La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Partage de ressources entre le monde Windows 2000/XP et le monde Unix

Présentations similaires


Présentation au sujet: "Partage de ressources entre le monde Windows 2000/XP et le monde Unix"— Transcription de la présentation:

1 Partage de ressources entre le monde Windows 2000/XP et le monde Unix
Michel Le Tohic GET/ENST Bretagne Partage de ressources entre le monde Windows 2000/XP et le monde Unix

2 Architecture réseau Windows
Fonctionnalités réseau NetBIOS Organisation en domaine Active Directory Partage de ressources entre le monde Windows 2000/XP et le monde Unix

3 Architecture réseau Windows
Fonctionnalités réseau Totalement intégrées au système d’exploitation Déclinaison station de travail  fonctions de type « poste à poste » apportées par : Le composant Client pour les réseaux Microsoft …qui équivaut au service Station de travail Le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft …qui équivaut au service Serveur Déclinaison serveur  idem ci-dessus + services de type client-serveur (principalement TCP/IP) Services réseaux au-dessus de TCP/IP : DNS, DHCP, WINS, etc Contrôleur de domaine (au sens NT ou 2000 du terme), DFS, etc Partage de ressources entre le monde Windows 2000/XP et le monde Unix

4 Composants de base Partage de ressources entre le monde Windows 2000/XP et le monde Unix

5 Architecture réseau Windows
Protocole SMB, au cœur des réseaux Windows SMB (Server Message Block) Cf. plus avant Nombreuses API : Mailslots, Named Pipes, …etc. Mécanismes de communication inter-processus Pour la plupart s’appuyant sur SMB NetBIOS, une API historiquement liée à SMB NetBT, mise en œuvre de cet API dans le monde TCP/IP … mais NetBEUI n’est pas routable : disons que les diffusions NetBIOS ne sont pas routables (broadcast) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

6 Architecture réseau Windows
Protocole SMB au cœur des réseaux Windows (suite) Winsock, une implémentation Windows des sockets BSD Pour toutes les applis client-serveur Internet (MS)RPC, une implémentation Windows des RPC DCE RPC sur TCP/IP Pour transporter DCOM, MAPI, …etc RPC sur SMB (via “tubes nommés”) Partage spécial IPC$ Pour la plupart des outils Windows d’administration à distance Impléméntation rpcclient (Samba) … mais NetBEUI n’est pas routable : disons que les diffusions NetBIOS ne sont pas routables (broadcast) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

7 Architecture réseau Windows
Source O’Reilly Partage de ressources entre le monde Windows 2000/XP et le monde Unix

8 Architecture réseau Windows
NetBIOS Une API, à l’origine Extension du BIOS pour l’échange de données réseau Nécessite un protocole de transport D’où la création de NetBEUI… mais NetBEUI n’est pas routable D’où le recours à un protocole routable : TCP/IP (typiquement) Un espace de nommage Pour identifier les éléments d’un réseau MS-Windows : Machines, Groupes de travail, Domaine Plat, à l’inverse de DNS (NB : même si la segmentation est possible avec les ID d’étendue NetBIOS …à proscrire !) Un protocole « bavard » Recours par défaut à la diffusion (broadcast), en particulier pour la résolution de nom NetBIOS… si l’on y prend pas garde … mais NetBEUI n’est pas routable : disons que les diffusions NetBIOS ne sont pas routables (broadcast) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

9 Nommage d’un ordinateur
Partage de ressources entre le monde Windows 2000/XP et le monde Unix

10 Architecture réseau Windows
Problématique de résolution de nom NetBIOS Type de nœud NetBIOS  mode de résolution B-nœud  diffusion (= broadcast) P-nœud  point à point (cf. service WINS) M-nœud  mixte (B-nœud puis P-nœud au besoin) H-nœud  hybride (P-nœud puis B-nœud au besoin) Nom NetBIOS = <chaîne><type> 15 octets pour la chaîne + 1 octet pour le type (caractérisant un type de machine ou un type de ressource) Types de ressources Référencent les services session ou datagrammes (Cf. Services NetBT) Deux classes principales : Unique et Group (i.e. partagé par plusieurs hôtes) Commandes utiles nbtstat (Windows) et nmblookup (Samba) Référencent les services session ou datagrammes (analogue à un numéro de port TCP ou UDP) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

