Onglet Samba : Configuration du contrôleur de domaine

EOLE propose un contrôleur de domaine principal (PDC[1]) de type Windows NT.

Cela signifie qu'il permet une authentification centralisée des ouvertures de session sur les postes clients et qu'il fournit un ensemble de partages aux utilisateurs (dossier personnel, dossier de groupes, partages communs, d'icônes, etc.).

Les droits d'accès sont différents suivant les groupes auxquels l'utilisateur appartient.

Sur le module Scribe, un professeur aura globalement plus de droits qu'un élève. Il a également à sa disposition des outils lui permettant d'interagir avec les élèves (observation, blocage, distribution de documents, etc.).

Seules deux variables sont à remplir avec attention pour obtenir un contrôleur fonctionnel.

Elles se trouvent dans l'onglet Samba de l'interface de configuration du module.

Domaine Samba

Configuration Samba
Configuration Samba

Le champ Nom du contrôleur de domaine (nom d'ordinateur NetBIOS[2]) est le nom qui sera utilisé pour accéder aux fichiers avec la syntaxe \\machine.

Attention

Sa taille maximale est fixée à 15 caractères et il ne doit pas être modifié une fois le module instancié.

En mode conteneur (sur les modules AmonEcole et ses variantes), il doit impérativement être différent du Nom de la machine.

Le champ Nom du domaine Samba, aussi appelé groupe de travail (workgroup) est le nom qui sera utilisé lors de l'intégration d'une station au domaine.

Attention

Sa taille maximale est également fixée à 15 caractères et il ne doit pas être modifié une fois que le module instancié.

Il doit impérativement être différent du Nom du contrôleur de domaine.

ComplémentCaractères autorisés et non autorisés

Noms d'ordinateur NetBIOS peuvent contenir tous les caractères alphanumériques à l'exception des caractères étendus suivants :

  • la barre oblique inverse (\) ;
  • marque de barre oblique (/) ;
  • signe deux-points (:) ;
  • astérisque (*) ;
  • point d'interrogation (?) ;
  • guillemet (") ;
  • inférieur à (<) signe ;
  • signe supérieur à (>) ;
  • barre verticale (|).

Attention, les noms peuvent contenir un point, mais ne peuvent pas commencer par un point.

Pour en savoir plus sur les conventions de nommage dans un domaine, vous pouvez consulter la page :

http://support.microsoft.com/kb/909264/fr

Fichiers invisibles sur les partages

Tous les noms de fichiers commençant par un point sont invisibles dans les partages Windows.

Dans la configuration de Samba, plusieurs types de fichiers ont été ajoutés pour les rendre invisibles des utilisateurs :

  • desktop.ini : les fichiers desktop.ini générés par le fonctionnement de Windows sont cachés à l'utilisateur (hide files = /desktop.ini/ dans le fichier smb.conf). En mode expert, la liste des fichiers cachés peut être personnalisée grâce à la variable Fichiers à masquer dans le partage ;

  • $recycle.bin : les fichiers $recycle.bin générés par le fonctionnement de Windows sont cachés et inaccessibles par l'utilisateur (veto files = /$RECYCLE.BIN/ dans le fichier smb.conf) ;

  • .scanned:* : si l'anti-virus temps réel est activé, les fichier .scanned:* générés par Scannedonly[3] sont cachés et inaccessibles par l'utilisateur (veto files = /.scanned:*/).

Mode multi-établissement

Pour certaines structures, une communauté de communes par exemple, il peut être intéressant de n'avoir qu'un seul module Scribe ou AmonEcole pour gérer plusieurs établissements.

Activation du mode multi-établissement dans l'interface de configuration du module
Activation du mode multi-établissement dans l'interface de configuration du module

Pour activer le support du mode multi-établissement il faut passer la variable Support du multi-établissement à oui. Le paramétrage du mode multi-établissement se fait dans l'EAD.

En mode normal il est possible de choisir le modèle de partage par défaut.

Modèle de partage par défaut

Le fichier de configuration Samba (/etc/samba/smb.conf) est généré à partir des informations contenues dans l'annuaire.

Par défaut, les partages utilisent le template python : /usr/share/eole/fichier/models/standard.tmpl

Il est possible d'utiliser un autre modèle de partage par défaut pour les nouveaux partages en renseignant son nom (sans l'extension .tmpl) au niveau de l'option Modèle de partage par défaut.

Il existe déjà plusieurs modèles à disposition :

  • standard

    héritage des permissions, accès en écriture, accès autorisé uniquement aux membres du groupe

  • commun

    héritage des permissions, accès en écriture, accessible à tous en lecture et en écriture, accès anonyme (guest)

  • devoirs

    héritage des permissions, accès en écriture, accessible à tous les utilisateurs authentifiés en lecture et en écriture

  • groupes

    héritage des permissions, accès en écriture, accessible à tous les utilisateurs authentifiés en lecture et en écriture

  • icones$

    caché dans le voisinage réseau, accès anonyme (guest)

  • minedu

    héritage des permissions, accès en écriture, accès autorisé uniquement aux membres du groupe, nom de fichier et répertoire en minuscules

Configuration avancée du serveur Samba

En mode expert il est possible d'affiner la configuration du serveur Samba.

