage de fichiers et d’imprimantes
                                – Également orienté communications : tubes nommés, BAL, etc (et
                                  même ports séries !)
                                – Paquets « Server Message Blocks »
                                  (NFS + Lpd/Lpr + Login/Passwd) du monde Unix
                           • Protocole client-serveur de « niveau application »
Mastère IR




                                – Orienté connexion
                                – Très complexe : 65 opérations de premier niveau, des dizaines
                                  de sous-fonctions comprenant chacune des dizaines d’options
                                – Difficile à inclure dans un noyau Unix standard… d’où SAMBA
                                  (implémentation la plus répandue)



             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                27
   Modèle NetBIOS vs TCP/IP
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   28
   Services de base Windows NT/2000/XP

                      – Sécurité et contrôle d’accès
                           • Très différent de NFS
                                – Sensible à la rupture de connexion
                                – Incluant un système d’authentification « utilisateur » et non basée
                                  sur la machine
                           • Protection au niveau ressource (Share-level)
                                – Un mot de passe par répertoire partagé (disponible uniquement
                                  sur les systèmes de type Windows 9x) => on oublie !!!
                           • Protection au niveau utilisateur (User-level)
                                – Authentification basée sur le couple login/mot de passe (seul
Mastère IR




                                  mode disponible sur les systèmes de type Windows NT)
                      – Évolution du protocole
                           • Différents dialectes : Lan Manager, NTLM, CIFS
                                – SAMBA implémente la version NTLM 1.0 (?)
                                – Une session SMB comprend une phase de négociation sur la
                                  version de protocole utilisée

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                      29
   Session SMB

                                                    Négociation

                                           Protocole sélectionné
                                            Ouverture de session ?

                                                         UID
Mastère IR




                                                  Connexion à
                                                  l ’arborescence ?
                                                         TID



             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   30
   Services de base Windows NT/2000/XP

                • CIFS
                   – SMB au-dessus de TCP/IP
                           • Version « ouverte » du protocole SMB
                                – Code offert à l’IETF… dans le but d’en faire un standard Web ?
                                – Nombreux utilitaires de type passerelle Web-SMB
                           • S’appuie sur les adresses IP et non sur NetBIOS
                                – Depuis Windows 2000 on peut ainsi faire du SMB sans NetBIOS
                                  (Direct Hosting)
                                – CIFS troque WINS au profit de DDNS
Mastère IR




                                – CIFS peut donc (en théorie) franchir les routeurs
                           • Réfère à une suite de protocoles
                                – Partage de fichiers et/ou imprimantes, annonce de service,
                                  nommage, authentification, autorisations
                           • Maintient une compatibilité avec les anciennes
                             versions SMB

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                 31
   Services de base Windows NT/2000/XP

                • Visibilité des ressources partagées
                      – Mécanisme d’exploration
                           • Voisinage Réseau
                                – Basé sur SMB
                                – Rôle : identifier/répertorier les ressources réseau disponibles
                           • Toute machine s’enregistre auprès du Master Browser
                                – Cela a pour principal avantage de limiter les broadcast !-)
                           • Types d’explorateurs
Mastère IR




                                – Explorateur maître de domaine (= PDC), explorateur maître,
                                  explorateur de sauvegarde, potentiel et non-explorateur
                                – Temps de synchronisation (plusieurs minutes)
                                – Mécanismes d’élections d’explorateurs
                      – Rôle dévolue à Active Directory désormais
                           • Recensement des ressources partagées dans LDAP

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                  32
   Services de base Windows NT/2000/XP

                • Accès aux ressources partagées
                      – Notation UNC
                           • Localisation des ressources partagées via SMB
                                –   Dans sa version la plus simple : \\nom_serveur\nom_partage
                                –   Commande net share (~ exportfs Unix) et net use (~ mount Unix)
                                –   Accès direct via chemin UNC
                                –   Accès via disque réseau = mappage ou montage sous une lettre de
                                    lecteur disponible (e.g. net use H: \\homesrv\my_home)
                      – Permissions
Mastère IR




                           • Deux « niveaux » de permissions
                                – Grossier : permissions de dossiers partagés (~ type d’export Unix)
                                – Très fin : permissions de disques NTFS (> permissions Unix)
                           • Permission à distance = & logique entre les permissions
                             NTFS et de partage

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                     33
   Répertoire partagé

                                                                  • Onglet Général
                                                                        • Informations générales
                                                                  • Onglet Partage
                                                                        • Si partage : Autorisations
                                                                          (i.e. Permissions de
                                                                          partage), Mise en cache
                                                                          (travail hors connexion),
                                                                          … etc
Mastère IR




