Client Debian Squeeze et serveur SambaEdu3

Client Debian Squeeze et serveur SambaEdu3
INTRODUCTION................................................................................................... 1
1. CONFIGURATION DU SERVEUR SAMBAEDU3.......................................................... 1
2. CONFIGURATION DU CLIENT DEBIAN SQUEEZE....................................................... 2
A.CONFIGURATION DE L'AUTHENTIFICATION............................................................. 2
B.CONFIGURATION DES POINTS DE MONTAGE.......................................................... 4
C.CONFIGURATION DU GESTIONNAIRE DE CONNEXION................................................ 5
INTRODUCTION
Cette procédure décrit la configuration d'un poste installé sous Debian Squeeze en tant
que client d'un serveur SambaEdu3.
Les « home » utilisateurs (dossiers personnels) seront montés en utilisant NFS, protocole
de partage de fichiers natif sous Linux.
Les autres dossiers partagés par le serveur SambaEdu3 (les dossiers de classes et le
dossier « partages » commun à tous) seront montés en utilisant CIFS, protocole de
partage de fichiers natif sous Windows, afin de pouvoir bénéficier du support des ACL.
Pour l'exemple, le DN de base de l'annuaire LDAP du serveur sera « dc=eplefpacoutances,dc=lyc50,dc=ac-caen,dc=fr », le nom du serveur sera « se3 » et son adresse
IP sera « 10.50.21.80 ».
Toutes les commandes qui suivent sont à taper en tant qu'utilisateur « root ».
Avant de modifier un fichier de configuration, en faire une sauvegarde.
1. CONFIGURATION DU SERVEUR SAMBAEDU3
Installer les paquets « nfs-kernel-server » et « nfs-common » :
# apt-get install nfs-kernel-server nfs-common
Editer le fichier « /etc/idmapd.conf », renseigner le paramètre « Domain » avec le nom de
domaine du serveur (exemple : « Domain = eplefpa-coutances.lyc50.ac-caen.fr »).
Editer le fichier « /etc/default/nfs-common », mettre les options « NEED_IDMAPD » et
« NEED_GSSD » respectivement à « yes » et « no ».
Editer le fichier « /etc/default/nfs-kernel-server », mettre l'option « NEED_SVCGSSD » à
« no ».
Créer le pseudo système de fichiers utilisé pour l'export des « home » utilisateurs par le
daemon NFS (où l'option « p » crée le répertoire parent s'il n'existe pas et l'option « m »
fixe le masque des permissions par défaut des répertoire et sous-répertoire créés) :
# mkdir -pm 1777 /exports/homes
1 - Client Debian Squeeze et serveur SambaEdu3
Romain Dècle (LEGTA de Coutances)
Monter le pseudo système de fichiers NFS :
# mount --bind /home /exports/homes
Editer le fichier « /etc/fstab », ajouter la ligne nécessaire au montage automatique du
pseudo système de fichiers NFS dès le démarrage du serveur :
/home
/exports/homes
none
bind
0
0
Editer le fichier « /etc/exports », ajouter les lignes correspondantes aux exports NFS
soient ici une ligne pour la racine du pseudo système de fichiers (« /exports ») et une
autre pour l'export « homes » :
/exports 10.50.21.0/24(rw,nohide,fsid=0,insecure,no_subtree_check,async)
→ 10.50.22.0/24(rw,nohide,fsid=0,insecure,no_subtree_check,async)
→ 10.50.26.0/24(rw,nohide,fsid=0,insecure,no_subtree_check,async)
/exports/homes 10.50.21.0/24(rw,nohide,insecure,no_subtree_check,async)
→ 10.50.22.0/24(rw,nohide,insecure,no_subtree_check,async)
→ 10.50.26.0/24(rw,nohide,insecure,no_subtree_check,async)
Dans cet exemple, la configuration du serveur autorise les clients qui se trouvent dans les
plages de réseau 10.50.21.0/24, 10.50.22.0/24 et 10.50.26.0/24 à monter l'export
« homes ».
