Samba

amoule · 03-05-2010 14:01:26

Bonjour a tous

Après une très longue période d'absence, je reviens vers vous, nouveau boulot, nouveaux serveurs et je viens de migrer une ubuntu qui servait uniquement a sauvegarder les fichiers de la boite en une toute belle debian que je préfère

Ma priorité était de rétablir le système de sauvegarde de la boite (on a une sauvegarde sur bande mais elle ne prend pas tout), bref : j'ai donc installé samba que j'ai un peu configuré comme un cochon.

Les fichiers de mon serveur2003 sont bien envoyé sur le répertoire "mnt/SAV" de la debian mais accessible a tous (comme c'était le cas auparavant), si cela est pratique parce que ça fonctionne, je souhaite faire en sorte que seul un compte puisse accéder à ce partage et puisse modifier à volontés les répertoires.

Dès que c'est configuré et opérationel, j'install OCS et GLPI afin de pouvoir suivre l'info comme il faut !

//////
Le 2003 est contrôleur de domaine
le debian en workgroup

les ip sont sur la plage 192.168.0.X
la sauvegarde se fait avec SyncBack

j'ai fait un chmod 777 -r sur le dossier "mnt"

la commande ls -R -l /mnt
me retourne se genre de chose :

-rwxr--r-- 1 nobody nogroup 648 jun 15 2009 plot.log
-rwxr--r-- 1 nobody nogroup 63577 jun 8 2009 protege cable_v0.dwg
-rwxr--r-- 1 nobody nogroup 44763 mar 3 2009 protege cable_v0.pdf
-rwxr--r-- 1 nobody nogroup 46477 mar 3 2009 socle armoire_v0.pdf
-rwxr--r-- 1 nobody nogroup 62298 jun 8 2009 socle_v0.dwg
-rwxr--r-- 1 nobody nogroup 58419 jun 15 2009 trappe_v0.bak
-rwxr--r-- 1 nobody nogroup 58287 jun 15 2009 trappe_v0.dwg
-rwxr--r-- 1 nobody nogroup 35410 jun 15 2009 trappe_v0.pdf
-rwxr--r-- 1 nobody nogroup 48511 mar 3 2009 tube support_v01.pdf
-rwxr--r-- 1 nobody nogroup 61307 jun 15 2009 tube support_v02.bak
-rwxr--r-- 1 nobody nogroup 59834 jun 15 2009 tube support_v02.dwg
-rwxr--r-- 1 nobody nogroup 53953 jun 15 2009 tube support_v02.pdf

donc ce que j'aimerais :

1/ ne pas tout péter ^^
2/ que seul un compte puisse accéder au répertoire partagé
3/ hum... je verrais en fonction de vos réponses ^^

Extrait de mon fichier de config

# Some options that are often worth tuning have been included as
# commented-out examples in this file.
# - When such options are commented with ";", the proposed setting
# differs from the default Samba behaviour
# - When commented with "#", the proposed setting is the default
# behaviour of Samba but the option is considered important
# enough to be mentioned here
#
# NOTE: Whenever you modify this file you should run the command
# "testparm" to check that you have not made any basic syntactic
# errors.
# A well-established practice is to name the original file
# "smb.conf.master" and create the "real" config file with
# testparm -s smb.conf.master >smb.conf
# This minimizes the size of the really used smb.conf file
# which, according to the Samba Team, impacts performance
# However, use this with caution if your smb.conf file contains nested
# "include" statements. See Debian bug #483187 for a case
# where using a master file is not a good idea.
#

#======================= Global Settings =======================

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = WORKGROUP

# server string is the equivalent of the NT Description field
server string = %h server

# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable its WINS Server
# wins support = no

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
; wins server = w.x.y.z

# This will prevent nmbd to search for NetBIOS names through DNS.
dns proxy = no

# What naming service and in what order should we use to resolve host names
# to IP addresses
; name resolve order = lmhosts host wins bcast

#### Networking ####

# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
; interfaces = 127.0.0.0/8 eth0

# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
create mask = 0775

# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
directory mask = 0775

# By default, \\server\username shares can be connected to by anyone
# with access to the samba server.
# The following parameter makes sure that only "username" can connect
# to \\server\username
# This might need tweaking when using external authentication schemes
valid users = %S