                                                                  • Onglet Sécurité
                                                                        • Permissions NTFS




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                     34
   Services de base Windows NT/2000/XP

                • Traitement réparti
                      – Principe
                           • Client-serveur
                                – Déjà vu par ailleurs 

                      – Mécanismes de communications inter-
                        processus (IPC)
                           • De très nombreux mécanismes :
Mastère IR




                                – Interface NetBIOS , Canaux nommés, BAL, RPC, Windows
                                  Sockets (ou WINSocks), NetDDE, DCOM, Message Queues
                                – Certains mécanismes utilisent en fait des API sous-jacentes (eg.
                                  RPC qui peut s’appuyer sur les Canaux nommés, WINSocks,
                                  NetBIOS ou autre)




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                   35
                                         Partage de fichiers entre
                                                Windows & Unix
                           Constat et approches possibles
                           SAMBA (GNU)
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   36
   Partage de fichiers entre Windows & Unix

                • Constat
                      – Pas de protocole commun :-(
                           • Monde Microsoft : SMB (CIFS)
                           • Monde Unix : NFS
                • Approche tout SMB
                      – Solution atypique
                           • Serveurs Windows ou Samba => Clients SMB pour Unix
Mastère IR




                                – Produits tiers ou support natif : Sharity, smbsh, smbfs, cifsfs

                • Approche tout NFS
                      – Solution très répandue… jusqu’en 1995
                           • Serveurs Unix purs et durs => Clients, Serveurs et
                              Passerelles NFS pour Windows
                                – Produits chez Intergraph, FTP Software, NetManage, SunSoft, ...

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                  37
   Partage de fichiers entre Windows & Unix

                • Approche SMB et NFS
                      – Solution très répandue aujourd’hui
                           • Avantage : rien à ajouter côté postes clients Windows
                      – Serveurs de fichiers multi-protocoles (NAS)
                           • Solutions matérielles
                                – Entièrement dédiées (aka Appliance) : baie RAID + système
                                  spécifique et/ou optimisé ; offre variée : produits d’entrée de
                                  gamme (Iomega, SnapAlliance, etc.), produits intermédiaires
                                  (IBM, Dell, HP/Compaq, Additionnal Design, etc.), produits haut
Mastère IR




                                  de gamme (Network Appliance, etc.)
                           • Solutions logicielles (libres essentiellement)
                                – FreeNAS, OpenFiler, NasLite : (NFS + Samba + Ftp) pour le
                                  moins ; supporte parfois Rsync, WebDAV, SSH, …etc
                      – Élément clé : surcouche SMB pour Unix
                           • Typiquement : SAMBA (GNU)
                                – Autres solutions : AS/U (AT&T), TAS (Syntax), VisionFS (SCO)
             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                  38
   Partage de fichiers (approche serveur & client SMB)
                Serveur Unix                                                              Serveur NT

                                   Serveur
                                    SMB




                        Client SMB
Mastère IR




                      Station Unix                                                   PC Windows

                                                                       SMB                NFS
             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                     39
   Partage de fichiers entre Windows & Unix

                • SAMBA (GNU)
                      – Implémentation open-source du protocole SMB
                           • Un colossal travail (développement et documentation)
                           • Environ une trentaine de développeurs (Samba Team)
                      – Permet (essentiellement) à un client Windows
                        d’accéder aux fichiers d’un serveur Unix
                           • Mais permet également…
                                – Partage d’imprimantes (évolution CUPS), Exploration réseau,
Mastère IR




                                  Authentification des utilisateurs (PDC et/ou BDC NT), Serveur
                                  intégré dans un domaine AD
                           • Produit gratuit disponible pour tous les Unix
                                – Inclus dans certaines offres éditeurs/constructeurs
                           • Configurable via un navigateur (Swat)
                                – D’autres interfaces graphiques sont possibles : Webmin, …etc.


