<Précédent | Table des matières | Suivant>
2.3. Configuration Samba
Il existe plusieurs façons de configurer Samba. Pour plus de détails sur certaines configurations courantes, consultez le chapitre 18, Samba [p. 305]. Pour configurer Samba pour utiliser LDAP, modifiez son fichier de configuration /etc/samba/smb.conf commenter la valeur par défaut backend passdb paramètre et en ajoutant des paramètres liés à LDAP. Assurez-vous d'utiliser les mêmes valeurs que vous avez utilisées lors de l'exécution de smbldap-populate :
# backend passdb = tdbsam workgroup = EXEMPLE
# Paramètres LDAP
backend passdb = ldapsam:ldap://hostname suffixe ldap = dc=example,dc=com
Suffixe d'utilisateur ldap = ou=Personnes Suffixe de groupe ldap = ou=Groupes
ldap machine suffix = ou=Ordinateurs ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=exemple,dc=com
# ou désactivé si TLS/SSL n'est pas configuré ldap ssl = démarrer tls
ldap passwd sync = oui
Modifiez les valeurs pour qu'elles correspondent à votre environnement.
La smb.conf tel qu'expédié par le colis est assez long et comporte de nombreux exemples de configuration. Un moyen simple de le visualiser sans aucun commentaire est d'exécuter testparm -s.
Informez maintenant Samba du mot de passe de l'utilisateur rootDN (celui défini lors de l'installation du paquet slapd) :
sudo smbpasswd -W
Comme dernière étape pour que vos utilisateurs LDAP puissent se connecter à Samba et s'authentifier, nous avons besoin que ces utilisateurs apparaissent également dans le système en tant qu'utilisateurs "unix". Une façon de le faire est d'utiliser libnss-ldap. Des instructions détaillées peuvent être trouvées dans la Section 1.10, « Authentification LDAP » [p. 134], mais nous n'avons besoin que de la partie NSS.
1. Installez libnss-ldap
sudo apt installer libnss-ldap
Il n'est pas nécessaire d'utiliser les identifiants de connexion LDAP rootDN, vous pouvez donc ignorer cette étape.
2. Configurez le profil LDAP pour NSS :
sudo auth-client-config -t nss -p lac_ldap
3. Redémarrez les services Samba :
sudo systemctl redémarrer smbd.service nmbd.service
4. Pour tester rapidement la configuration, voyez si getent peut répertorier les groupes Samba :
groupe getent
Opérateurs de compte :*:548 : Opérateurs d'impression :*:550 : Opérateurs de sauvegarde :*:551 : Réplicateurs :*:552 :
Si vous avez des utilisateurs LDAP existants que vous souhaitez inclure dans votre nouveau Samba basé sur LDAP, ils devront bien sûr également recevoir certains des attributs supplémentaires spécifiques à Samba. L'utilitaire smbpasswd peut le faire pour vous :
sudo smbpasswd -un nom d'utilisateur
Vous serez invité à entrer un mot de passe. Il sera considéré comme le nouveau mot de passe de cet utilisateur. Faire comme avant est raisonnable. Notez que cette commande ne peut pas être utilisée pour créer un nouvel utilisateur à partir de zéro dans LDAP (sauf si vous utilisez ldapsam:confiance ainsi que ldapsam:modifierposix, non couvert dans ce guide).
Pour gérer les comptes d'utilisateurs, de groupes et de machines, utilisez les utilitaires fournis par le package smbldap-tools. Voici quelques exemples:
• Pour ajouter un nouvel utilisateur avec un répertoire personnel :
sudo smbldap-useradd -a -P -m nom d'utilisateur
La -a l'option ajoute les attributs Samba, et le -P L'option appelle l'utilitaire smbldap-passwd après la création de l'utilisateur, ce qui vous permet de saisir un mot de passe pour l'utilisateur. Enfin, -m crée un répertoire personnel local. Testez avec la commande getent :
getent passwd nom d'utilisateur
Si vous n'obtenez pas de réponse, votre configuration libnss-ldap est incorrecte.
• Pour supprimer un utilisateur :
nom d'utilisateur sudo smbldap-userdel
Dans la commande ci-dessus, utilisez le -r option pour supprimer le répertoire personnel de l'utilisateur.
• Pour ajouter un groupe :
sudo smbldap-groupadd -un nom de groupe
Comme pour smbldap-useradd, le -a ajoute les attributs Samba.
• Pour faire d'un utilisateur existant un membre d'un groupe :
sudo smbldap-groupmod -m nom d'utilisateur nom de groupe
La -m L'option peut ajouter plusieurs utilisateurs à la fois en les répertoriant dans un format séparé par des virgules.
• Pour supprimer un utilisateur d'un groupe :
sudo smbldap-groupmod -x nom d'utilisateur nom de groupe
• Pour ajouter un compte machine Samba :
sudo smbldap-useradd -t 0 -w nom d'utilisateur
remplacer Nom d'utilisateur avec le nom du poste de travail. le -t 0 l'option crée le compte machine sans délai, tandis que l'option -w L'option spécifie l'utilisateur en tant que compte d'ordinateur. Notez également le ajouter un script machine paramètre dans /etc/samba/smb.conf a été modifié pour utiliser smbldap-useradd.
Il existe des utilitaires dans le package smbldap-tools qui n'ont pas été traités ici. Voici une liste complète :
smbldap-groupadd37 smbldap-groupdel38 smbldap-groupmod39 smbldap-groupshow40 smbldap-mot de passe41 smbldap-peupler42 smbldap-useradd43 smbldap-utilisateurdel44 smbldap-infoutilisateur45 liste d'utilisateurs smbldap46 smbldap-usermod47 smbldap-usershow48