# Un-comment the following and create the netlogon directory for Domain Logons
# (you need to configure Samba to act as a domain controller too.)
;[netlogon]
; comment = Network Logon Service
; path = /home/samba/netlogon
; guest ok = yes
; read only = yes
; share modes = no

# Un-comment the following and create the profiles directory to store
# users profiles (see the "logon path" option above)
# (you need to configure Samba to act as a domain controller too.)
# The path below should be writable by all users so that their
# profile directory may be created the first time they log on
;[profiles]
; comment = Users profiles
; path = /home/samba/profiles
; guest ok = no
; browseable = no
; create mask = 0600
; directory mask = 0700

[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700

# Windows clients look for this share name as a source of downloadable
# printer drivers
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no

guest ok = no
# Uncomment to allow remote administration of Windows print drivers.
# You may need to replace 'lpadmin' with the name of the group your
# admin users are members of.
# Please note that you also need to set appropriate Unix permissions
# to the drivers directory for these users to have write rights in it
; write list = root, @lpadmin

# A sample share for sharing your CD-ROM with others.
;[cdrom]
; comment = Samba server's CD-ROM
; read only = yes
; locking = no
; path = /cdrom
; guest ok = yes

# The next two parameters show how to auto-mount a CD-ROM when the
# cdrom share is accesed. For this to work /etc/fstab must contain
# an entry like this:
#
# /dev/scd0 /cdrom iso9660 defaults,noauto,ro,user 0 0
#
# The CD-ROM gets unmounted automatically after the connection to the
#
# If you don't want to use auto-mounting/unmounting make sure the CD
# is mounted on /cdrom
#
; preexec = /bin/mount /cdrom
; postexec = /bin/umount /cdrom

[mnt]
path = /mnt/SAV
available = yes
browsable = yes
public = yes
writable = yes

Merci d'avance a vous tous

Dernière modification par amoule (03-05-2010 14:02:37)

Pollux · 03-05-2010 21:12:02

niveau secure, c'est moyen, deja c'est tous con mais faudrait changer workgroup, ensuite interfaces =192.168.0.0/24
et enfin dans [mnt]

valid user=toi

il n'y a que toi qui accède au partage.

bon bref j'ai moyen répondu à la question.
tu veux que, quand tu depose les fichiers ils prennent les droits user/groupe que tu veut disons toto (au hasard) ou conserve les droits qu'il on déjà ?

pour foutre les droits sur un user en particulier-->man
je sais que sa existe mais comme j'utilise pas...

et au passage fait un cp /etc/samba/smb.conf /etc/samba/smb.conf.old

parce que là avec tous les commentaires et les lignes inutiles, sa facilite pas la lecture.

bye

[EDIT BY MaTTuX_] 2nd post pas nécessaire, tu dois éditer ton post pour le modifier et non en refaire un deuxieme identique.

MaTTuX_ · 04-05-2010 04:22:19

copie de mon fichier samba comme exemple :

#======================= Global Settings =======================                                                                                                                                     

[global]

## Browsing/Identification ###

workgroup = mon groupe         

server string = Samba server (%h)

netbios name = Serveur           

dns proxy = no                   

#### Networking ####

#interfaces = 192.168.214.20

#bind interfaces only = yes 

### Access rights ###

create mask = 0660   

directory mask = 0770

#### Debugging/Accounting ####

log file = /var/log/samba/log.%m

max log size = 1000

syslog = 0

panic action = /usr/share/samba/panic-action %d

####### Authentication #######

security = user

valid users = @mattux, @tmattux, @sambausers

encrypt passwords = true

passdb backend = tdbsam

obey pam restrictions = yes

unix password sync = no

map to guest = bad user

############ Misc ############

socket options = IPTOS_LOWDELAY TCP_NODELAY

usershare allow guests = no

[HOME]

   path = /home/mattux/vpn

   comment = VPN

   read only = no

   valid users = tmattux mattux

#   write list = tmattux Pablo

   writeable = yes

   create mode = 0444

   directory mode = 0444

[MATTUX]

   path = /home/mattux/

   comment = mon home

   read only = no

   valid users =  mattux

[juan]

        path = /home/samba/juan

        coment = Sala juan

        read only = no

        valid users = juan

        writable = yes

        create mode = 0444

        directory mode = 0444

Et un exemple des permissions du dossier /home/samba

root@MacGyver:/home/mattux# ls -l /home/samba/

total 4

drwxrwx--- 3 juan pablo 4096 mai  3 23:16 juan

Exemple quand l'user juan copie un fichier ou dossier :

root@MacGyver:/home/mattux# ls -l /home/samba/juan/

total 8

-r--r--r-- 1 juan pablo    2 jan  4  2008 Fichier texte

dr--r--r-- 2 juan pablo 4096 mai  3 23:16 Nouveau dossier

il a les droit 444 pour fichier et dossier, tu peux le regler dans ton smb.conf regarde la partie de conf pour juan.

