TP administrateur d'un réseau SambaEdu 3

Gestion de l'annuaire

• Importation annuelle
On peut générer l'annuaire depuis la base GEP en créant automatiquement les comptes utilisateurs et tous les groupes (classe, cours, équipe,..). (maintenant, il est possible d'importer des fichiers au format txt )
Attention ! l'importation annuelle n'est à faire qu'en début d'année scolaire (conservation des comptes utilisateurs mais élimination de l'annuaire LDAP de toutes les appartenances aux groupes avant recréation
• Déléguer des droits d'administration
• La délégation de droits se fait après une recherche puis sélection dans l'annuaire du groupe d'utilisateur ou de l'utilisateur à qui on désire déléguer un droit, par le lien "Déléguer un droit d'administration" . La liste des droits à déléguer est alors disponible. Si certains droits n'apparaissent pas dans la liste, c'est que l'utilisateur dispose déjà de ces droits.
• Enlever des droits
  Pour la suppression de droits la démarche est différente, le lien apparaît sans recherche dans l'annuaire (voir figure précédente), "Enlever un droit d'administration". Il suffit alors de sélectionner le droit à enlever, le valider, et enfin la liste des utilisateurs ou groupes ayant ce droit apparaît. Il ne reste plus qu'à sélectionner les personnes ou groupes à qui vous désirez enlever ce droits.
• Liste des droits d'administration
  

   se3_is_admin : administrateur du serveur se3 (tous les droits)
   Annu_is_admin : gestion de l'annuaire des utilisateurs (ajout ou suppression d'élèves, de groupes...)
   sovajon_is_admin : pouvoir de changer le mot de passe des élèves.
   system_is_admin : visualisation des informations système du serveur se3
   computers_is_admin : gestion des parcs (créer ou supprimer des parcs, état des machines...)
  

• Gestion utilisateurs
• Ajouter un utilisateur (par exemple un élève arrivant en cours d'année ou un enseignant remplaçant).
• Ajouter un groupe (par exemple un groupe CLUB_INFO).
• Ajouter un utilisateur dans un groupe
  Par exemple ajouter un utilisateur dans le groupe CLUB_INFO
  . Effectuer d'abord la recherche dans l'annuaire de l'utilisateur à rajouter au groupe
  Puis valider le lien "Ajouter à des groupes"
• Ajouter des utilisateurs dans des groupes classe et équipe.
  Ceci se fera après une recherche puis sélection dans l'annuaire du groupe dans lequel vous voulez rajouter des utilisateurs en validant le lien "Ajouter à des membres".
• Ajouter des utilisateurs dans une classe
  La liste des élèves (pas de profs dans le groupe classe) qui apparaissent n'appartiennent à aucune classe (c'est le cas d'un élève arrivé en cours d'année, donc pas intégré lors de l'importation de la base GEP).
• Ajouter des utilisateurs dans une équipe
  Apparait alors la liste de tous les professeurs de l'établissement puisqu'un enseignant peut appartenir à plusieurs équipes pédagogiques.
• Supprimer un utilisateur
  Rechercher cet utilisateur dans l'annuaire
  valider le lien "Supprimer"

Explorateur LDAP

• Pour vérifier ou effectuer certaines modifications, un "explorateur LDAP" permet de naviguer dans l'arborescence de l'annuaire. Par défaut, il s'agit d'un outil de consultation. Ce comportement _accès en lrcture seule_ est régi par le paramètre yala_bind mis à 0.
  Pour bénéficier d'un accès en écriture, mettre ce paramètre à la valeur 1 :

  annuaire / configuration générale
  paramètres LDAP
  Droits sur l'annuaire pour YALA (yala_bind) : mettre à 1
  sauvegarder
  (il est conseillé ensuite de remettre ce paramètre à 0)
  Un lien nouveau [ Nouvelle Entrée ] apparait et conduit à un formulaire de création,
  

