J’ai enfin trouvé le temps de faire la mise à jour Hardy sur le poste du bureau.
Pas de soucis particulier si ce n’est avec SAMBA qui a nécessité de modifier le smb.conf en raison du nouveau mode d’authentification.
Le message d’erreur n’était pas explicite…
Server requested plaintext password but 'client use plaintext auth' is disabled
La ligne à ajouter :
client lanman auth = yes
J’ai l’impression que cette version est plus réactive (lancement d’openoffice…)
Sous Vista, le protocole utilisé pour l’authentification est NTLMv2. Sur les distributions linux, cette version du protocole n’est pas forcémment reconnue. Il faut spécifier a Windows que le protocole � utiliser est � la fois le NTLMv1 et v2.
En passant par la base de registre… � vos risques et périls 😉
VISTA HOME Basique (non testé) :
- Démarrer
- Exécuter
- Regedit
- Aller sur la clé :
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lLsa
- Double clic dans la fenetre de droite sur “LmCompatibilityLevelâ€
- Redémarrer le PC
VISTA PRO :
- Démarrer
- Executer
- secpol.msc
- Strategie Local
- Options de sécurité
- Sécurité Réseau : réseau authentification LAN Manager
- Modifier la valeur et mettre :
- Envoyer LM et NTLM !.. NTLMv2 si négocié
- Redémarrer le PC
SEVEN PRO :
- Voir la faq complète : http://wiki.samba.org/index.php/Windows7
- Les classiques :
* EnablePlaintTextPassword
**/HKEY_LOCAL_MACHINESYSTEMCurrentControlSet/servicesLanmanWorkstationParameters
Nom de la clé : EnablePlaintTextPassword
Type : DWORD
Données de la valeur : 1
* NTLM
secpol.msc => Strategie Local => Options de sécurité => Sécurité
Réseau : réseau authentification LAN Manager
Modifier la valeur et mettre :
Envoyer LM et NTLM ….. NTLMv2 si négocié
ou via regedit
**/HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa/.
Nom de la clé : LmCompatibilityLevel
Type : DWORD
Données de la valeur : 1
Base : Hexadécimale
* Elevation des privilèges
KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Faites un double clic sur la valeur *EnableLUA *, et
donnez-là la valeur *0*.
* Désactiver IPV6
Fichier de configuration samba
[global]
## Browsing/Identification ###
client plaintext auth = yes # pour pcroze
client lanman auth = yes # pour ducati
# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = EMN.FR
netbios name = PCROZE
####### Authentication #######
# « security = user » is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/Samba-HOWTO-Collection/ServerType.html
# in the samba-doc package for details.
; security = user
security = server
password server = ntscerl.iemn.fr, netscrl
# You may wish to use password encryption. See the section on
# ‘encrypt passwords’ in the smb.conf(5) manpage before enabling.
; encrypt passwords = true
…..
[data]
path = /data
available = yes
browsable = yes
valid users = rozec
;public = yes
writable = yes
Accès du répertoire partagé windows depuis Ubuntu
Le client Ubuntu accède au répetoire mais via l’IP
Commande smbclient depuis Ubuntu
% smbclient -N -L portlaur.etude.emn.fr
% smbclient -L portlaur.etude.emn.fr -U backup -W emn.fr
%/usr/local/samba/bin/smbclient \\portinfo34\backup -U backup
% smbclient //pcroze/data
Commande smbmount depuis Ubuntu
% smbmount //x-sic/voltatile /mnt/volatile -o SERVERNETBIOS=X-SIC
% smbmount //pollux.info.emn.fr/rozec /mnt/net -o p=193.104.32.88,username=rozec,uid=rozec,gid=rozec,fmask=777,dmask=777
% smbmount //z-sic.emn.fr/volatile /home/rozec/mount-point -o noperm,user=EMN.FR\rozec
ou
% sudo mount -t cifs //z-sic.emn.fr/volatile /home/rozec/mount-point -o noperm,user=EMN.FR\rozec
Authentification
Samba sur la version Ubuntu n’utilise pas les mots de passe du système mais a son propre fichier pour stocker ceux-ci (/etc/smbpasswd).
- Pour créer le mot de passe :
sudo smbpasswd -a user_name
- Si l’on ne vaut pas activer le fichier password de samba mais se fier au fichier password unix
# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
; passdb backend = tdbsam
; obey pam restrictions = yes
- Si l’on veut supprimer l’authentification
; security = user
security = share
Mise à jour smb.conf
GLOBAL
=====
client plaintext auth = yes
client lanman auth = yes
name resolve order = lmhosts host wins bcast
AUTHENTIFICATION
===========
; passdb backend = tdbsam
; obey pam restrictions = yes
; pam password change = yes
ACL – Osix – Unix
Il n’est pas possible depuis un client Windows de configurer directement des droits sur un partage SAMBA car depuis la boîte de dialogue destiné à cet effet (clic droit -> propriété -> sécurité) le bouton « Ajouter » ne permet pas de lister les membres du domaine.
Toutefois, les droits des utilisateurs qui apparaissent directement dans cette boîte de dialogue (clic droit -> propriété -> sécurité) sont configurables.
Il est possible de faire apparaître des utilisateurs (ou des groupes) dans cette boîte en utilisant les ACL POSIX sur la machine SAMBA.
Par exemple, donner les droits de lecture et exécution seuls et récursivement à « bmenard » (si, si encore lui) depuis un point toto d’une arbo :
« setfacl -R -m u:bmenard:r-x toto »
Dans tous les points de l’arbo les droits de « bmenard » seront manipulables car il apparaîtra directement dans la boîte de dialogue (enfin … son login pas lui !).
Bien évidemment on peut directement affecter les droits sur la machine SAMBA tels que demandés par un propriétaire.
PDBedit
Le man
Visualiser
./pdbedit -v -u rozec
Activer
./pdbedit -c [X ] -u rozec
Reset bad password count
./pdbedit -z -u rozec
Liens
Faq Ubuntu-fr