PTI 1 - Free

PTI 1 : Installation d’un contrôleur de domaine et mise en commun des comptes dans un annuaire LDAP Les différentes étapes après l’installation : Système Debian ETCH via netinstall v 4.0r3 (pas de maj des dépôt apt en non‐free) => Langue de système , on n’a choisi l’anglais, la police français, et le clavier français => Pour le domaine on n’a renseigné fr mais ca change pas grand chose => on n’a choisi les partitions automatique avec /, /var, /home, /tmp séparé sur hda => root :controlthcqpy & jthemovie: controlthcqpy => a la fin, dans le choix des dépôts, on n’a juste installé le système de base (wget etc..) => apt‐get install vim (pour la syntax) et tcpdump au cas ou (cowsay aussi pour motd ) => Modification du fichier /etc/network/interfaces pour enlever allow‐hotplug par auto => dpkg‐reconfigure debconf, pour mettre level medium, pour les questions a l’install => dpkg‐reconfigure locales pour changer en_US.UTF8 UTF8 par fr_FR.UTF8 UTF8 => Modification du fichier /etc/vim/vimrc (syntax on, set hlsearch, set number etc…) => Ajout d’alias dans /root/.bashrc (df=df ‐Th, s=cd .., a=cd ~ p=cd ‐, h=history, ls = color..) => Suppression du bip système :decommente la ligne set bell‐style none dans /etc/inputrc => Modification du /boot/grub/menu.lst pour le vga=791 (1024x768 – 16 bits) => SNAPSHOT (Install de Base)<= => Modification du /etc/hosts et /etc/host.conf => Passage du /etc/network/interfaces en dhcp => nous voilà maintenant relié en dhcp et bind via srv1 (10.29.115.1/24) => SNAPSHOT (DHCP + BIND)<= => apt‐get install slapd db4.2‐util ldap‐utils •
•
•
•
•
•
•
•
•
•
•
•
Voulez vous omettre la configuration d’OpenLDAP (NON), c pas pour ce k’il ya… Nom de domaine : pti.loc Nom d’organisation : pti.loc Mot de passe administrateur :controlthcqpy Ldap V3 seulement, nous avons que des machines > Windows 2000 Copie de sauvegarde du fichier slapd.conf en slapd.conf.backup.orig Je decommente rootdn a la ligne 61 dans /etc/ldap/slapd.conf Avant d’ajouter la directive rootpw l.62qui désignera le mdp admin de labse on va le crypter On éxécute slappaswd, on choisi notre mot de passe puis on insère le résultat a rootpw Mot de passe slappaswd : controlthcqpy => insertion en crytpé dans slapd.conf Puis on relance le serveur Quelques print des résultats des commandes de base ldap /etc/ldap/orig => apt‐get install smbldap‐tools •
gunzip –c /usr/share/doc/smbldap‐tools/examples/smbldap.conf.gz > /etc/smbldap‐tools/smbldap.conf (On récupère le fichier exemple par default et on l’adapte a notre base et nos besoins) 













•
l.37 :on commente le SID l.42 : on commente sambaDomain l.80 : ldapTLS= “0” l.88 : on commente la variable ‘cafile’ l.92 : on commente la variable ‘clientcert’ l.96 : on commente la variable ‘clientkey’ l.100 : suffix=“dc=pti,dc=loc” l.126 sambaUnixIdPooldn=“cn=NextFreeUnixId,${suffix}” l.158 userGecos=‘’pti‐samba’s user” l.184 : on commente la variable userSmbHome l.190 : on commente la variable userProfile l.195 : on commente la variable userHomedrive l.201 : on commente la variable userScript l.206 : on commente la variable mailDomain cp /usr/share/doc/smbldap‐tools/examples/smbldap_bind.conf /etc/smbldap‐tools/ (mot de passe en clair chmod 600) 



l.8 slaveDN=“cn=admin,dc=pti,dc=loc” l.9 slavePw=“controlthcqpy” l.10masterDN=“cn=admin,dc=pti,dc=loc” l.11masterPw=“controlthcqpy” => apt‐get install libnss‐ldap •
•
•
•
•
•
•
URI du serveur LDAP :ldap://ldap.pti.btsig.loc Nom distinctif (DN) :dc=pti,dc=loc Version LDAP a utiliser : 3 La base LDAP demande t’elle une identification : NON Privilèges LDAP pour le super utilisateur : NON Rendre le fichier lisible et modifiable uniquement par son proprio : NON Edition du fichier de config /etc/libnss‐ldap.conf 
l.77 bind _policy soft => apt‐get install libpam‐ldap •
•
•
Faut’il crée une base de donnée locale pour l’admin : NON La base LDAP demande t’elle une identification : NON Méthode de chiffrement :Chiffré => Modification du fichier /etc/nsswitch.conf pour ajouter ldap à passwd, group et shadow =>mkdir /usr/local/src/samba && apt‐get build‐dep samba && apt‐get –b source samba => SNAPSHOT (Base LDAP VIDE [ OK ])<= JE COMMENCE l’EVALUATION ICI => Installation de samba cd /usr/local/src/samba && dpkg –i *.deb •
•
•
•
•
•
Workgroup : pti‐samba On crypte les mot de passe Pas de serveur wins On l’éxécute en tant que daemon, ca service va être bcp utilisé Oui, on stocke les mot de passe crypté dans un fichier a part … Pour autoriser ldap a gérer des comptes samba, on recupere le schéma de samba •
•
On ajoute l’include dans le fichier slapd.conf a la suite des autrde puis on reboot slapd Copie de sauvegarde du fichier smb.conf en smb.conf.backup.orig‐$(date +%F) (gunzip -c /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema) 




