Onglet Samba : Configuration du contrôleur de domaine
EOLE propose un contrôleur de domaine principal (PDC[1]) de type Windows NT.
Cela signifie qu'il permet une authentification centralisée des ouvertures de session sur les postes clients et qu'il fournit un ensemble de partages aux utilisateurs (dossier personnel, dossier de groupes, partages communs, d'icônes, etc.).
Les droits d'accès sont différents suivant les groupes auxquels l'utilisateur appartient.
Sur le module Scribe, un professeur aura globalement plus de droits qu'un élève. Il a également à sa disposition des outils lui permettant d'interagir avec les élèves (observation, blocage, distribution de documents, etc.).
Seules deux variables sont à remplir avec attention pour obtenir un contrôleur fonctionnel.
Elles se trouvent dans l'onglet Samba
de l'interface de configuration du module.
Domaine Samba
Attention
Sa taille maximale est fixée à 15 caractères et il ne doit pas être modifié une fois le module instancié.
En mode conteneur (sur les modules AmonEcole et ses variantes), il doit impérativement être différent du Nom de la machine
.
Le champ Nom du domaine Samba
, aussi appelé groupe de travail (workgroup) est le nom qui sera utilisé lors de l'intégration d'une station au domaine.
Attention
Sa taille maximale est également fixée à 15 caractères et il ne doit pas être modifié une fois que le module instancié.
Il doit impérativement être différent du Nom du contrôleur de domaine
.
ComplémentCaractères autorisés et non autorisés
Noms d'ordinateur NetBIOS peuvent contenir tous les caractères alphanumériques à l'exception des caractères étendus suivants :
- la barre oblique inverse (\) ;
- marque de barre oblique (/) ;
- signe deux-points (:) ;
- astérisque (*) ;
- point d'interrogation (?) ;
- guillemet (") ;
- inférieur à (<) signe ;
- signe supérieur à (>) ;
- barre verticale (|).
Attention, les noms peuvent contenir un point, mais ne peuvent pas commencer par un point.
Pour en savoir plus sur les conventions de nommage dans un domaine, vous pouvez consulter la page :
Fichiers invisibles sur les partages
Tous les noms de fichiers commençant par un point sont invisibles dans les partages Windows.
Dans la configuration de Samba, plusieurs types de fichiers ont été ajoutés pour les rendre invisibles des utilisateurs :
desktop.ini : les fichiers
desktop.ini
générés par le fonctionnement de Windows sont cachés à l'utilisateur (hide files = /desktop.ini/ dans le fichiersmb.conf
). En mode expert, la liste des fichiers cachés peut être personnalisée grâce à la variableFichiers à masquer dans le partage
;$recycle.bin : les fichiers
$recycle.bin
générés par le fonctionnement de Windows sont cachés et inaccessibles par l'utilisateur (veto files = /$RECYCLE.BIN/ dans le fichiersmb.conf
) ;.scanned:* : si l'anti-virus temps réel est activé, les fichier
.scanned:*
générés par Scannedonly[3] sont cachés et inaccessibles par l'utilisateur (veto files = /.scanned:*/).
Mode multi-établissement
Pour certaines structures, une communauté de communes par exemple, il peut être intéressant de n'avoir qu'un seul module Scribe ou AmonEcole pour gérer plusieurs établissements.
Pour activer le support du mode multi-établissement il faut passer la variable Support du multi-établissement
à oui
. Le paramétrage du mode multi-établissement se fait dans l'EAD.
En mode normal il est possible de choisir le modèle de partage par défaut.
Modèle de partage par défaut
Le fichier de configuration Samba (/etc/samba/smb.conf
) est généré à partir des informations contenues dans l'annuaire.
Par défaut, les partages utilisent le template python : /usr/share/eole/fichier/models/standard.tmpl
Il est possible d'utiliser un autre modèle de partage par défaut pour les nouveaux partages en renseignant son nom (sans l'extension .tmpl
) au niveau de l'option Modèle de partage par défaut
.