11 Type de ressources NetBIOS
Partage de ressources entre le monde Windows 2000/XP et le monde Unix

12 Architecture réseau Windows
Organisation en domaine Modèle de domaine (jusqu’à NT 4.0 inclus) La sécurité pour l’accès aux ressources est assurée par le contrôleur de domaine Un domaine est constitué... d’au moins un PDC Fondamentalement différent d’un groupe de travail ! Service d’annuaire utilisateurs et machines La base de compte du domaine permet une authentification centralisée Contrôleur(s) & serveur(s) au sein d’un domaine Contrôleurs : PDC (éventuellement BDC…) Autres serveurs (tout ce qu’il y a de classique) Serveurs de fichier, d’impression, …etc Fournisseurs de « services réseaux» Partage de ressources entre le monde Windows 2000/XP et le monde Unix

13 Groupe de travail versus Domaine
Serveurs Domaine Groupe de travail Clients Clients Clients et/ou Serveurs Contrôleur de domaine Clients Partage de ressources entre le monde Windows 2000/XP et le monde Unix

14 Architecture réseau Windows
Enregistrement dans un domaine Notion de SID Identifiant unique sur un domaine (utilisateur, groupe, machine) E.g. S Utilisateur (et groupes d’utilisateurs) Enregistrement des utilisateurs dans la base de compte du PDC Différents types de groupes (locaux, globaux) et possibilité d’imbrication Machines (serveur, station, contrôleur…) Comptes cachés ! Jonction d ’un ordinateur à un domaine (= création d’un compte) Domaine unique ? domaines multiples ? Relation d’approbation : domaine approuvant ou approuvé Problème de hiérarchie (intransitivité des relations) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

15 Architecture réseau Windows
Active Directory Évolution (majeure!) depuis Windows 2000 Annuaire de type LDAP (+ Kerberos + DDNS) Structure hiérarchique : domaine, arbre, forêt, site Espace global de nommage (basé sur DNS) Avantages/inconvénients Impose la présence d’un DDNS Intégration délicate avec le monde Unix Le système de relations d’approbation devient caduque Réplication sur plusieurs maîtres Compatibilité Avec le monde Windows (systèmes NT, architecture de composants distribués COM/DCOM, …) Avec l ’extérieur : LDAP, NetWare (?) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

16 Domaine 2000 Partage de ressources entre le monde Windows 2000/XP et le monde Unix

17 Active Directory (privé)
DNS (racine) Espace de nommage Kerberos AD Internet (public) LDAP AD org Espace de nommage Active Directory (privé) tuyaux.org TUYAUX.ORG tuyaux la.tuyaux.org si.tuyaux.org la si bemol.si.tuyaux.org bemol Partage de ressources entre le monde Windows 2000/XP et le monde Unix

18 TCP/IP en environnement Windows
TCP/IP à la « sauce » NT : NetBT Services d’annuaires Partage de ressources entre le monde Windows 2000/XP et le monde Unix

19 TCP/IP en environnement Windows
TCP/IP à la « sauce » NT : NetBT NetBT= NBT = NetBIOS over TCP/IP Virage TCP/IP opéré par Microsoft Cf. %SystemRoot%\system32\drivers\etc\ services Fourni en standard dans la pile… Des services TCP/IP Fournis principalement avec les déclinaisons serveurs ;-) Exceptions notables : httpd, ftpd, telnetd Des utilitaires TCP/IP Connectivité : telnet, ftp, rsh, rexec, …etc. Diagnostic : ping, tracert, netstat, nbtstat,...etc. Offre tierce-partie Vient combler les manques Essentiellement : NFS et X-Window Suite de protocoles standard Spécifications publiées dans les RFC Facilite la connexion aux hôtes étrangers Permet d'accéder aux ressources du réseau Internet Partage de ressources entre le monde Windows 2000/XP et le monde Unix