• Interface de Yala
  Observez le schéma de l'annuaire, les branches sont :
  1. Computers : toutes les machines du domaine du réseau.
  2. Groups : les groupes élèves, profs, administratifs, classes, cours, équipes pédagogiques et matières.
  3. Parcs : les parcs de machines.
  4. People : tous les membres de l'annuaire: élèves, professeurs, administratifs.
  5. Rights : les droits d'administration accordés aux membres de l'annuaire sur linterface SE3

Création d'un nouveau partage

1. La demande
   L'administrateur vient de recevoir une demande pour la création de 2 partages spécifiques réservés aux groupes "Club photo" et "Club Informatique". Quel travail doit-il effectuer ?
   - dans l'annuaire : création du groupe Club_Info et affectation des membres, élèves et profs, à ce nouveau groupe.
   - sur le système de fichiers : création du répertoire à partager club_info dans /var/se3/
   - attribution des droits ACL pour le groupe sur son répertoire
   - éventuellement attribution d'un lecteur réseau spécifique

2. 1ère méthode : utiliser les droits Samba
1. création du groupe
créer d'abord le groupe club_info dans l'annuaire, dans la catégorie "autre"
on y ajoute des utilisateurs, prof (evariste.galois) et quelques élèves
vérifier "afficher un listing du groupe"
2. création du partage
Dans l'entrée de l'annuaire Ressources et partages/ Création de partages
- lire la doc en ligne
- nom du partage : ClubInfo, chemin : club_info, commentaire : Club informatique
- choisir le groupe @Club_Info comme utilisateurs autorisés
- le prof evariste.galois en sera l'administrateur
- validation, on obtient

[club_info]
	comment	=  Club informatique
	path		= /var/se3/club_info
	read only	= No
	valid users	= @club_info
	admin users	= evariste.galois

- vérifier directement sur le serveur (ou connexion ssh) la création du sous-répertoire /var/se3/club_info, avec les droits suivants

  drwxrwx---    9 admin  club_info    club_info

3. accès au partage par lecteur dédié
- se connecter comme admin. Vérifier l'accès au partage Y:/club_info
- créer un répertoire club_info dans X:/templates
- puis y placer le fichier logon.bat contenant :

 net use N: \\se3\club_info

4. Test
Vérifier la présence du lecteur réseau N: vers le dossier club_info, pour chaque membre du club
5. Remarque
Variante : création du partage directement dans /etc/samba/smb.conf)

- ajouter dans l'annuaire de l'interface d'administration de se3 dans la catégorie autre,
 le groupe Club_Info, dans lequel on met les élèves et profs concernés.

- Comme root créer le répertoire /var/se3/club_info, avec les droits suffisants
drwxrwx---    9 admin  Club_Info   4.0K Jun 24 15:08  club_photo

- Configurer le partage dans smb.conf
[club_photo]
 comment = Club info
 path = /var/se3/club_info
 valid users = @admins, @Club_Info
 write list = @admins, @Club_Info
 read only = no
 browseable = no

- root crée un répertoire club_info dans X:/templates,
  puis y place le fichier logon.bat qui contient
  net use P: \\se3\club_info

3. 2ème méthode: positionner des ACL sur un dossier du partage I: (Docs)
   1. création du groupe
   Ajouter dans l'annuaire de l'interface d'administration de se3 dans la catégorie autre, le groupe club_info, dans lequel on met les élèves et profs concernés.
   2. création du partage
   Créer un répertoire club_info dans le partage Docs sur 'se3' (I:)
   3. attribution des droits acl
   Sur une station XP connectée au domaine, cliquer droit sur le répertoire club_info/propriétés/securité/rechercher
   ce qui fait apparaitre tous les groupes du domaine.
   choisir de mettre le groupe dans la liste et lui donner l'accès complet.
   