l.128 : decommente domaine logons yes l.135 : decomente logon path l.142 : decommente logon drive H : l.143 : decommente logon home l.149 : decommente logon script et on met %g.bat 






l.189 on ajoute la ligne réglant les buffers au dessus a la suite de socket options l.224 : writeable pour home, on met yes l.241 – 246 : on decommente tout netlogon l.253 – 259 on decommente tout profiles et on ajoute writeable = yes l.261‐268 : on commente tout printers l.272‐277 on commente tout print$ copie du partage profiles pour crée le partage BTSIG1 o
o
o
o
o
o
o
o
o

[BTSIG1] comment = btsig1’s share path = /home/samba/share/BTSIG1 guest ok = no writeable = yes broweseable = yes valid users = @BTSIG1 create mask = 0770 directory mask = 0770 copie du partage BTSIG1 pour BTSIG2 Recupération des variables de connexion dans les doc de smbldap‐tools pour samba •
(cp /usr/share/doc/smbldap‐tools/examples/smb.conf) /etc/samba/smb.conf.ldap) 
•
On garde seulement les lignes 40 à 56 qui sont utillent pour relier samba à ldap (18 lignes) On enregistre et on quitte le fichier puis on insere les lignes dans le fichier smb.conf (more /etc/samba/smb.conf.ldap >> /etc/samba/smb.conf) 










•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
On met les lignes dans la section authentification vers la ligne 87 Le début de “security.. se retrouve a la ligne 105 On oublie pas de supprimer les doublons en bas du fichier qu’on a copié tout a l’instant L.87 : on met le fqdn au lieu de l’adresse locale pour obliger d’interagir avec bind L.88 : on remplace par cn=admin,dc=pti ,dc=btsig,dc=loc pour ldap admin dn L.90 : on remplace par dc=pti ,dc=btsig,dc=loc pour ldap suffix l.117, on commente le doublon passbd backend = tdbsam l.127 on decommente et on remplace unix password par ldap password sync=yes l.212 : on commente root, on n’en aura besoin pour relier les machines au domaine tt a l’heure on remplace tout les path pour les smbldap‐tools qui sont pas dans /opt/IDEALX mais /usr (commande vim :%s/opt\/IDEALX/usr) l.132 et 133 a commenté smbpasswd –w controlthcqpy invocke‐rc.d samba restart net getlocalsid pour récupérer le sid du domaine smbldap‐populate mkdir –p /home/samba/netlogon mkdir –p /home/samba/share/BTSIG1 mkdir /home/samba/share/BTSIG2 mkdir /home/samba/profiles testparm smbldap‐groupadd –a –g 800 BTSIG1 smbldap‐groupadd –a –g 900 BTSIG2 getent passwd et group pour vérifier ou smbldap‐usershow sheslouin smbldap‐useradd –a –c ”Steve Heslouin” –u 1100 –g 800 –m –P sheslouin smbldap‐useradd –a –c ”Jthemovie” –u 1101 –g 900 –m –P jthemovie on redémarre samba et ldap on connecte Windows XP sur le domaine avec root et controlthcqpy, le nom de l’ordi s’ajoute tout seul a la base ldap cd /home/samba/share && chgrp BTSIGS BTSIG1 //et pareille pour BTSIG2 chmod 770 /home/samba/share/* chmod 777 /home/samba/profiles création des netlogon net use I : \\smb‐server\BTSIG1 Notes pour l’examens… Installation samba pour le domaine pti­samba //tout par défaut Récupération du schéma de samba­doc dans ldap // reboot ldap backup fichier smb et modifications d’usage Modfication d’usage samba (writeable, valid users etc..) et récupération variable de connexion ldap grâce aux doc smbldap­tools. testparm On utilise les smbldap­tools pour générer le mdp root de samba smbp –w contr puis reboot smb Création de l’arbre de samba ds la base LDAP smbldap­po Création des 4 répertoires utilisé par samba /home/samba/* Ajouter 2 groupes smbldap­groupadd –a –g GUID NOM et vérification getent group Ajouter 2 utilisateurs smbldap­groupadd –a –c “geckos” –u UID –g GUID –m –P NOM et vérification getent passwd et modif des mdp obligatoire avec –B 1 en tete de …usermod Redémarrage des 2 services Connexion d’xp et 2k au domaine On change le groupe des groupes BTSIG1 et BTSIG2 Les shares doivent avoir les meme droit ke ds smb.conf Droit max sur les profiles Création des netlogon avec net use I: \\le fqdn sans qdn \ GROUPE car %g pour le montage des groupes