Si tu es interresé j'ai un script qui ajoute et elimine les users samba avec ce type de config

A toute

MaTTuX_

amoule · 04-05-2010 08:03:34

Merci pour vos réponses

niveau secure c plus que moyen puisque tout le monde y accède j'en suis conscient, d'où mes questions

alors j'ai fait quelques modifs :

security = user (et plus share)
interfaces = 192.168.0.0/24 etho
public = no
create mask = 0660
directory mask = 0770

il me demande un compte pour y accéder

Puisque je suis en domaine, j'ai tenté à la place de Mon-Domaine-windows\mon-User-domaine-windows :

srv-debian\Mon-user-debian
mdp
marche pas

srv-debian/Mon-user-debian
mdp
marche pas mieux

j'ai tenté de passer en domaine alors que le serveur debian n'est pas en domaine, forcement ça ne fonctionne pas mieux que le reste

@ Pollux tu me dis de changer workgroup oui mais en quoi ?

ce que je souhaite, c'est pouvoir sauvegarder mes fichiers depuis le serveur 2003 avec syncback et que ceux-ci ne soient accessible que par les utilisateurs debian (en gros moi et root) et l'administrateur du domaine windows 2003, et personne d'autres.

que les répertoires, les fichiers ne soient pas visible, sans possibilité de suppression par quelqu'un d'autres que l'admin du domaine windows (ou les utilisateurs de la debian)

@ Mattux, ta config me parait plus poussé que ce que je souhaite faire pour commencer avec samba. Mon objectif principal étant de rétablir ce qui existait avant mon arrivé (ça c'est fait) et sécuriser un peu le truc et c'est donc là que je butte

Merci encore de votre aide

Dernière modification par amoule (04-05-2010 08:04:19)

MaTTuX_ · 05-05-2010 01:33:54

amoule a écrit :

Merci pour vos réponses

niveau secure c plus que moyen puisque tout le monde y accède j'en suis conscient, d'où mes questions

alors j'ai fait quelques modifs :

security = user (et plus share)
interfaces = 192.168.0.0/24 etho
public = no
create mask = 0660
directory mask = 0770

il me demande un compte pour y accéder

Puisque je suis en domaine, j'ai tenté à la place de Mon-Domaine-windows\mon-User-domaine-windows :

srv-debian\Mon-user-debian
mdp
marche pas

srv-debian/Mon-user-debian
mdp
marche pas mieux

j'ai tenté de passer en domaine alors que le serveur debian n'est pas en domaine, forcement ça ne fonctionne pas mieux que le reste

@ Pollux tu me dis de changer workgroup oui mais en quoi ?

ce que je souhaite, c'est pouvoir sauvegarder mes fichiers depuis le serveur 2003 avec syncback et que ceux-ci ne soient accessible que par les utilisateurs debian (en gros moi et root) et l'administrateur du domaine windows 2003, et personne d'autres.

que les répertoires, les fichiers ne soient pas visible, sans possibilité de suppression par quelqu'un d'autres que l'admin du domaine windows (ou les utilisateurs de la debian)

@ Mattux, ta config me parait plus poussé que ce que je souhaite faire pour commencer avec samba. Mon objectif principal étant de rétablir ce qui existait avant mon arrivé (ça c'est fait) et sécuriser un peu le truc et c'est donc là que je butte

Merci encore de votre aide

Si tu passes security en user il te demande un compte c est normal mais ce compte faut le creer :

genre :

smbpasswd -a tonuser

relis un peu la config que j ai, je suis en security user aussi
apres ya d autre config plus poussé mais bon spa ton objectif.

