Samba, configuration contradictoire

Bien le bonjour ami(e)s de la banquise.

Dans ma croisade afin de faire débarquer mes palmipèdes sur l’ilot au drapeau, je me suis posé une question concernant mon fichier de configuration de Samba.

En effet, actuellement je configure mes postes clients pour être … clients (originale me direz-vous)sur un domaine windows.
Jusque là tout vas bien et tout fonctionne, cependant en rédigeant le rapport de mission concernant cette infiltration je viens de m’apercevoir d’une chose, il me semble que mon fichier SAMBA est contradictoire ou du moins incohérent sur deux points.

Voici le fichier SAMBA:

[global]

        security = ads
        realm = NVS.LAN
        password server = 1.kdc.nvs.lan
        workgroup = NVS
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind separator = +
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        encrypt passwords = yes
        restrict anonymous = 2

Pour moi les directives suivantes sont en conflit:

security = ads
workgroup = NVS

-Security: -Cette directive sert à spécifier à SAMBA que le client ce trouve être intégré à un domaine et donc de gérer les partages reseaux et les imprimantes comme pour une stations Windows sous ce même domaine.
Cela signifie en clair que toutes les connexions seront traitées par kerberos.

-Workgroup: -Cette directive sert à dire aux postes clients que votre serveur ce trouve être intégré au workgroup correspondant. Cette directive sert aussi de reference lorsque vous choisissez de passer la directive Security à DOMAIN.

DONC, pour moi, cette directive n’a pas lieu d’être dans ce fichier de configuration, vue que moi les postes sont uniquement clients et en plus la directive Security est passé à ads.

client use spnego = yes
encrypt passwords = yes

Idem pour ce couple, Client use spnego = yes veux dire utilisation de Simple and Protected Negotiation, donc utilisation de Kerberos.
Or, Encrypt passwords veux dire: Choisir la politique de chiffrement du mot de passe en fonction de la base local ou la base distante dans le cas de Security = ads.

Donc, si quelqu’un à une explication à cette situation, ça me permettra d’être sure d’envoyer mes pingouin en terre inconnue dans les conditions les plus optimales.

Je ne suis pas sûr que ce soit le cas avec AD, mais tu n’es pas censé mettre le nom du domaine que tu veux joindre dans workgroup

C’est ce que je me suis dit, mais aprés j’ai lu le man de samba qui dit ceci:

[quote]
This controls what workgroup your server will appear to be in when queried by clients. Note that this parameter also controls the Domain name used with the security = domain setting.

Default: workgroup = WORKGROUP

Example: workgroup = MYGROUP[/quote]

Salut,

à mon sens, la directive “security” sert à définir le mode(comportement) du serveur samba.
Soit, share (partage simple), user (partage + identification des users), domain (partage + identification des users(sauf si délégué) + identification des machines!!)…

Quant à workgroup, elle sert à définir le nom du “domaine”(au sens Microsoft, & qui coïncide en générale avec le DNS) dans lequel(s) le serveur offre ses services; ici, NVS ou NVS.LAN ??

Pour kerberos, je sais pas trop(jamais utilisé) mais il me semble que dans smb.conf(version Debian) il y a déjà toutes les directives nécèssaire; il suffit d’adapter les valeurs en fonctions des besoins.

security = domain
workgroup = NVS.LAN

• config pour kerberos et ajout des machines dans le domaines + script de démarage pour les users…

J’èspère t’avoir aidé

A+
Debcool

alors le hic, c’est que mon domaine ce nomme, NVS.LAN, à mon sens le NVS est le nom WINS de mon Domaine, mais comme je n’ai aucun WINS, il ne devrait donc servir à rien.

En plus cette config est pour mes postes clients, qui ne devront en aucun cas servir de serveurs,donc,je vais tester tout simplement en supprimant la directive Workgroup histoire de voir.

Merci de votre aide.