Redémarrer le serveur pour prendre en compte la nouvelle configuration :
# reboot
2. CONFIGURATION DU CLIENT DEBIAN SQUEEZE
Editer le fichier « /etc/hosts », ajouter la ligne pour le serveur SambaEdu3 :
10.50.21.80
se3
se3.eplefpa-coutances.lyc50.ac-caen.fr
a. Configuration de l'authentification
Installer les paquets « nslcd », « libnss-ldapd », « libpam-ldap » et « libpam-mount » :
# apt-get install nslcd libnss-ldapd libpam-ldap libpam-mount
Editer le fichier « /etc/pam_ldap.conf », remplacer son contenu par :
host 10.50.21.80
base dc=eplefpa-coutances,dc=lyc50,dc=ac-caen,dc=fr
ldap_version 3
port 389
bind_policy soft
pam_password md5
Editer le fichier « /etc/nslcd.conf », remplacer son contenu par :
uid nslcd
gid nslcd
uri ldap://10.50.21.80:389/
base dc=eplefpa-coutances,dc=lyc50,dc=ac-caen,dc=fr
ldap_version 3
2 - Client Debian Squeeze et serveur SambaEdu3
Romain Dècle (LEGTA de Coutances)
Editer le fichier « /etc/nsswitch.conf », remplacer son contenu par :
passwd:
group:
shadow:
hosts:
networks:
protocols:
services:
ethers:
rpc:
netgroup:
files ldap
files ldap
files ldap
files dns
files
db files
db files
db files
db files
nis
Editer le fichier « /etc/pam.d/login », remplacer son contenu par :
# /etc/pam.d/login
auth
requisite
auth
required
@include
common-auth
@include
common-account
@include
common-session
session
required
@include
common-password
pam_nologin.so
pam_env.so
pam_limits.so
Editer le fichier « /etc/pam.d/common_auth», remplacer son contenu par :
# /etc/pam.d/common_auth
auth
optional
pam_group.so
auth
optional
pam_mount.so
auth
sufficient
pam_ldap.so
auth
required
pam_unix.so
use_first_pass
use_first_pass
Editer le fichier « /etc/pam.d/common_account », remplacer son contenu par :
# /etc/pam.d/common_account
account
sufficient
pam_ldap.so
account
required
pam_unix.so
use_first_pass
use_first_pass
Editer le fichier « /etc/pam.d/common_session », remplacer son contenu par :
# /etc/pam.d/common-session
session
optional
pam_mount.so
session
required
pam_unix.so
use_first_pass
Editer le fichier « /etc/pam.d/common_password », remplacer son contenu par :
# /etc/pam.d/common-password
password
required
pam_unix.so
3 - Client Debian Squeeze et serveur SambaEdu3
nullok
obscure min=8 md5
Romain Dècle (LEGTA de Coutances)
Editer le fichier « /etc/pam.d/cron », remplacer son contenu par :
# /etc/pam.d/cron
auth
required
auth
required
account
required
session
required
session
required
pam_unix.so nullok_secure
pam_env.so
pam_unix.so
pam_unix.so
pam_limits.so
Editer le fichier « /etc/security/group.conf », remplacer son contenu par :
# /etc/security/group.conf
gdm;*;*;Al0000-2400;floppy,cdrom,audio,video,plugdev
kdm;*;*;Al0000-2400;floppy,cdrom,audio,video,plugdev
b. Configuration des points de montage
Installer les paquets « nfs-common », « lsof » et « cifs-utils » :
# apt-get install nfs-common lsof cifs-utils
Editer le fichier « /etc/idmapd.conf », renseigner le paramètre « Domain » avec le même
nom de domaine que le serveur (exemple : « Domain = eplefpa-coutances.lyc50.accaen.fr »).
Editer le fichier « /etc/default/nfs-common », mettre l'option « NEED_IDMAPD » à « yes ».