Saludos,

MaTTuX_

amoule · 05-05-2010 08:21:52

j'avance un brin ^^

bon j'ai clairement un problème de droit, je vais devoir re-potasser ça sérieusement

en attendant... : la commande srv-debian:~# ls -l /mnt/SAV/ me renvois ça

total 64

drwxr-xr-x 35 nobody nogroup 4096 mai  5 04:18 a_perso

drwxr-xr-x  4 nobody nogroup 4096 mai  4 10:59 CA

drwxr-xr-x 44 nobody nogroup 4096 mai  3 14:23 d-comte

drwxr-xr-x 11 nobody nogroup 4096 mai  4 16:50 disqueV

drwxr-xr-x 44 nobody nogroup 4096 mai  3 21:42 jdc

drwxr-xr-x 12 nobody nogroup 4096 mai  3 19:24 jr

drwxr-xr-x 10 nobody nogroup 4096 mai  3 21:01 Mai2010

drwxr-xr-x 10 nobody nogroup 4096 mai  3 21:01 manager

drwxr-xr-x 34 nobody nogroup 4096 mai  4 16:10 mpboche

drwxr-xr-x  2 nobody nogroup 4096 mai  4 11:04 nadege

drwxr-xr-x 33 nobody nogroup 4096 mai  4 15:16 nparobiej

drwxr-xr-x  3 nobody nogroup 4096 mai  4 20:37 sage

drwxr-xr-x  3 nobody nogroup 4096 mai  3 18:44 Sar

drwxr-xr-x 11 nobody nogroup 4096 mai  4 20:36 sylvain

drwxr-xr-x 24 nobody nogroup 4096 mai  4 21:15 users-AD

drwxr-xr-x 27 nobody nogroup 4096 mai  4 21:45 vrodrigues

Et mon fichier de config est le suivant

#======================= Global Settings =======================

[global]

workgroup = WORKGROUP

server string = %h server

dns proxy = no

#### Networking ####

interfaces = 192.168.0.0/24 eth0

#### Debugging/Accounting ####

log file = /var/log/samba/log.%m

max log size = 1000

syslog = 0

panic action = /usr/share/samba/panic-action %d

####### Authentication #######

#   security = share

security = user

valid users = @serfa

encrypt passwords = true

passdb backend = tdbsam

obey pam restrictions = yes

unix password sync = no

   passwd program = /usr/bin/passwd %u

   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes

#======================= Share Definitions =======================

wins support = no

[homes]

comment = Home Directories

browseable = no

read only = no

create mask = 0775

directory mask = 0775

#   valid users = %S

valid users = @serfa

[printers]

   comment = All Printers

   browseable = no

   path = /var/spool/samba

   printable = yes

   guest ok = no

   read only = yes

   create mask = 0700

   comment = Printer Drivers

   path = /var/lib/samba/printers

   browseable = yes

   read only = yes

   guest ok = no

[mnt]

path = /mnt/SAV

available = yes

browsable = yes

public = no

writable = yes

valid users = @serfa

read only = no

create mode = 0775

directory mode = 0775

Mon problème : depuis le seven que j'utilise, il me demande bien un login utilisateur avec mot de passe, donc ça, dans l'idée je suis content en revanche, il ne veut rien savoir quand j'essais d'y acceder depuis le serveur 2003 avec SynckBack, il me dit "echec lors de la preparation de la destination, le dossier \\srv-debian\mnt\SAV\mon-repertoire n'existe pas et n'a pas pu etre créé"

alors que naturellement le répertoire existe puisque j'ai déjà fait des sauvegardes dedans et fonctionne quand j'ouvre en grand les portes du partage.

En revanche, je n'y ai pas accès depuis mon serveur 2003 meme en entrant les identifiants

dsl de vous enmerder avec mes p'tits problemes

MaTTuX_ · 06-05-2010 05:35:57

les logs disent quoi ?

amoule · 06-05-2010 07:01:45

arf, je devrais le savoir pourtant... je n'étais pas aller dedans

srv-debian:~# cd /var/log/samba
srv-debian:/var/log/samba# dir
cores log.nmbd log.serveur2003~
log.__ffff_192.168.0.1 log.pc-de-fpointout log.smbd
log.__ffff_192.168.0.14 log.serveur2003
srv-debian:/var/log/samba#

log.serveur2003 :

######

#config ouverte a toute le monde

[2010/05/06 07:44:49,  1] smbd/service.c:make_connection_snum(1198)

  serveur2003 (::ffff:192.168.0.1) connect to service mnt initially as user nobody (uid=65534, gid=65534) (pid 6062)

