Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:mrwaloo:smb.conf [Le 09/12/2009, 20:28]
MrWaloo et une dernière retouche...
+++ — (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
-{{tag>samba partage}}
-====== Le fichier smb.conf ======
-La configuration de **Samba** n'est pas une mince affaire, c'est pourquoi cette page est assez longue, mais soyez tranquille, seule une partie s'appliquera à votre besoin, continuez de lire attentivement.\\
-**Cette page n'est pas exhaustive** et ne permettra pas à tout le monde d'y trouver son bonheur, toutefois vous y trouverez ce dont vous avez besoin pour une configuration simple. Des configurations nécessaires à un aboutissement suffisant y sont proposées. Comme c'est le cas pour bon nombre de logiciels (serveurs, en l'occurrence) des configurations différentes sont possibles, en fonction des habitudes…\\
-⇒ **Ce ne sont que des propositions.**
-<note warning>
-  - Un certain nombre de notions sont rapidement expliquées ici, cette page est destinée à documenter le fichier de configuration de **Samba**, pas toutes les notions à avoir pour tout comprendre en détail. Faites appel à votre curiosité pour en savoir plus (si vous estimez en avoir besoin).
-  - Dans cette page, le terme "serveur" sera souvent employé, c'est parce que je(([[utilisateurs:MrWaloo]])) considère Samba comme un service auquel se connectent des clients, il s'agit donc d'un serveur (au même titre que apache, par exemple), même si Samba tourne sur un PC domestique avec une version //non-server// de n'importe quelle distribution GNU/Linux.
-</note>
-===== Introduction =====
-Le fichier **/etc/samba/smb.conf** permet de configurer [[:samba|Samba]]. Ce fichier est composé de sections dont le nom est entre crochets(([exemple] de nom de section)) :
-  * ''[global]'' : contient les paramètres généraux et les paramètres par défaut des différents partages,
-  * ''[printers]'' et ''[print$]'' sont spécifiques au partage d'imprimantes,
-  * ''[homes]'' est spécifique au partage du répertoire personnel d'un utilisateur (son répertoire $HOME) il apparaîtra dans la liste des partages avec le nom d'utilisateur du client (s'il est identifié),
-  * ''[le_nom_d'un_partage]'' pour chaque partage
-[[:tutoriel:comment_editer_un_fichier|Éditez le fichier]] **/etc/samba/smb.conf** :
-Dans ce fichier de configuration par défaut il y a beaucoup de commentaires, afin de ne pas les perdre et d'avoir un fichier claire, il est conseillé de [[:tutoriel/console_commandes_de_base#cp|copier]] ce fichier sous un autre nom et de partir de zéro((oui : page blanche, mais soyez sans crainte, elle ne le restera pas)).
-Une fois terminé, pour vérifier que la configuration est sans faute de syntaxe, utiliser la commande suivante :
-<code>
-testparm -s
-</code>
-Vous verrez comment ''samba'' interprètera votre fichier de configuration et, en cas d'erreurs, vous serez averti.
-Après chaque modification, il faut redémarrer ''samba'' :
-<code>
-sudo service samba restart
-</code>
-Si un redémarrage complet n'est pas possible pour des raison de continuité de service, si les modifications ne touchent pas le service NetBios (nmbd), la commande suivante suffit :
-<code>
-sudo service samba reload
-</code>
-===== Généralités =====
-Le fichier **/etc/samba/smb.conf** est construit en différentes sections dont la première est généralement : [global].\\
-Une section commence par une ligne contenant un mot entre crochets et fini lorsque la section suivante commence ;-).\\
-Toute ligne commençant par un # est un commentaire. Toute ligne commençant par un ; est aussi considérée comme un commentaire mais sert pour les paramètres ignorés.\\
-Dans une section, les valeurs sont affectées aux paramètres de cette manière :
-<file>paramètre = valeur</file>
-Dans certains cas, il est possible d'affecter une liste de valeurs à un même paramètre, la syntaxe à utiliser est alors :
-<file>paramètre = valeur1,valeur2,valeur3</file>
-ou séparés par des espaces
-<file>paramètre = valeur1 valeur2 valeur3</file>
-Il est coutumier d'indenter((ajouter des espaces en début de ligne)) les paramètres afin de les distinguer des sections et des commentaires.
-Une ligne se terminant par le caractère ''\'' se prolonge sur la ligne suivante comme le veut la mode Unix.