Âge maximal par défaut des mots de passe

Définit la durée en jours avant expiration d’un mot de passe.

Cette durée est compté à partir de la date d'enregistrement du mot de passe.

Si la valeur est à 0 alors le mot de passe n'expire jamais.

Durée du cache des résultats de requêtes négatifs

Durée du cache des résultats de requêtes négatifs exprimée en secondes (une valeur de 1 désactive le cache).

Délai avant abandon pour la connexion au LDAP

Durée en secondes avant abandon de la connexion à l'annuaire LDAP.

Libellé du serveur Samba

Par défaut le libellé est le nom de l'établissement, il apparaît sur les stations clientes, il peut être modifié à votre convenance.

Activer la corbeille Samba

Par défaut lorsque l'on supprime un fichier depuis un partage Samba, il est directement supprimé.

L'option Activer la corbeille Samba permet de paramétrer Samba pour que les fichiers supprimés soient déplacés dans un répertoire "corbeille".

Le nom proposé par défaut (.corbeille) définit un répertoire qui sera masqué pour les utilisateurs.

Il est possible de rendre ce répertoire accessible en lui donnant un autre nom (exemple : corbeille).

La durée de conservation des fichiers supprimés est également paramétrable.

Remarque

Les fichiers déplacés dans la corbeille sont inclus dans le calcul de l'espace disque occupé par l'utilisateur. Pour limiter les dépassements de quota disque, il est conseillé de paramétrer une durée de conservation assez courte.

Activer l'envoi de courriel en cas de dépassement des quotas

Un envoi de courriel peut être activé en cas de dépassement de quotas. L'envoi se fait une fois par jour durant les 7 jours alloués pour résoudre le problème d'espace disque.

Activer le mode invité sur le partage

Certaines configurations ou logiciels (exemple : WPKG) nécessitent de paramétrer des partages en mode invité (guest ok = yes).

Cela n'est possible que si le mode invité a été activé à l'aide de l'option Activer le mode invité sur le partage.

Niveau de log

Le niveau de log est à 0 par défaut, il peut être paramétré entre 0 et 10.

Nombre de minutes d'inactivité avant déconnexion automatique d'accès à un fichier

Cette option globale définit le nombre de minutes que Samba va attendre un client inactif avant de fermer sa session avec le serveur Samba. Un client est considéré comme inactif quand il n'a pas de fichiers ouverts et qu'il n'envoie aucune donnée.

Si la valeur de cette option est mise à 0, cela qui signifie que Samba ne fermera jamais aucune connexion et cela peut conduire à une consommation inutile des ressources du serveur par les clients inactifs.

Pour la plupart des réseaux, l'utilisation de cette option ne posera pas de problème car la reconnexion du client sera réalisée de manière transparente pour l'utilisateur.

Fichiers à masquer dans le partage

Cette option permet de personnaliser la liste des fichiers qui doivent être cachés à l'utilisateur.

Attention

Il est impératif de respecter le format attendu par le fichier de configuration de Samba à savoir :

/desktop.ini/fichier2/fichier3/

Démarrer le serveur Wins

Sert à la résolution des noms de machine sur un réseau type Microsoft Windows.

Option à oui par défaut, désactivable si un autre service Wins est présent sur le réseau.

Rechercher des noms d'hôte dans le DNS

Recherche complémentaire sur le serveur DNS si le serveur n'a pas identifié la machine via Wins.

Option à non par défaut.

Activer les verrous opportunistes (oplocks)

Les verrous opportunistes augmentent les performances du serveur en activant un accès exclusif aux fichiers.

Option à non par défaut. Les verrous sont gérés côté client et certaines applications ne gèrent pas les verrous.

Activer le support des attributs DOS

Option à non par défaut. Permet à Samba d'utiliser les attributs DOS (caché, système et archive).

Niveau de candidature lors de l'élection d'un maître explorateur

Cette valeur va influer sur les chances de Samba de remporter les élections de maître explorateur.

La valeur par défaut est 99. Elle doit être comprise entre 0 et 255.

Niveau de protocole maximum supporté par le serveur

Cette variable, disponible à partir de la version 2.5.2 d'EOLE, permet de forcer l'utilisation d'un protocole.

Par défaut, la valeur sur un module EOLE 2.5.2 est NT1. Cette valeur permettait d'assurer la compatibilité avec Windows 10.

La valeur default est la valeur proposée par défaut par la version de Samba elle-même.

