Client Debian Squeeze et serveur SambaEdu3
Transcription
Client Debian Squeeze et serveur SambaEdu3
Client Debian Squeeze et serveur SambaEdu3 INTRODUCTION................................................................................................... 1 1. CONFIGURATION DU SERVEUR SAMBAEDU3.......................................................... 1 2. CONFIGURATION DU CLIENT DEBIAN SQUEEZE....................................................... 2 A.CONFIGURATION DE L'AUTHENTIFICATION............................................................. 2 B.CONFIGURATION DES POINTS DE MONTAGE.......................................................... 4 C.CONFIGURATION DU GESTIONNAIRE DE CONNEXION................................................ 5 INTRODUCTION Cette procédure décrit la configuration d'un poste installé sous Debian Squeeze en tant que client d'un serveur SambaEdu3. Les « home » utilisateurs (dossiers personnels) seront montés en utilisant NFS, protocole de partage de fichiers natif sous Linux. Les autres dossiers partagés par le serveur SambaEdu3 (les dossiers de classes et le dossier « partages » commun à tous) seront montés en utilisant CIFS, protocole de partage de fichiers natif sous Windows, afin de pouvoir bénéficier du support des ACL. Pour l'exemple, le DN de base de l'annuaire LDAP du serveur sera « dc=eplefpacoutances,dc=lyc50,dc=ac-caen,dc=fr », le nom du serveur sera « se3 » et son adresse IP sera « 10.50.21.80 ». Toutes les commandes qui suivent sont à taper en tant qu'utilisateur « root ». Avant de modifier un fichier de configuration, en faire une sauvegarde. 1. CONFIGURATION DU SERVEUR SAMBAEDU3 Installer les paquets « nfs-kernel-server » et « nfs-common » : # apt-get install nfs-kernel-server nfs-common Editer le fichier « /etc/idmapd.conf », renseigner le paramètre « Domain » avec le nom de domaine du serveur (exemple : « Domain = eplefpa-coutances.lyc50.ac-caen.fr »). Editer le fichier « /etc/default/nfs-common », mettre les options « NEED_IDMAPD » et « NEED_GSSD » respectivement à « yes » et « no ». Editer le fichier « /etc/default/nfs-kernel-server », mettre l'option « NEED_SVCGSSD » à « no ». Créer le pseudo système de fichiers utilisé pour l'export des « home » utilisateurs par le daemon NFS (où l'option « p » crée le répertoire parent s'il n'existe pas et l'option « m » fixe le masque des permissions par défaut des répertoire et sous-répertoire créés) : # mkdir -pm 1777 /exports/homes 1 - Client Debian Squeeze et serveur SambaEdu3 Romain Dècle (LEGTA de Coutances) Monter le pseudo système de fichiers NFS : # mount --bind /home /exports/homes Editer le fichier « /etc/fstab », ajouter la ligne nécessaire au montage automatique du pseudo système de fichiers NFS dès le démarrage du serveur : /home /exports/homes none bind 0 0 Editer le fichier « /etc/exports », ajouter les lignes correspondantes aux exports NFS soient ici une ligne pour la racine du pseudo système de fichiers (« /exports ») et une autre pour l'export « homes » : /exports 10.50.21.0/24(rw,nohide,fsid=0,insecure,no_subtree_check,async) → 10.50.22.0/24(rw,nohide,fsid=0,insecure,no_subtree_check,async) → 10.50.26.0/24(rw,nohide,fsid=0,insecure,no_subtree_check,async) /exports/homes 10.50.21.0/24(rw,nohide,insecure,no_subtree_check,async) → 10.50.22.0/24(rw,nohide,insecure,no_subtree_check,async) → 10.50.26.0/24(rw,nohide,insecure,no_subtree_check,async) Dans cet exemple, la configuration du serveur autorise les clients qui se trouvent dans les plages de réseau 10.50.21.0/24, 10.50.22.0/24 et 10.50.26.0/24 à monter l'export « homes ». Redémarrer le serveur pour prendre en compte la nouvelle configuration : # reboot 2. CONFIGURATION DU CLIENT DEBIAN SQUEEZE Editer le fichier « /etc/hosts », ajouter la ligne pour le serveur SambaEdu3 : 10.50.21.80 se3 se3.eplefpa-coutances.lyc50.ac-caen.fr a. Configuration de l'authentification Installer les paquets « nslcd », « libnss-ldapd », « libpam-ldap » et « libpam-mount » : # apt-get install nslcd libnss-ldapd libpam-ldap libpam-mount Editer le fichier « /etc/pam_ldap.conf », remplacer son contenu par : host 10.50.21.80 base dc=eplefpa-coutances,dc=lyc50,dc=ac-caen,dc=fr ldap_version 3 port 389 bind_policy soft pam_password md5 Editer le fichier « /etc/nslcd.conf », remplacer son contenu par : uid nslcd gid nslcd uri ldap://10.50.21.80:389/ base dc=eplefpa-coutances,dc=lyc50,dc=ac-caen,dc=fr ldap_version 3 2 - Client Debian Squeeze et serveur SambaEdu3 Romain Dècle (LEGTA de Coutances) Editer le fichier « /etc/nsswitch.conf », remplacer son contenu par : passwd: group: shadow: hosts: networks: protocols: services: ethers: rpc: netgroup: files ldap files ldap files ldap files dns files db files db files db files db files nis Editer le fichier « /etc/pam.d/login », remplacer son contenu par : # /etc/pam.d/login auth requisite auth required @include common-auth @include common-account @include common-session session required @include common-password pam_nologin.so pam_env.so pam_limits.so Editer le fichier « /etc/pam.d/common_auth», remplacer son contenu par : # /etc/pam.d/common_auth auth optional pam_group.so auth optional pam_mount.so auth sufficient pam_ldap.so auth required pam_unix.so use_first_pass use_first_pass Editer le fichier « /etc/pam.d/common_account », remplacer son contenu par : # /etc/pam.d/common_account account sufficient pam_ldap.so account required pam_unix.so use_first_pass use_first_pass Editer le fichier « /etc/pam.d/common_session », remplacer son contenu par : # /etc/pam.d/common-session session optional pam_mount.so session required pam_unix.so use_first_pass Editer le fichier « /etc/pam.d/common_password », remplacer son contenu par : # /etc/pam.d/common-password password required pam_unix.so 3 - Client Debian Squeeze et serveur SambaEdu3 nullok obscure min=8 md5 Romain Dècle (LEGTA de Coutances) Editer le fichier « /etc/pam.d/cron », remplacer son contenu par : # /etc/pam.d/cron auth required auth required account required session required session required pam_unix.so nullok_secure pam_env.so pam_unix.so pam_unix.so pam_limits.so Editer le fichier « /etc/security/group.conf », remplacer son contenu par : # /etc/security/group.conf gdm;*;*;Al0000-2400;floppy,cdrom,audio,video,plugdev kdm;*;*;Al0000-2400;floppy,cdrom,audio,video,plugdev b. Configuration des points de montage Installer les paquets « nfs-common », « lsof » et « cifs-utils » : # apt-get install nfs-common lsof cifs-utils Editer le fichier « /etc/idmapd.conf », renseigner le paramètre « Domain » avec le même nom de domaine que le serveur (exemple : « Domain = eplefpa-coutances.lyc50.accaen.fr »). Editer le fichier « /etc/default/nfs-common », mettre l'option « NEED_IDMAPD » à « yes ». Editer le fichier « /etc/security/pam_mount.conf.xml » pour configurer le montage et le démontage des partages NFS et CIFS, remplacer son contenu par : <?xml version="1.0" encoding="UTF-8"?> <pam_mount> <debug enable="0" /> <mkmountpoint enable="1" remove="true" /> <fsckloop device="/dev/loop7" /> <mntoptions require="nosuid,nodev" /> <lsof>/usr/bin/lsof %(MNTPT)</lsof> <fsck>/sbin/fsck -p %(FSCKTARGET)</fsck> <losetup>/sbin/losetup -p0 "%(before=\"-e\" CIPHER)" "%(before=\"-k\" → KEYBITS)" %(FSCKLOOP) %(VOLUME)</losetup> <unlosetup>/sbin/losetup -d %(FSCKLOOP)</unlosetup> <cifsmount>/bin/mount -t cifs //%(SERVER)/%(VOLUME) %(MNTPT) → -o "user=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" → OPTIONS)"</cifsmount> <nfsmount>/bin/mount -t nfs4 → -o %(OPTIONS) %(SERVER):%(VOLUME) %(MNTPT)</nfsmount> <umount>/usr/sbin/umount.sh %(MNTPT)</umount> <smbmount>/bin/mount -t smbfs //%(SERVER)/%(VOLUME) %(MNTPT) → -o "username=%(USER),uid=%(USERUID)%(before=\",\" → OPTIONS)"</smbmount> <smbumount>/usr/bin/smbumount %(MNTPT)</smbumount> <ncpmount>/usr/bin/ncpmount %(SERVER)/%(USER) %(MNTPT) → -o "pass-fd=0,volume=%(VOLUME)%(before=\",\" OPTIONS)"</ncpmount> <fusemount>/sbin/mount.fuse %(VOLUME) %(MNTPT) → "%(before=\-o\ OPTIONS)"</fusemount> <fuseumount>/usr/bin/fusermount -u %(MNTPT)</fuseumount> 4 - Client Debian Squeeze et serveur SambaEdu3 Romain Dècle (LEGTA de Coutances) <volume options="intr,hard,timeo=400" → user="*" mountpoint="~" → path="/homes/%(USER)" server="se3" fstype="nfs" /> <volume options="mapchars,serverino,nobrl,noperm,iocharset=utf8" → user="*" mountpoint="/media/Classes" → path="Classes" server="se3" fstype="cifs" /> <volume options="mapchars,serverino,nobrl,noperm,iocharset=utf8" → user="*" mountpoint="/media/Partages" → path="Docs" server="se3" fstype="cifs" /> <msg-authpw>Mot de passe :</msg-authpw> <msg-sessionpw>Mot de passe :</msg-sessionpw> </pam_mount> Créer le script de démontage « /usr/sbin/umount.sh » du « home » utilisateur invoqué par « pam_mount » et exécuté à chaque fermeture de session : #!/bin/bash /bin/umount $1 || /bin/umount -l $1 exit 0 c. Configuration du gestionnaire de connexion Pour désactiver l'affichage de la liste des utilisateurs de l'annuaire LDAP sur l'écran de connexion, éditer le fichier « /etc/gdm3/greeter.gconf_defaults » , remplacer la ligne #/apps/gdm/simple-greeter/disable_user_list false par /apps/gdm/simple-greeter/disable_user_list true Pour autoriser l'utilisateur « root » à se connecter en mode graphique (c'est déconseillé mais ça peut servir parfois), éditer le fichier « /etc/pam.d/gdm3 », remplacer la ligne auth required pam_succeed_if.so user != root quiet_success par #auth required pam_succeed_if.so user != root quiet_success Redémarrer le client pour ouvrir une session en mode graphique : # reboot 5 - Client Debian Squeeze et serveur SambaEdu3 Romain Dècle (LEGTA de Coutances)