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                40
   SWAT
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   41
   Partage de fichiers entre Windows & Unix

                      – Version 2.x : implémentation quasi complète des
                        services réseaux NT sous Unix
                           • Contrôleur de domaine (DC)
                                – … mais pas de réplication possible avec du pur DC Windows
                           • Serveur de fichiers/d’imprimantes
                                – Gestion des ACLs NT
                           • Serveur WINS
                           • Maître explorateur
                      – Version 3.0 : intégration avec Active Directory
Mastère IR




                           • Intégration dans un domaine AD finalisée
                           • Prochaine étape, Samba 4 : DC pour domaine AD




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix            42
   Partage de fichiers entre Windows & Unix

                      – Démons et services
                           • 2 démons principaux : smbd et nmbd
                                – smbd : serveur de partage de fichier et d’impression
                                – nmbd : serveur de noms NetBIOS (« contrôlé » par smbd)
                           • 1 démon « auxiliaire » : winbindd
                                – Permet « d’importer » des utilisateurs de domaine Windows en
                                  tant qu’utilisateurs Unix (via PAM et nsswitch)
                                – Indépendant de smbd
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix               43
   Partage de fichiers entre Windows & Unix

                      – Fichier de configuration : smb.conf
                           • 3 sections prédéfinies (et réservées !) :
                                – [global] : configuration globale
                                – [homes] : homedir utilisateurs ( auto-montage)
                                – [printers] : imprimantes ( auto-montage)
                           • Autres sections réservées :
                                – [netlogon] : scripts de login et stratégies (usage en PDC)
                                – [profiles] : profils errants utilisateurs
Mastère IR




                                – [print$] : drivers imprimantes




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix             44
   Partage de fichiers entre Windows & Unix

                      – Bases de données de comptes ou backends
                         • Évolution au fil des versions
                                – Samba 2, Samba TNG, Samba 3
                           • Anciens backends
                                – « Texte clair » : ie. base de compte Unix (typiquement
                                  /etc/passwd) ; proscrit (mots de passe circulent en clair !)
                                – smbpasswd : inclut compte LanMan et NT mais pas les autres
                                   informations ; déprécié
Mastère IR




                                – ldapsam_compat : utilisée lors de mise à niveau ; déprécié




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix               45
   Partage de fichiers entre Windows & Unix

                      – Bases de données de comptes ou backends
                        (suite)
                         • Nouveaux backends
                                – tdbsam : inclut toutes les informations de compte mais non
                                   recommandé au delà de 250 comptes
                                – ldapsam : basé sur OpenLDAP, inclut toutes les informations de
                                   compte et représente la solution de choix actuellement
                                – mysqlsam : possible dans un contexte très orienté MySQL
Mastère IR




                                – xmlsam : utile lors de migration ?




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                 46
   Partage de fichiers entre Windows & Unix

                      – Plusieurs utilitaires
                           • Binaires :
                                –   testparm : vérification du fichier smb.conf
                                –   smbstatus : statut des connexions actives
                                –   smbpasswd : gestion des mots de passe cryptés
                                –   nmblookup : résolution de noms NetBIOS en adresse IP
                                –   smbclient : client SMB « ftp-like »
                                –   smbmount : montage de système de fichier smbfs (ie. partage
Mastère IR




                                    SAMBA) ; s’appuit sur smbmnt, équivalent à mount –t smbfs …
                                –   smbcacls : modifie les ACLs des fichiers/répertoires SAMBA
                                –   net : « semblable » à l’utilitaie net de Windows
                                –   rpcclient : exécution de commandes à distance
                                –   …etc


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                47
   Partage de fichiers entre Windows & Unix

                      – Plusieurs utilitaires (suite)
                           • Scripts :
                                – pdbedit : gestion des comptes (tous backends confondus)
                                – smbtar : sauvegarde/restauration de fichiers/répertoires
                                   Windows
                                – findsmb : information sur les systèmes SMB du réseau local
                                – ...etc
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix             48
                                    Mise en œuvre de SAMBA
                           Problématique d’authentification
                           utilisateur
                           Problématique de contrôle d’accès
                           Problématiques de types de
                           fichiers
Mastère IR




                           Tests et diagnostics




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   49
   Mise en œuvre de SAMBA

                • Problématique d’authentification utilisateur
                      – Bases de compte « parallèles » 2000/XP et Unix
                           • Pas de compte Samba… sans compte Unix !
                                – Sinon pas d’accès au système de fichier ;-)
                           • Configuration très sensible du fichier smb.conf
                                – Principalement le paramètre security
                           • Samba supporte les modes (SMB) share et user
                                – En mode user le serveur SAMBA fait office de contrôleur
Mastère IR




                           • … mais décline le mode user en plusieurs modes
                                – Mode server : l’authentification est déléguée à un autre serveur
                                  (qui doit être spécifié) ; connexion maintenue 
                                – Mode domain : idem server et de plus le serveur SAMBA fait
                                  partie intégrante du domaine NT ( SAMBA 2.x)
                                – Mode ads : idem domain et de plus le serveur SAMBA fait partie
                                  intégrante du domaine Active Directory ( SAMBA 3.x)

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                   50
   Mise en œuvre de SAMBA