Editer le fichier « /etc/security/pam_mount.conf.xml » pour configurer le montage et le
démontage des partages NFS et CIFS, remplacer son contenu par :
<?xml version="1.0" encoding="UTF-8"?>
<pam_mount>
<debug enable="0" />
<mkmountpoint enable="1" remove="true" />
<fsckloop device="/dev/loop7" />
<mntoptions require="nosuid,nodev" />
<lsof>/usr/bin/lsof %(MNTPT)</lsof>
<fsck>/sbin/fsck -p %(FSCKTARGET)</fsck>
<losetup>/sbin/losetup -p0 "%(before=\"-e\" CIPHER)" "%(before=\"-k\"
→ KEYBITS)" %(FSCKLOOP) %(VOLUME)</losetup>
<unlosetup>/sbin/losetup -d %(FSCKLOOP)</unlosetup>
<cifsmount>/bin/mount -t cifs //%(SERVER)/%(VOLUME) %(MNTPT)
→ -o "user=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\"
→ OPTIONS)"</cifsmount>
<nfsmount>/bin/mount -t nfs4
→ -o %(OPTIONS) %(SERVER):%(VOLUME) %(MNTPT)</nfsmount>
<umount>/usr/sbin/umount.sh %(MNTPT)</umount>
<smbmount>/bin/mount -t smbfs //%(SERVER)/%(VOLUME) %(MNTPT)
→ -o "username=%(USER),uid=%(USERUID)%(before=\",\"
→ OPTIONS)"</smbmount>
<smbumount>/usr/bin/smbumount %(MNTPT)</smbumount>
<ncpmount>/usr/bin/ncpmount %(SERVER)/%(USER) %(MNTPT)
→ -o "pass-fd=0,volume=%(VOLUME)%(before=\",\" OPTIONS)"</ncpmount>
<fusemount>/sbin/mount.fuse %(VOLUME) %(MNTPT)
→ "%(before=\-o\ OPTIONS)"</fusemount>
<fuseumount>/usr/bin/fusermount -u %(MNTPT)</fuseumount>
4 - Client Debian Squeeze et serveur SambaEdu3
Romain Dècle (LEGTA de Coutances)
<volume options="intr,hard,timeo=400"
→ user="*" mountpoint="~"
→ path="/homes/%(USER)" server="se3" fstype="nfs" />
<volume options="mapchars,serverino,nobrl,noperm,iocharset=utf8"
→ user="*" mountpoint="/media/Classes"
→ path="Classes" server="se3" fstype="cifs" />
<volume options="mapchars,serverino,nobrl,noperm,iocharset=utf8"
→ user="*" mountpoint="/media/Partages"
→ path="Docs" server="se3" fstype="cifs" />
<msg-authpw>Mot de passe :</msg-authpw>
<msg-sessionpw>Mot de passe :</msg-sessionpw>
</pam_mount>
Créer le script de démontage « /usr/sbin/umount.sh » du « home » utilisateur invoqué par
« pam_mount » et exécuté à chaque fermeture de session :
#!/bin/bash
/bin/umount $1 || /bin/umount -l $1
exit 0
c. Configuration du gestionnaire de connexion
Pour désactiver l'affichage de la liste des utilisateurs de l'annuaire LDAP sur l'écran de
connexion, éditer le fichier « /etc/gdm3/greeter.gconf_defaults » , remplacer la ligne
#/apps/gdm/simple-greeter/disable_user_list
false
par
/apps/gdm/simple-greeter/disable_user_list
true
Pour autoriser l'utilisateur « root » à se connecter en mode graphique (c'est déconseillé
mais ça peut servir parfois), éditer le fichier « /etc/pam.d/gdm3 », remplacer la ligne
auth required
pam_succeed_if.so user != root quiet_success
par
#auth required
pam_succeed_if.so user != root quiet_success
Redémarrer le client pour ouvrir une session en mode graphique :
# reboot
5 - Client Debian Squeeze et serveur SambaEdu3
Romain Dècle (LEGTA de Coutances)