20 TCP/IP en environnement Windows
Services NetBT Réseau virtuel via la couche NetBIOS Même si les nœuds appartiennent à différents sous-réseaux Concept de Voisinage Réseau NetBT procure 3 services différents Service de nom, Service de session, Service de datagramme Extrait du fichier services (…) netbios-ns 137/tcp nbname #Service de nom NETBIOS netbios-ns 137/udp nbname #Service de nom NETBIOS netbios-dgm 138/udp nbdatagram #Service de datagramme NETBIOS netbios-ssn 139/tcp nbsession #Service de session NETBIOS microsoft-ds 445/tcp microsoft-ds 445/udp Partage de ressources entre le monde Windows 2000/XP et le monde Unix

21 TCP/IP en environnement Windows
Avenir de NetBT ? Importance décroissante depuis Windows 2000 Windows repose désormais sur DNS, LDAP, Kerberos, …etc NetBT tend à disparaître SMB peut être transporté directement par TCP/IP Cf. plus avant CIFS Disparition de WINS Service permettant de répondre à la problématique NBNS (résolution de nom NetBios en adresse IP et vice-versa) Enregistrement SRV dans le DNS remplacent les noms NetBIOS pour la localisation des ressources Enregistrement dynamique dans le DNS (DDNS) remplacent les enregistrements auprès de WINS Suite de protocoles standard Spécifications publiées dans les RFC Facilite la connexion aux hôtes étrangers Permet d'accéder aux ressources du réseau Internet Partage de ressources entre le monde Windows 2000/XP et le monde Unix

22 TCP/IP en environnement Windows
Services d’annuaires Services DNS, DHCP, etc. En standard sur les déclinaisons serveurs WINS : résolution de noms NetBIOS Une spécificité Windows (RFC => spécification NBNS) Rappel : broadcast par défaut sinon  Inscription automatique du client dans la base de données du serveur ; renouvellement et libération automatique… en théorie Nécessité de WINS ? Dans un environnement routé Peut venir « épauler » le DNS NetBIOS et WINS peuvent être supprimés si l’on est passé en tout Windows 2000 (ou supérieure) Résolution statique possible (pour petits réseaux) Fichier %SystemRoot%\system32\drivers\etc\lmhosts Microsoft : - WINS : base « DNS Windows », sert à IP en nom NetBIOS - DNS : base classique, sert à IP en nom - Unix : - NIS (anciennement « Yellow Pages ») : ensemble de bases d ’informations utilisateurs et machines (ethers, hosts, passwd, group, …) valides sur un domaine et diffusées au sein de celui-ci (mécanismes RPC, serveur maître, esclaves, …) - DNS : base de serveur de noms, sert à IP en nom pour des machines situées en dehors du domaine ??? Résolution statique ou dynamique : Fichier host, serveur DNS ; Fichier lmhost, serveur WINS Possibilité de se dispenser de WINS : Si (Nom NetBIOS = Nom d ’ordinateur DNS) => (Nom d ’ordinateur + Nom de domaine) = FQDN Méthode dynamique de configuration avec DHCP : Affectation automatique des adresses IP aux clients par le serveur DHCP . Toutes les informations de configuration requises sont fournies . Elimination des problèmes de configuration TCP/IP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

23 Paramétrage WINS Partage de ressources entre le monde Windows 2000/XP et le monde Unix

24 TCP/IP en environnement Windows
DHCP : affectation dynamique Classique par ailleurs… Excepté base de donnée Jet (versus fichier texte sous Unix) DNS : traduction des noms d’hôtes Le service DNS est devenu le principal service de nom au détriment de WINS Excepté intégrable dans Active Directory (versus fichier texte sous Unix) Excepté nécessité d’un DDNS si d’Active Directory Excepté collaboration étroite entre DHCP et DDNS Excepté mixage délicat avec Bind Microsoft : - WINS : base « DNS Windows », sert à IP en nom NetBIOS - DNS : base classique, sert à IP en nom - Unix : - NIS (anciennement « Yellow Pages ») : ensemble de bases d ’informations utilisateurs et machines (ethers, hosts, passwd, group, …) valides sur un domaine et diffusées au sein de celui-ci (mécanismes RPC, serveur maître, esclaves, …) - DNS : base de serveur de noms, sert à IP en nom pour des machines situées en dehors du domaine ??? Résolution statique ou dynamique : Fichier host, serveur DNS ; Fichier lmhost, serveur WINS Possibilité de se dispenser de WINS : Si (Nom NetBIOS = Nom d ’ordinateur DNS) => (Nom d ’ordinateur + Nom de domaine) = FQDN Méthode dynamique de configuration avec DHCP : Affectation automatique des adresses IP aux clients par le serveur DHCP . Toutes les informations de configuration requises sont fournies . Elimination des problèmes de configuration TCP/IP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

