Samba et sécurité utilisateurs Windows Fermé

Question

Bonjour à tous,

Je suis en train de tester actuellement une configuration serveur samba.

J'utilise uniquement samba en tant que serveur de fichiers. Il est bien intégré dans le controleur de domaine Windows server 2003. J'arrive très bien à récupérer les infos utilisateurs et groupes de l'active directory (wbinfo -u ; wbinfo -g). Si je précise également dans le smb.conf les utilisateurs qui ont accès à tel ou tel partage, il n'y a pas de problème (ex : valid user = MONDOMAINE@utilisateur) pour limiter l'accès.

Ce que je n'arrive pas à trouver dans mes recherches : 

Est-il possible de pouvoir gérer la sécurité des fichiers (ou dossiers), c'est à dire autoriser un utilisateur défini dans l'AD, directement dans les propriétés du fichier (ou dossier) sous windows, onglet "sécurité" ?

Les seuls utilisateurs défini dans l'onglet sécurité sont root ; le groupe samba et tout le monde (qui correspond au droits unix "uga"). L'ajout d'utilisateur AD, n'est pas pris en compte, ce qui paraît normal via la configuration actuellement du serveur samba.

Le but est de remplacer un serveur de fichiers windows par le serveur de fichiers samba, afin qu'il soit le plus transparent possible, il faudrait pouvoir gérer la sécurité directement par les propriétés des dossiers (par un compte administrateurs windows si possible). Tous les utilisateurs sont sous windows XP.

Existe t-il donc une solution ?

merci de votre aide.

jipicy · Answer

Salut,

Voir du côté des ACLs (Access Control Lists)...

Manu · Answer

Bonjour,

Les seuls utilisateurs défini dans l'onglet sécurité sont root ; le groupe samba et tout le monde (qui correspond au droits unix "uga"). L'ajout d'utilisateur AD, n'est pas pris en compte, ce qui paraît normal via la configuration actuellement du serveur samba. 
Samba doit appliquer sur un système de fichiers de type Unix des droits de type Windows. A ma connaissance, il ne sait qu'appliquer les attributs archaïques ms-dos (readonly, system, etc.) sur les droits d'exécution Unix.

Voir du côté des ACLs (Access Control Lists)... 
Je crains que ça ne suffise pas (ou y'a un truc que je ne connais pas).

C'est particulièrement désolant lorsque le système de fichiers cible est NTFS, il y a tout ce qu'il faut dans ntfs-3g, mais il faudrait que Samba transporte les ACL Windows au lieu d'essayer de les transcrire à la sauce Unix.

Manu

fradeski · Answer

Merci pour vos réponses rapides,

J'ai un peu creusé la question des acl et suivi les liens que tu m'a donné.

Les acl n'étaient pas supportés par mon serveur. J'ai donc mis en place. Cela fonctionne en local.
Cependant, il persiste un problème de configuration de ma part.

Lorsque je fait un setfacl d'un utilisateur local au serveur samba, je le vois bien dans l'onglet "sécurité", l'utilisateur en question. Donc la résolution de mon problème part sur une bonne piste.

Cependant, je voudrais, au moins pour tester manuellement avec "setfacl", comment ajouter un utilisateur "MONDOMAINE@utilisateur" ?? Car celui ci n'étant pas défini dans les comptes locaux au serveur samba mais dans l'active directory, j'obtient une erreur en utilisant "setfacl" car il n'est pas reconnu en tant qu'utilisateur.

setfacl: Option -m: Argument invalide near character 3

Comment faire ?

merci de votre aide

Manu · Answer

Rebonjour,

Cependant, je voudrais, au moins pour tester manuellement avec "setfacl", comment ajouter un utilisateur "MONDOMAINE@utilisateur" ?? Car celui ci n'étant pas défini dans les comptes locaux au serveur samba mais dans l'active directory, j'obtient une erreur en utilisant "setfacl" car il n'est pas reconnu en tant qu'utilisateur. 
Ca m'étonnerait que Samba sache créer des fichiers avec un propriétaire différent par utilisateur. Il est trop bête pour utiliser les ACL du serveur. Créez un fichier à travers Samba, et regardez quel est (vu du serveur) le propriétaire (les uid et gid) du fichier créé. Ce sont ces uid et gid qui ont un sens pour setfacl... mais vous n'irez pas loin dans cette direction car les utilisateurs seront indiscernables.

Je crains que votre seule issue soit l'usage des protections propres à Samba.

Manu

fradeski · Answer

En effet, je commence à douter qu'une solution existe.

Cependant, est-il possible d'associer un utilisateur Active Directory à un compte serveur samba ?

En fait lorsque je créé un dossier sur un client windows en tant qu' "Administrateur", le propriètaire devient alors "root". Qu'est ce qui explique cela ? Puis je faire la même chose comme par exemple toto@MONDOMAINE équivaut à toto sur le serveur samba ?

Par ailleurs après d'autre test j'ai remarqué que j'accède à mon partage seulement avec l'identification d'"administrateur" active directory alors que dans smb.conf, le partage est censé être public (public = yes).

Merci de votre aide.