######

#config sécu

[2010/05/06 07:48:07,  1] smbd/service.c:close_cnum(1409)

  serveur2003 (::ffff:192.168.0.1) closed connection to service mnt

[2010/05/06 07:49:11,  0] smbd/service.c:make_connection_snum(1086)

  Can't become connected user!

log.pc-de-fpointout :

#######mode sécu avec connexion via user/mdp

[2010/05/06 07:57:29,  1] smbd/service.c:make_connection_snum(1198)

  pc-de-fpointout (::ffff:192.168.0.14) connect to service serfa initially as user serfa (uid=1000, gid=1000) (pid 6207)

[2010/05/06 07:57:29,  1] smbd/service.c:make_connection_snum(1198)

  pc-de-fpointout (::ffff:192.168.0.14) connect to service mnt initially as user serfa (uid=1000, gid=1000) (pid 6207)

[2010/05/06 07:57:44,  1] smbd/service.c:close_cnum(1409)

  pc-de-fpointout (::ffff:192.168.0.14) closed connection to service mnt

[2010/05/06 07:57:44,  1] smbd/service.c:close_cnum(1409)

  pc-de-fpointout (::ffff:192.168.0.14) closed connection to service serfa

j'espère que ça vous aidera

Merci encore

MaTTuX_ · 06-05-2010 13:27:37

 passwd program = /usr/bin/passwd %u

   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes

Tu utilise la bd pam ou tu as fais smbpasswd pour les authentification ?

les logs ne disent pas grand chose

MaTTuX_

amoule · 06-05-2010 13:31:02

j'ai suivi ce que tu m'avais dit donc smbpasswd, le truc avec bd pam est d'origine, a priori je n'y ai pas touché

Amoule

EDIT

j'ai mis sur "no" les paramètres pam mais ça n'a rien changé

après désespéré que je suis, je vous colle une image lorsque j'essais d'y acceder via le 2003

Uploaded with ImageShack.us

la debian à l'install avait chopée des paramètres par defauts, ça pourrait avoir un impact l'histoire du srv-debian.serfa.local u rien du tout ?

bon sinon, quand je tape les identifiants, j'obtiens ça (identifiant qui fonctionne sous mon seven)

Uploaded with ImageShack.us

++

Dernière modification par amoule (06-05-2010 13:46:18)

MaTTuX_ · 06-05-2010 16:42:21

C'est bizarre que ca marche sur sevent et pas l'autre, laisse moi faire des tests dans mon labo cette apres midi et je te tiens au courant

amoule · 06-05-2010 17:50:57

extra ; merci bien !

MaTTuX_ · 10-05-2010 23:32:35

Amoule j ai fais les test sur plusieurs version de microsoft et je n ai pas eu le soucis que tu nous signale,
je te conseille donc d eliminer les dossiers deja créé ou de remettre les bons droit pour ton users.

Je surveille en attendant tes réponses.

MaTTuX_

squal · 03-09-2010 02:13:52

bonsoir

je voudrai monter un server de fichier,j ai des petites bases sous debian.Je voudrai installer samba,et tous les programe nécessaire sur celui-ci pour avoir un accès a distance de n importe quel connexion internet .

quelqu un pourrait il m aider en me dirigeant vers des tutoriels simples mais efficace et qui serai a m a porter .

merci de votre soutien

squal

martinux_qc · 03-09-2010 02:59:31

Salut

Tout d'abord, bienvenu sur DF squal. Ensuite, SVP, ouvre un nouveau fil de discussion pour ton problème en accord avec la politique du forum. Merci bien.

Debian-facile

#1 03-05-2010 14:01:26

Samba

#2 03-05-2010 21:12:02

Re : Samba

#3 04-05-2010 04:22:19

Re : Samba

#4 04-05-2010 08:03:34

Re : Samba

#5 05-05-2010 01:33:54

Re : Samba

#6 05-05-2010 08:21:52

Re : Samba

#7 06-05-2010 05:35:57

Re : Samba

#8 06-05-2010 07:01:45

Re : Samba

#9 06-05-2010 13:27:37

Re : Samba

#10 06-05-2010 13:31:02

Re : Samba

#11 06-05-2010 16:42:21

Re : Samba

#12 06-05-2010 17:50:57

Re : Samba

#13 10-05-2010 23:32:35

Re : Samba

#14 03-09-2010 02:13:52

Re : Samba

#15 03-09-2010 02:59:31

Re : Samba

Pied de page des forums