-Exemple illustratif :
-<file># Un commentaire très important puisqu'il est là…
-# Début de la section
-[section]
-# Un paramètre comme ceci
-    paramètre unaire = valeur
-# ou comme cela
-    liste de paramètres = toi,moi,eux # et tous ceux qui le veulent… Ah oui, on peut commenter en fin de ligne ;-)
-# Celui-ci n'est pas pris en compte
-;    paramètre invalidé = essai infructueux</file>
-La liste des paramètres se trouve dans la page de [[tutoriel/console_commandes_de_base#man|man]] (ou manuel) de smb.conf :
-<code>man smb.conf</code>
-Pour chaque paramètre, une lettre est mise entre parenthèses :
-   * (G) pour les paramètres de la section ''[global]''
-   * (S) pour les paramètres spécifiques aux partages (//shares// en anglais). Ces paramètres peuvent être définis dans la section ''[global]'' et seront valables pour tous les partages, cela évitera de les refaire figurer dans chaque partage. On dira que les paramètres sont //hérités//.
-==== Paramètres généraux de [global] ====
-=== Identification du PC sur le réseau ===
-== Groupe de travail ou Domaine ==
-<file>workgroup = CHEZ_MOI</file>
-Le groupe de travail (ou nom de domaine pour les PC dans un domaine) et le nom du "réseau" dans lequel les PC "sont"((désolé pour les guillemets en rafale, mais je n'ai pas le choix pour garder un minimum de précision)). Bon, on ne commence pas par la notion la plus facile…\\
-Il ne faut pas créer un groupe de travail, il existe dès lors qu'un PC se défini comme faisant partie de ce groupe.\\
-En gros, pour ranger un peu les PC sur un même réseau, on les place dans des groupes appelés "groupe de travail". Si vous avez moins de 50 PC, vous pouvez les mettre dans le même groupe, ça ne dérangera personne!
-== Nom NetBios ==
-<file>netbios name = MON_ORDI_A_MOI</file>
-C'est le nom du PC sur le réseau.
-== Description ==
-<file>server string = serveur %h (Samba %v, Ubuntu)</file>
-C'est la description de votre PC que vous voulez donner.
-<note>Vous avez remarqué ces %h et %v ? Ils sont décrits dans le manuel de smb.conf, ici %h est le nom de l'hôte du serveur (//hostname//) et %v est la version de Samba.</note>
-=== Type de sécurité ===
-Voir le [[#securite|chapitre]] dédié à ce point particulier.
-=== Réseau ===
-== Interface ==
-Dans certains cas((comme par exemple celui ou 2 paires de [[:samba#demons_de_samba|démons]] (//daemons//) Samba tournent sur le même serveur, avec une interface par instance)) on peut vouloir restreindre l'accès aux partages Samba à une partie des interfaces Ethernet disponibles sur le serveur ; limiter l'accès aux membres du réseau filaire et interdire l'accès à ceux qui sont sur le réseau WiFi par exemple.
-Il faut savoir que ce n'est pas ce qui est fait par défaut, puisque par défaut, Samba est accessible sur toutes les interfaces réseau, donc si ce fonctionnement vous convient, aucun besoin de préciser quoi que ce soit.
-<file>
-# On souhaite n'autoriser l'accès que via certaines interfaces réseau
-bind interfaces only = Yes
-# Liste des interfaces réseau en question
-interfaces = 127.0.0.1 eth0:0 192.168.1.20/24
-</file>
-== Configuration des sockets ==
-Un paramètre qui permet d'augmenter les performances réseau est ''socket options''. Ce paramètre qui ne prendra qu'une ligne peut vous changer la vie ! Exemple :
-<file>socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192</file>
-=== Paramètres liés à la résolution de nom ===
-== WINS ==
-WINS est un service de résolution de nom, comparable au DNS.
-<note warning>Contrairement aux serveurs DNS, il ne peut y avoir qu'**UN SEUL** serveur WINS sur le réseau, attention donc à ne pas marcher sur les plates bandes d'un autre serveur !</note>
-Sa configuration peut être de 3 types :
-  * **La plus part du temps : Aucune.**
-Sur des réseaux simples (sans sous réseaux) WINS n'est pas important. C'est d'ailleurs la configuration par défaut, c'est à dire celle qui est utilisée si rien n'est précisé.
-  * **Client WINS**
-Le réseau dans lequel se trouve le serveur Samba comporte un serveur WINS, il faut donc le signifier à Samba afin qu'il puisse en tenir compte.
-<file>
-# Si le serveur WINS a l'adresse 192.168.1.20
-wins server = 192.168.1.20
-</file>
-  * ** Serveur WINS**
-Le serveur WINS de votre réseau est votre serveur Samba.