                      – Sans authentification… passons notre chemin !-)
                           • Mode security = share & encrypt passwords = no
                                – Pas d’authentification sur le partage  à proscrire !
                      – Authentification assumée par le serveur SAMBA
                           • Mode security = user & encrypt passwords = no
                                – Base locale Unix passwd ou autre (fonction de nsswitch.conf)
                                – Implique d’user de mot de passe non cryptés (i.e. transmis en
                                  clair)  de modifier les clients Windows pour les obliger à cela
                                  (car ce n’est plus standard)  à proscrire !
Mastère IR




                           • Mode security = user & encrypt passwords = yes
                                – Base locale smbpasswd (i.e. pseudo-base SAM à créer de toute
                                  pièce)  commande smbpasswd et autres utilitaires… ou fichier
                                  type tdb ou base locale LDAP (compatible LDAP v3)
                                – Authentification NTLM
                                – Possibilité de synchronisation avec la base de compte Unix
                                – Possibilité d’être configuré en contrôleur de domaine NT

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                   51
   Mise en œuvre de SAMBA

                      – Authentification déléguée à un autre serveur
                           • Dispense de devoir créer une base locale SAMBA
                           • Mode security = server & password server = <nt_srv>
                                – Appui sur un contrôleur de domaine Windows NT4 ou 2000
                                – Authentification NTLM (même dans le cas d’un serveur Windows
                                  2000)
                           • Mode security = domain
                                – Idem ci-dessus mais de + le serveur SAMBA doit être raccroché
                                  au domaine NT (à l’instar des autres stations/serveurs Windows)
Mastère IR




                           • Mode security = ads & realm = <ad_krb_realm>
                                – Nécessite une version SAMBA 3.0 ou supérieure
                                – Appui sur un contrôleur de domaine Windows 2000 ou 2003
                                  faisant office de serveur de tickets Kerberos (KDC)
                                – Authentification Kerberos  serveur SAMBA avec configuration
                                  client Kerberos correcte (fichier krb5.conf, etc.) et raccrochage
                                  au domaine Active Directory


             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                    52
   Authentification Samba
                                                                                            Windows

                                                                                             Linux
                                                                     Base smbpasswd
                                                                    (voire tdbsam ou
                                                                        ldapsam)



                                                                     NTLM                Domaine
                                                                                           NT
Mastère IR




                                                                    Kerberos              Domaine
                                                                                       Active Directory




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                    53
   Mise en œuvre de SAMBA

                • Problématique de contrôle d’accès
                      – Par utilisateur
                           • Les droits de connexion au service Samba s’appliquent
                             avant toute chose
                                – Équivalent aux permissions de partage Windows
                                – Nombreuses options pour le mode (read only, …etc.), pour le
                                  contrôle des usagers autorisés (valid users, …etc.) notamment
                                  par l’usage des groupes (Unix ou NIS)
                           • Les droits d'accès des utilisateurs sous UNIX
Mastère IR




                             s'appliquent en dernière instance
                                – Droits POSIX (type rwx) ou ACLs (si supportés par le système de
                                  fichiers employés… et la version de Samba)
                                – Nombreuses options pour spécifier les droits associés aux
                                  fichiers lors de leur création (create mode, …etc.)
                                – Avec les ACLs on a une meilleure adéquation Unix-Windows



             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                  54
   Mise en œuvre de SAMBA

                      – Par machine
                           • Contrôle au niveau de Samba
                                – Par des directives spéciales (host deny, …etc.).

                • Problématiques de types de fichiers
                      – MS-Dos
                           • Noms longs ou 8.3, « insensibles » à la casse
                             (Fonctions de conversion pour les noms longs)
Mastère IR




                                – Notion de mangling
                                – Attention aux caractères accentués !
                           • Transposition des attributs




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix   55
   Mise en œuvre de SAMBA

                • Tests et diagnostics de Samba
                      – Analyse pyramidale !
                           • Du plus bas niveau (tests de connectivité, …etc.) au
                             plus haut niveau (debuggers, etc)
                                – NB : ceci n’est pas valable que pour Samba ;-)
                           • Des aides précieuses…
                                – Comme le fichier The Samba Checklist qui nous servira de fil
                                  conducteur durant le TP
Mastère IR




             Partage de ressources entre le monde Windows 2000/XP et le monde Unix               56
   Analyse pyramidale
Mastère IR




                                                                       Source « Samba en 24 h »

             Partage de ressources entre le monde Windows 2000/XP et le monde Unix                57

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:22
posted:12/8/2011
language:French
pages:56