AirV's Blog

Hardy

J’ai enfin trouvé le temps de faire la mise à jour Hardy sur le poste du bureau.

Pas de soucis particulier si ce n’est avec SAMBA qui a nécessité de modifier le smb.conf en raison du nouveau mode d’authentification.
Le message d’erreur n’était pas explicite…

Server requested plaintext password but 'client use plaintext auth' is disabled

La ligne à ajouter :

client lanman auth = yes

J’ai l’impression que cette version est plus réactive (lancement d’openoffice…)

Vista Seven & Samba

Sous Vista, le protocole utilisé pour l’authentification est NTLMv2. Sur les distributions linux, cette version du protocole n’est pas forcémment reconnue. Il faut spécifier a Windows que le protocole � utiliser est � la fois le NTLMv1 et v2.

En passant par la base de registre… � vos risques et périls 😉

VISTA HOME Basique (non testé) :

• Démarrer
• Exécuter
• Regedit
• Aller sur la clé :
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lLsa

• Double clic dans la fenetre de droite sur “LmCompatibilityLevel”
  • Mettre la valeur 1
• Redémarrer le PC

VISTA PRO :

• Démarrer
• Executer
• secpol.msc
  • Strategie Local
  • Options de sécurité
  • Sécurité Réseau : réseau authentification LAN Manager
    • Modifier la valeur et mettre :
    • Envoyer LM et NTLM !.. NTLMv2 si négocié
• Redémarrer le PC

SEVEN PRO :

• Voir la faq complète : http://wiki.samba.org/index.php/Windows7
• Les classiques :
  * EnablePlaintTextPassword
  **/HKEY_LOCAL_MACHINESYSTEMCurrentControlSet/servicesLanmanWorkstationParameters
  Nom de la clé : EnablePlaintTextPassword
  Type : DWORD
  Données de la valeur : 1

  * NTLM
  secpol.msc => Strategie Local => Options de sécurité => Sécurité
  Réseau : réseau authentification LAN Manager
  Modifier la valeur et mettre :
  Envoyer LM et NTLM ….. NTLMv2 si négocié

  ou via regedit
  **/HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa/.
  Nom de la clé : LmCompatibilityLevel
  Type : DWORD
  Données de la valeur : 1
  Base : Hexadécimale

  * Elevation des privilèges
  KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  Faites un double clic sur la valeur *EnableLUA *, et
  donnez-là la valeur *0*.

  * Désactiver IPV6

Sharity

Utilitaire de connexion de partages windows (samba, SMB/CIFS…) à tester : http://www.obdev.at/products/sharity/index.html

Samba

Fichier de configuration samba

• smb.conf

[global]

## Browsing/Identification ###

client plaintext auth = yes # pour pcroze
client lanman auth = yes # pour ducati
# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = EMN.FR
netbios name = PCROZE
####### Authentication #######

# « security = user » is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/Samba-HOWTO-Collection/ServerType.html
# in the samba-doc package for details.
; security = user
security = server
password server = ntscerl.iemn.fr, netscrl

# You may wish to use password encryption. See the section on
# ‘encrypt passwords’ in the smb.conf(5) manpage before enabling.
; encrypt passwords = true
…..

[data]
path = /data
available = yes
browsable = yes
valid users = rozec
;public = yes
writable = yes

Accès du répertoire partagé windows depuis Ubuntu

Le client Ubuntu accède au répetoire mais via l’IP

Commande smbclient depuis Ubuntu

% smbclient -N -L portlaur.etude.emn.fr
% smbclient -L portlaur.etude.emn.fr -U backup -W emn.fr

%/usr/local/samba/bin/smbclient \\portinfo34\backup -U backup

% smbclient //pcroze/data

Commande smbmount depuis Ubuntu
% smbmount //x-sic/voltatile /mnt/volatile -o SERVERNETBIOS=X-SIC

% smbmount //pollux.info.emn.fr/rozec /mnt/net -o p=193.104.32.88,username=rozec,uid=rozec,gid=rozec,fmask=777,dmask=777

% smbmount //z-sic.emn.fr/volatile /home/rozec/mount-point -o noperm,user=EMN.FR\rozec

ou

% sudo mount -t cifs //z-sic.emn.fr/volatile /home/rozec/mount-point -o noperm,user=EMN.FR\rozec

Authentification

Samba sur la version Ubuntu n’utilise pas les mots de passe du système mais a son propre fichier pour stocker ceux-ci (/etc/smbpasswd).

• Pour créer le mot de passe :

sudo smbpasswd -a user_name

• Si l’on ne vaut pas activer le fichier password de samba mais se fier au fichier password unix

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
; passdb backend = tdbsam
; obey pam restrictions = yes

• Si l’on veut supprimer l’authentification

; security = user
security = share

Mise à jour smb.conf

GLOBAL
=====
client plaintext auth = yes
client lanman auth = yes
name resolve order = lmhosts host wins bcast
AUTHENTIFICATION
===========
; passdb backend = tdbsam
; obey pam restrictions = yes
; pam password change = yes

ACL – Osix – Unix

Il n’est pas possible depuis un client Windows de configurer directement des droits sur un partage SAMBA car depuis la boîte de dialogue destiné à cet effet (clic droit -> propriété -> sécurité) le bouton « Ajouter » ne permet pas de lister les membres du domaine.

Toutefois, les droits des utilisateurs qui apparaissent directement dans cette boîte de dialogue (clic droit -> propriété -> sécurité) sont configurables.

Il est possible de faire apparaître des utilisateurs (ou des groupes) dans cette boîte en utilisant les ACL POSIX sur la machine SAMBA.

Par exemple, donner les droits de lecture et exécution seuls et récursivement à « bmenard » (si, si encore lui) depuis un point toto d’une arbo :

« setfacl -R -m u:bmenard:r-x toto »

Dans tous les points de l’arbo les droits de « bmenard » seront manipulables car il apparaîtra directement dans la boîte de dialogue (enfin … son login pas lui !).

Bien évidemment on peut directement affecter les droits sur la machine SAMBA tels que demandés par un propriétaire.

PDBedit

Le man

Liens

Faq Ubuntu-fr