Il existe déjà plusieurs modèles à disposition :
standard
héritage des permissions, accès en écriture, accès autorisé uniquement aux membres du groupe
commun
héritage des permissions, accès en écriture, accessible à tous en lecture et en écriture, accès anonyme (guest)
devoirs
héritage des permissions, accès en écriture, accessible à tous les utilisateurs authentifiés en lecture et en écriture
groupes
héritage des permissions, accès en écriture, accessible à tous les utilisateurs authentifiés en lecture et en écriture
icones$
caché dans le voisinage réseau, accès anonyme (guest)
minedu
héritage des permissions, accès en écriture, accès autorisé uniquement aux membres du groupe, nom de fichier et répertoire en minuscules
Configuration avancée du serveur Samba
En mode expert il est possible d'affiner la configuration du serveur Samba.
Âge maximal par défaut des mots de passe
Définit la durée en jours avant expiration d’un mot de passe.
Cette durée est compté à partir de la date d'enregistrement du mot de passe.
Si la valeur est à 0 alors le mot de passe n'expire jamais.
Durée du cache des résultats de requêtes négatifs
Durée du cache des résultats de requêtes négatifs exprimée en secondes (une valeur de 1 désactive le cache).
Délai avant abandon pour la connexion au LDAP
Durée en secondes avant abandon de la connexion à l'annuaire LDAP.
Libellé du serveur Samba
Par défaut le libellé est le nom de l'établissement, il apparaît sur les stations clientes, il peut être modifié à votre convenance.
Activer la corbeille Samba
Par défaut lorsque l'on supprime un fichier depuis un partage Samba, il est directement supprimé.
L'option Activer la corbeille Samba
permet de paramétrer Samba pour que les fichiers supprimés soient déplacés dans un répertoire "corbeille".
Le nom proposé par défaut (.corbeille
) définit un répertoire qui sera masqué pour les utilisateurs.
Il est possible de rendre ce répertoire accessible en lui donnant un autre nom (exemple : corbeille
).
La durée de conservation des fichiers supprimés est également paramétrable.
Remarque
Les fichiers déplacés dans la corbeille sont inclus dans le calcul de l'espace disque occupé par l'utilisateur. Pour limiter les dépassements de quota disque, il est conseillé de paramétrer une durée de conservation assez courte.
Activer l'envoi de courriel en cas de dépassement des quotas
Un envoi de courriel peut être activé en cas de dépassement de quotas. L'envoi se fait une fois par jour durant les 7 jours alloués pour résoudre le problème d'espace disque.
Activer le mode invité sur le partage
Certaines configurations ou logiciels (exemple : WPKG) nécessitent de paramétrer des partages en mode invité (guest ok = yes
).
Cela n'est possible que si le mode invité a été activé à l'aide de l'option Activer le mode invité sur le partage
.
Niveau de log
Le niveau de log est à 0
par défaut, il peut être paramétré entre 0 et 10.
Nombre de minutes d'inactivité avant déconnexion automatique d'accès à un fichier
Cette option globale définit le nombre de minutes que Samba va attendre un client inactif avant de fermer sa session avec le serveur Samba. Un client est considéré comme inactif quand il n'a pas de fichiers ouverts et qu'il n'envoie aucune donnée.
Si la valeur de cette option est mise à 0
, cela qui signifie que Samba ne fermera jamais aucune connexion et cela peut conduire à une consommation inutile des ressources du serveur par les clients inactifs.
Pour la plupart des réseaux, l'utilisation de cette option ne posera pas de problème car la reconnexion du client sera réalisée de manière transparente pour l'utilisateur.
Fichiers à masquer dans le partage
Cette option permet de personnaliser la liste des fichiers qui doivent être cachés à l'utilisateur.
Attention
Il est impératif de respecter le format attendu par le fichier de configuration de Samba à savoir :
/desktop.ini/fichier2/fichier3/
Démarrer le serveur Wins
Sert à la résolution des noms de machine sur un réseau type Microsoft Windows.
Option à oui
par défaut, désactivable si un autre service Wins est présent sur le réseau.
Rechercher des noms d'hôte dans le DNS
Recherche complémentaire sur le serveur DNS si le serveur n'a pas identifié la machine via Wins.
Option à non
par défaut.
Activer les verrous opportunistes (oplocks)
Les verrous opportunistes augmentent les performances du serveur en activant un accès exclusif aux fichiers.
Option à non
par défaut. Les verrous sont gérés côté client et certaines applications ne gèrent pas les verrous.
Activer le support des attributs DOS
Option à non
par défaut. Permet à Samba d'utiliser les attributs DOS (caché, système et archive).