Exemple

La valeur default est par exemple SMB3 pour la version 4.1.6 de Samba.

Attention

Depuis la version 1709 de Windows 10 l'intégration au domaine d'une station nécessite au préalable :

  • de passer le niveau de protocole maximum à la valeur default sur le module gérant le domaine (Scribe, Horus ou AmonEcole) ;

  • d'activer le support de partage de fichiers SMB 1.0/CIFS sur les postes clients.

Annoncer Spoolss comme architecture x64

Le service d'impression de Samba se présente par défaut comme étant 32-bit ("Windows NT x86"). Annoncer Spoolss comme architecture x64, disponible à partir de la version 2.5.2 d'EOLE, permet au serveur d'impression de se présenter comme étant 64-bit (Architecture = x64 de Windows) ce qui permet d'ajouter des pilotes d'imprimante 64 bits.

Activer des partages supplémentaires

Passer Activer des partages supplémentaires à oui permet d'activer un ou plusieurs nouveaux partages. Pour ajouter un ou plusieurs partages il faut cliquer sur le bouton + Nom du partage.

Les options à saisir pour chaque partage supplémentaire sont :

  • le Nom du partage ;

  • le Nom absolu du répertoire à partager = chemin Unix du répertoire à partager ;

  • la Visibilité du partage = visibilité dans le voisinage réseau ;

  • le Partage est en lecture/écriture :

    • si la variable est à oui → lecture/écriture ;
    • si la variable est à non → lecture seule.

Attention

L'activation et la déclaration d'un partage supplémentaire ne crée pas le répertoire sur le disque. Il faut réaliser cette opération manuellement et affecter des droits adaptés sur le répertoire.

Partages manuels

Le fichier smb.conf est re-généré à chaque reconfiguration du serveur (commande reconfigure) et également lors de l'ajout d'un partage ou d'un groupe avec partage.

Ce fichier est généré à partir du template : /usr/share/eole/creole/distrib/smb.conf et des partages déclarés dans l'annuaire LDAP.

Le template, qui contient principalement la section [global], peut éventuellement être patché.

La gestion des ACLs en elle-même est totalement indépendante de la configuration de Samba.

Il est possible de déclarer un partage supplémentaire manuellement en plaçant un fichier (possédant l'extension .conf) décrivant le partage dans le répertoire /etc/samba/conf.d/ .

Sa prise en compte nécessite un reconfigure.

Complément

Pour plus d'informations, vous pouvez consulter la page de manuel :

# man smb.conf

ou

http://manpages.ubuntu.com/manpages/trusty/en/man5/smb.conf.5.html

Autoriser l'ouverture de flux à partir d'un port source

Lors de diagnostic il peut être utile d'utiliser la commande nmblookup pour déterminer l'adresse IP du ou des serveurs contrôleurs de domaine sur le réseau local.

Pour que l'échange puisse se faire en UDP via le port 137 il est nécessaire que le serveur EOLE puisse en autoriser l'accès.

Pour activer cette fonctionnalité il faut passer Autoriser l'ouverture de flux à partir d'un port source à oui.

Les options pour le port autorisés et le protocole peuvent être laissés par défaut. Par contre il est important de choisir l'interface sur laquelle aura lieu cette autorisation.

Il est possible d'ajouter des autorisations sur plusieurs interfaces en cliquant sur le bouton Port source à partir duquel les flux sont autorisés.

Paramètres système

En cas de forte sollicitation d'accès à un partage Samba (nombre de fichiers ouverts par Samba supérieur à 20000) l'augmentation des valeurs sur les 3 paramètres ci-dessous permet d'éviter les pertes d'accès au partage :

  • Nombre maximum d'instances inotify pour un UID réel

  • Nombre maximum de surveillants associés à une instance inotify

  • Nombre maximum d'événements mis en file d'attente dans une instance inotify

La variable Nombre maximum de partage utilisateurs permet de limiter le nombre de dossiers partagés par utilisateur (directive : usershare max shares). Par défaut, ceux-ci sont ignorés.

La variable Optimisations réseau permet de personnaliser les options de la directive Samba : socket options.

Anti-virus temps réel

Afin de limiter la propagation des virus à travers le réseau, une surveillance anti-virus temps réel est active sur les partages.

L'activation du service se gère en modifiant la variable Activer l'anti-virus temps réel sur SMB dans l'onglet Clamav de l'interface de configuration du module.

Attention cet onglet n'est visible que si le service ClamAV est lui même activé (Activer l'anti-virus Clamav à oui) dans l'onglet Services.

La durée de conservation des fichiers mis en quarantaine est paramétrable.

Lorsqu'un virus est détecté, il est renommé avec le préfixe .virus: et devient masqué pour l'utilisateur.

Complément

La consultation des fichiers infectés détectés et mis en quarantaine par le serveur peut se faire au travers de l'EAD.