-<file>
-# Activation de la fonction de serveur WINS
-wins support = Yes
-# Un paramètre historique dont d'anciennes versions de Windows ont besoin
-wins proxy = Yes
-# Si VOTRE serveur a l'adresse 192.168.1.20
-wins server = 192.168.1.20
-# S'il fallait en plus passer par un serveur DNS
-;dns proxy = Yes
-</file>
-== Local Master ==
-Pour les détails de fonctionnement voir [[http://www.comptechdoc.org/os/windows/ntwsguide/ntwsnfinding.html|cette page]].\\
-Afin de stabiliser le //local master browser// sur un réseau, il peut être intéressant de faire en sorte que Samba remplisse ce rôle, d'autant plus si Samba est contrôleur de domaine.
-Par défaut, cette valeur est à ''Yes''. On peut cependant le rappeler afin de faciliter la lecture et figer la paramètre ''os level'' à une valeur supérieure à 64 (et strictement inférieure à 255), afin de garantir la victoire de l'élection du //local master browser//.
-<file>
-# Samba participe à l'élection…
-local master = Yes
-# … et la gagnera !
-os level = 65
-</file>
-Si toutefois on ne souhaite pas activer cette fonctionnalité, on peut préciser :
-<file>
-# Le serveur Samba ne participera même pas à l'élection du local master browser
-local master = No
-</file>
-=== Exemple de section [global] ===
-Voici un exemple((sans commentaire, ce qui n'est pas top)) d'une section [global] telle qu'elle pourrait être pour une configuration sans authentification :
-<file>
-[global]
-    server string = %h server (Samba, Ubuntu)
-    security = SHARE
-    syslog = 0
-    log file = /var/log/samba/log.%m
-    max log size = 100
-    dns proxy = No
-    hide files = /lost+found/
-</file>
-Profitons en pour parler des paramètres encore inconnus. Il suffit de dire que des notions d'anglais aident bien à la compréhension de leur rôle.
-Cas particulier pour ''hide files'', les noms de fichiers à cacher sont entre ''/'', exemple si on veut cacher les répertoires ''lost+found'', les corbeilles et les fichiers ''*.bak'' :
-<file>hide files = /lost+found/.Trash*/*.bak/</file>
-<note tip>Comme il s'agit d'un paramètre de partage, le fait de le mettre dans [global] permettra de ne pas le préciser pour chaque partage.</note>
-<note>Attention toutefois à ce paramètre car il affecte sensiblement les performances de Samba.</note>
-==== Paramètres généraux des partages ====
-=== Répertoire partagé ===
-Le chemin du répertoire partagé se renseigne de cette manière :
-<file>path = /data/Documents</file>
-=== Description ===
-Il est possible de renseigner une description de partage :
-<file>comment = Tous les documents utiles</file>
-=== Masques de création ===
-Le plus souvent, ce n'est pas la peine de se soucier de ce paramètre, par défaut, Samba fait les choses assez bien. Si toute fois vous souhaitez personnaliser les droits sur les fichiers lors de leur création, vous pouvez le faire avec ces paramètres :
-<file>
-create mask = 0700    # Fichiers : Tous les droits pour le propriétaire et rien pour les autres
-directory mask = 700  # Répertoires : idem
-</file>
-Pour plus de détails, je vous conseille de consulter la page de manuel et d'avoir des notions sur les droits et autorisations sur les fichiers dans le monde Linux.
-=== Accès aux données : Lecture et écriture ===
-Il est possible de déclarer un partage :
-   * en lecture/écriture pour tous,
-   * en lecture seule pour tous,
-   * en lecture seule pour certains utilisateurs et lecture/écriture pour d'autres utilisateurs.
-Et en plus ce n'est même pas compliqué à mettre en place !
-== En lecture/écriture pour tous ==
-Afin de rendre un partage accessible en lecture et en écriture pour tous, il faut préciser :
-<file>read only = No</file>
-<note important>Attention : ce n'est pas le mode par défaut, en effet, **le mode par défaut est la lecture seule**, pensez à préciser ce paramètre si vous souhaitez que la copie vers le serveur ou même l'enregistrement de documents modifiés soient possibles.</note>
-== En lecture seule pour tous ==
-C'est facile, c'est le mode par défaut, aucun paramètre à préciser, mais si vous ne voulez pas l'oublier, vous pouvez le préciser :
-<file>read only = Yes</file>
-== Le mixe des deux... ==
-Le fin du fin c'est de distinguer les droits en fonction des utilisateurs. Le principe est de déclarer le partage en lecture seule pour tous mais d'autoriser des exceptions :
-<file>
-read only = Yes
-write list = utilisateur1, utilisateur2, @groupe12000
-</file>
-Et bien pour cela, il faudra que Samba identifie les utilisateurs, il faudra une politique de sécurité différente de ''security = share''.