Niveau de candidature lors de l'élection d'un maître explorateur
Cette valeur va influer sur les chances de Samba de remporter les élections de maître explorateur.
La valeur par défaut est 99
. Elle doit être comprise entre 0 et 255.
Activer des partages supplémentaires
Passer Activer des partages supplémentaires
à oui
permet d'activer un ou plusieurs nouveaux partages. Pour ajouter un ou plusieurs partages il faut cliquer sur le bouton + Nom du partage
.
Les options à saisir pour chaque partage supplémentaire sont :
le
Nom du partage
;le
Nom absolu du répertoire à partager
= chemin Unix du répertoire à partager ;la
Visibilité du partage
= visibilité dans le voisinage réseau ;le
Partage est en lecture/écriture
:- si la variable est à
oui
→ lecture/écriture ; - si la variable est à
non
→ lecture seule.
- si la variable est à
Attention
L'activation et la déclaration d'un partage supplémentaire ne crée pas le répertoire sur le disque. Il faut réaliser cette opération manuellement et affecter des droits adaptés sur le répertoire.
Partages manuels
Le fichier smb.conf
est re-généré à chaque reconfiguration du serveur (commande reconfigure
) et également lors de l'ajout d'un partage ou d'un groupe avec partage.
Ce fichier est généré à partir du template : /usr/share/eole/creole/distrib/smb.conf
et des partages déclarés dans l'annuaire LDAP.
Le template, qui contient principalement la section [global]
, peut éventuellement être patché.
La gestion des ACLs en elle-même est totalement indépendante de la configuration de Samba.
Il est possible de déclarer un partage supplémentaire manuellement en plaçant un fichier (possédant l'extension .conf
) décrivant le partage dans le répertoire /etc/samba/conf.d/
.
Sa prise en compte nécessite un reconfigure
.
Complément
Pour plus d'informations, vous pouvez consulter la page de manuel :
# man smb.conf
ou
http://manpages.ubuntu.com/manpages/precise/en/man5/smb.conf.5.html
Autoriser l'ouverture de flux à partir d'un port source
Lors de diagnostic il peut être utile d'utiliser la commande nmblookup
pour déterminer l'adresse IP du ou des serveurs contrôleurs de domaine sur le réseau local.
Pour que l'échange puisse se faire en UDP via le port 137 il est nécessaire que le serveur EOLE puisse en autoriser l'accès.
Pour activer cette fonctionnalité il faut passer Autoriser l'ouverture de flux à partir d'un port source
à oui
.
Les options pour le port autorisés et le protocole peuvent être laissés par défaut. Par contre il est important de choisir l'interface sur laquelle aura lieu cette autorisation.
Il est possible d'ajouter des autorisations sur plusieurs interfaces en cliquant sur le bouton Port source à partir duquel les flux sont autorisés
.
Paramètres système
En cas de forte sollicitation d'accès à un partage Samba (nombre de fichiers ouverts par Samba supérieur à 20000) l'augmentation des valeurs sur les 3 paramètres ci-dessous permet d'éviter les pertes d'accès au partage :
Nombre maximum d'instances inotify pour un UID réel
Nombre maximum de surveillants associés à une instance inotify
Nombre maximum d'événements mis en file d'attente dans une instance inotify
La variable Nombre maximum de partage utilisateurs
permet de limiter le nombre de dossiers partagés par utilisateur (directive : usershare max shares). Par défaut, ceux-ci sont ignorés.
La variable Optimisations réseau
permet de personnaliser les options de la directive Samba : socket options.
Anti-virus temps réel
Afin de limiter la propagation des virus à travers le réseau, une surveillance anti-virus temps réel est active sur les partages.
L'activation du service se gère en modifiant la variable Activer l'anti-virus temps réel sur SMB
dans l'onglet Clamav
de l'interface de configuration du module.
Attention cet onglet n'est visible que si le service Clamav est lui même activé (Activer l'anti-virus Clamav
à oui
) dans l'onglet Services
.
La durée de conservation des fichiers mis en quarantaine est paramétrable.
Lorsqu'un virus est détecté, il est renommé avec le préfixe .virus:
et devient masqué pour l'utilisateur.
Complément
La consultation des fichiers infectés détectés et mis en quarantaine par le serveur peut se faire au travers de l'EAD.