   Sinon, positionner les ACL directement en ligne de commande sur le serveur
   

     setfacl -R -m g:video:rwx /var/se3/Docs/club_info
   

4. Corrigés
   
   1. admin crée dans l'annuaire le groupe :

      accéder à l'annaire / ajouter un groupe
      catégorie : choix autre
      intitulé : Club_Info
      
      description : club informatique de l'établissement
      lancer
      

   2. admin place les membres du groupe :

      Effectuer une recherche / trouver la fiche de chaque membre
      ajouter à des groupes / Ajouter aux groupes secondaires,
      choix de Club_Info dans la catégorie "autres"
      
      admin vérifie :
      Annuaire / Rechercher un groupe / commençant par C
      lister le groupe Club_Info :
        Groupe : CLUB INFO Club informatique du lycée
        Il y a 3 membres dans ce groupe
        Professeur Evariste Galois
        Elève Sophie Lamy
        Elève Luc Lelong
      

   3. admin se connecte à SE3, se positionne dans le partage Y: et crée le dossier Y:\Docs\club_info
   4. Tous les utilisateurs ont accès au partage public I:\Docs
      Il faut maintenant attribuer des droits d'accès corrects : accès complet pour le groupe secondaire Club_Info et rien pour les autres
      Pour cela root se connecte à la console et relève les droits actuels :

      [root@p00 etc]# ssh se3
      se3:~# cd /var/se3/Docs/
      se3:/var/se3/Docs# ls -l
      drwx------    2 admin    admins       4096 Dec 13 22:59 club_info
      drwxrwxrwx    2 admin    root           31 Dec  6 21:56 public
      se3:/var/se3/Docs# getfacl club_info
      # file: club_info
      # owner: admin
      # group: admins
      user::rwx
      group::---
      other::---
      

   5. Les droits classiques actuels sur le rép. club_info expliquent pourquoi seul admin y a accès
      et pas ses membres ! Il faut donc accorder les droits ACL rwx sur ce rép. au groupe Club_Info

      se3:/var/se3/Docs# setfacl -R -m g:Club_Info:rwx /var/se3/Docs/club_info/
      
      se3:/var/se3/Docs# getfacl club_info
      # file: club_info
      # owner: admin
      # group: admins
      user::rwx
      group::---
      group:Club_Info:rwx
      mask::rwx
      other::---
      
      
      Essais : luc.lelong a bien accès au dossier I:\Docs\club_info\ et pas ses camarades de classe !
      
      

Annexe : les partages d'admin

Le partage X: AdminHomes

1. Les rép. personnels
   On a vu que lorsqu'un utilisateur se connecte pour la première fois sur le domaine SAMBAEDU3, un répertoire à son nom complet (uid) est créé dans /home et rempli par le contenu d'un répertoire servant de modèle (il s'agit de /etc/skel/user).
   L'administrateur pourra ainsi intervenir facilement dans les home des utilisateurs, il pourra supprimer éventuellement des documents proscrits ou indésirables.
2. Templates
   C'est ici que sont situés les répertoires portant les noms des groupes, des machines, ..etc et qui permettent de fabriquer dynamiquement l'environnement de travail de chaque utilisateur, suivant la machine sur laquelle il se connecte.
3. Netlogon
   Dans ce répertoire on trouve tous les fichiers prenom.nom.bat, en plus du script particulier admin.bat. Il s'agit des scripts de connexion exécutés lors de la dernière connexion de cet utilisateur, et qui est construit par assemblage de divers fichiers logon.bat.

Le partage Y: Admse3

Construction du script de connexion

# fichier /home/netlogon/admin.bat
rem Script de login commun a tous
 net use I: \\se3\Docs
 net use H: \\se3\Classes
 net use L: \\se3\Progs
rem Script de login specifique aux clients win9x
 net use K: \\se3\homes
rem Script de login specifique a admin
 net use X: \\se3\admhomes
 net use Y: \\se3\admse3

/home/templates/base/logon.bat
/home/templates/base/logon_Win95.bat
/home/templates/admin/logon.bat