-<note>
-Il est possible d'inverser la philosophie, en déclarant le partage en écriture pour tous et préciser une liste d'utilisateurs ne pouvant que lire avec le paramètre ''read list''.\\
-Si un utilisateur apparait dans ''write list'' et dans ''read list'', il aura l'autorisation d'écrire.
-</note>
-=== Accès aux données : Autorisations ===
-Pour définir une liste d'utilisateurs qui ont le droit d'accéder au partage et donc d'en voir le contenu (indépendamment du droit d'écriture) il existe le paramètre ''valid users'' :
-<file>valid users = utilisateur1, utilisateur2, @groupe12000</file>
-Les autres utilisateurs n'auront pas accès à ce partage.
-Et bien pour cela aussi, il faudra que Samba identifie les utilisateurs, il faudra une politique de sécurité différente de ''security = share''.
-==== Partage d'imprimantes ====
-<file>
-# quelques lignes dans la section [global]
-########## Printing ##########
-   load printers = yes
-   printing = cups
-   printcap name = cups
-[printers]
-   comment = All Printers
-   browseable = no
-   path = /var/spool/samba
-   printable = yes
-   guest ok = no
-   read only = yes
-   create mask = 0700
-[print$]
-   comment = Printer Drivers
-   path = /var/lib/samba/printers
-   browseable = yes
-   read only = yes
-   guest ok = no
-# Uncomment to allow remote administration of Windows print drivers.
-# Replace 'ntadmin' with the name of the group your admin users are
-# members of.
-######### !!!!!!!!!! Attention à cette ligne !!!!!!!!!!!!! ########
-   write list = root @ntadmin
-</file>
-C'est avec ces quelques lignes que vous pourrez partager les imprimantes gérées via [[:cups]].
-==== Sécurité ====
-Toute la configuration de **Samba** tourne autour de la politique de sécurité ; il s'agit du paramètre ''security''.
-<note important>**C'est sur ce paramètre là que vous devez réfléchir avant de commencer.** Un nom NetBios ou un groupe de travail qui change ce n'est qu'une ligne à changer, pour la politique de sécurité, c'est toute la philosophie de la configuration qui change.\\
-Vous êtes prévenu.</note>
-Ce paramètre peut avoir les valeurs suivantes :
-  * **[[#security_share|SHARE]]** : Pas de sécurité, les partages sont tous accessibles à tout le monde. Les partages peuvent toute fois être en lecture seule.
-  * **[[#security_user|USER]]** : Une sécurité basée sur une identification par login et mot de passe "local"((c'est entre guillemets, c'est qu'il y a une raison, mais il ne sera pas question de parler de ldap ici)).
-  * **[[#security_domain|DOMAIN]]** : Une sécurité basée sur une identification par login et mot de passe géré par un contrôleur de domaine.
-  * **[[#security_server|SERVER]]** : Une sécurité basée sur une identification par login et mot de passe géré par un autre serveur sur le réseau.
-  * **[[#security_ads|ADS]]** : Une sécurité basée sur Active Directory.
-Vous l'avez compris, pour une utilisation "à la maison", on choisira l'un des deux premiers cas.
-===== security = SHARE =====
-Dans ce mode, donc pas de droits à gérer, juste les partages en accès libre. La seule restriction possible est la lecture seule.
-Exemple de section ''[global]'' :
-<file>
-[global]
-	server string = %h server (Samba, Ubuntu)
-	security = SHARE
-	syslog = 0
-	log file = /var/log/samba/log.%m
-	max log size = 100
-	dns proxy = No
-</file>
-Exemple de configuration d'un partage :
-<file>
-[Nom_du_partage]
-   path = /chemin/du/répertoire/partagé
-   comment = qui peut le plus peut le moins
-   read only = no
-</file>
-Le nom du partage ne doit pas excéder 12 caractères si vous avez des clients sous MS windows 98.
-===== security = USER =====
-==== Gestion des utilisateurs : à la maison ====
-Les utilisateurs qui ne se servent pas du PC sont créés de sorte qu'ils ne puissent pas utiliser le système (shell par défaut sur /bin/false et répertoire personnel (home) sur /dev/null) :
-<code>
-sudo useradd -s /bin/false -d /dev/null -g guest nom_utilisateur
-sudo smbpasswd -a nom_utilisateur
-</code>
-Puis rentrer deux fois le mot de passe de cet utilisateur (ou le faire taper par l'utilisateur lui-même).
-Les utilisateurs qui ont un compte sur le PC pourront être autorisés aussi avec "valid users". Cependant, il faudra définir un mot de passe samba pour tous les utilisateurs :
-<code>
-sudo smbpasswd -a nom_utilisateur
-</code>
-==== Gestion des utilisateurs : en entreprise de petite taille ====
-<note>Une solution de gestion des utilisateurs est proposée ici, libre à vous de choisir de la suivre.</note>
-Il n'est pas forcément nécessaire, dans une configuration simple, de faire en sorte que tous les utilisateurs système soient créés dans des groupes d'utilisateurs différents.\\
-Ce qui est proposé ici est de gérer les droits uniquement via ''samba''. C'est une solution applicable la plupart du temps.
-Dans cette optique, un seul groupe d'utilisateurs est créé :
-<code>groupadd sambausers</code>
-Et les utilisateurs sont créés de sorte qu'ils ne puissent pas utiliser le système (shell par défaut sur /bin/false et répertoire personnel (home) sur /dev/null) :
-<code>
-sudo useradd -s /bin/false -d /dev/null -g sambausers nom_utilisateur
-sudo smbpasswd -a nom_utilisateur
-</code>
-Puis rentrer deux fois le mot de passe de cet utilisateur (ou le faire taper par l'utilisateur lui-même).\\
-Un utilisateur nommé ''samba'' et faisant partie du groupe ''sambausers'' peut être créé pour qu'il soit propriétaire des répertoires partagés.
-==== Configuration ====
-<file>
-#======================= Global Settings =======================
-[global]
-## Browsing/Identification ###
-workgroup = Arcade
-server string = Samba server (%h)
-netbios name = Serveur
-dns proxy = no
-#### Networking ####
-interfaces = 192.168.214.20
-bind interfaces only = yes
-### Access rights ###
-create mask = 0660
-directory mask = 0770
-#### Debugging/Accounting ####
-log file = /var/log/samba/log.%m
-max log size = 1000
-syslog = 0
-panic action = /usr/share/samba/panic-action %d
-####### Authentication #######
-security = user
-# ATTENTION A BIEN REMPLACER "groupe_principal" par le nom du groupe dont vous faites partie
-# (si vous êtes l'utilisateur principal, c'est également votre login)
-# et de rajouter les éventuels autres utilisateurs...
-valid users = @guest, @groupe_principal
-encrypt passwords = true
-passdb backend = tdbsam
-obey pam restrictions = yes
-unix password sync = no
-map to guest = bad user
-############ Misc ############
-socket options = IPTOS_LOWDELAY TCP_NODELAY
-usershare allow guests = no
-</file>
-=== Configuration d'un partage en lecture/écriture pour certains utilisateurs ===
-Ajouter les lignes suivantes pour chacun des partages de ce type :
-<file>
-[Nom_du_partage]
-   path = /chemin/du/répertoire/partagé
-   comment = Répertoire en lecture et écriture pour tous ceux qui y ont accès
-   read only = no
-   valid users = liste des utilisateurs séparés par des espaces
-</file>
-=== Configuration d'un partage en lecture/écriture pour certains utilisateurs et en lecture seule pour d'autres===
-Ajouter les lignes suivantes pour chacun des partages de ce type :
-<file>
-[Nom_du_partage]
-   path = /chemin/du/répertoire/partagé
-   comment = Répertoire en lecture seule pour certains, en lecture/écriture pour d'autres (sans compter ceux qui n'y ont pas accès)
-   read only = yes
-   valid users = liste des utilisateurs n'ayant que le droit de lire séparés par des espaces
-   write list = liste des utilisateurs ayant le droit de lire et d'écrire séparés par des espaces
-</file>
-==== Droits sur les répertoires partagés : à la maison ====
-Une solution simple consiste à dire que le répertoire appartient à l'utilisateur principal et au groupe "guest" afin que tout le monde puisse y accéder. Attention aux utilisateurs tiers du PC. Commande à lancer pour chaque répertoire partagé :
-<code>
-sudo chown -R samba:sambausers /répertoire/partagé
-sudo chmod -R 770 /répertoire/partagé
-</code>
-==== Droits sur les répertoires partagés : en entreprise de petite taille ====
-Le plus simple étant que le répertoire appartienne à l'utilisateur "samba" prévu à cet effet. Voici la commande à lancer pour tous les répertoires partagés :
-<code>
-sudo chown -R samba:sambausers /répertoire/partagé
-sudo chmod -R 770 /répertoire/partagé
-</code>
-===== security = DOMAIN =====
-Appel à contribution
-aide mémoire : !! preferred master = yes
-===== security = SERVER =====
-Appel à contribution
-===== security = ADS =====
-Appel à contribution
-----
-//Contributeur : [[utilisateurs:MrWaloo]]//
-----