25 DNS, DHCP, WINS (approche Windows  2000)
Résolution de nom d’hôte Affectation Résolution de nom NetBIOS Dynamique ? Dynamique ? Dynamique ? ? oui oui oui Serveur DDNS Serveur DHCP Serveur WINS Synchro. DHCP/DNS Partage de ressources entre le monde Windows 2000/XP et le monde Unix

26 Services de base Windows NT/2000/XP
SMB CIFS Visibilité des ressources partagées Accès aux ressources partagées Traitement réparti Partage de ressources entre le monde Windows 2000/XP et le monde Unix

27 Services de base Windows NT/2000/XP
SMB Protocole à tout faire du monde Windows… Protocole implémenté historiquement sur NetBIOS Partage de fichiers et d’imprimantes Également orienté communications : tubes nommés, BAL, etc (et même ports séries !) Paquets « Server Message Blocks »  (NFS + Lpd/Lpr + Login/Passwd) du monde Unix Protocole client-serveur de « niveau application » Orienté connexion Très complexe : 65 opérations de premier niveau, des dizaines de sous-fonctions comprenant chacune des dizaines d’options Difficile à inclure dans un noyau Unix standard… d’où SAMBA (implémentation la plus répandue) SMB est un protocole orienté connexion, ce qui signifie que tous les paquets SMB sont générés dans un contexte de circuit virtuel entre le client et le serveur, et acheminés selon l'ordre d'expédition. En cas de rupture du circuit, toutes les informations qu'il véhicule sont endommagées. Partage de ressources entre le monde Windows 2000/XP et le monde Unix

28 Modèle NetBIOS vs TCP/IP
Partage de ressources entre le monde Windows 2000/XP et le monde Unix

29 Services de base Windows NT/2000/XP
Sécurité et contrôle d’accès Très différent de NFS Sensible à la rupture de connexion Incluant un système d’authentification « utilisateur » et non basée sur la machine Protection au niveau ressource (Share-level) Un mot de passe par répertoire partagé (disponible uniquement sur les systèmes de type Windows 9x) => on oublie !!! Protection au niveau utilisateur (User-level) Authentification basée sur le couple login/mot de passe (seul mode disponible sur les systèmes de type Windows NT) Évolution du protocole Différents dialectes : Lan Manager, NTLM, CIFS SAMBA implémente la version NTLM 1.0 (?) Une session SMB comprend une phase de négociation sur la version de protocole utilisée Partage de ressources entre le monde Windows 2000/XP et le monde Unix

30 Session SMB Négociation Protocole sélectionné Ouverture de session ?
UID TID Connexion à l ’arborescence ? TID, PID, UID, and MID: TID: The "Tree ID". In SMB, a share name typically represents a directory or subdirectory tree on the server. The SMB used to open a share is called a "Tree Connect" because it allows the client to connect to the shared [sub]directory tree. That's where the name comes from. The TID field is used to identify connections to shares once they have been established. PID: The "Process ID". This value is set by the client, and is intended as an identifier for the process sending the SMB request. The most important thing to note regarding the PID is that file locking and access modes are maintained relative to the value in this field. The PID is 16 bits wide, but it can be extended to 32 bits using the EXTRA.PidHigh field described earlier. UID: The "User ID" This is also known as a VUID (Virtual User ID). It is assigned by the server after the user has authenticated and is valid until the user logs off. It does not need to be the user's actual User ID on the server system. Think of it as a session token assigned to a successful logon. MID: The "Multiplex ID". This is used by the client to keep track of multiple outstanding requests. The server must echo back the MID and the PID provided in the client request. The client can use those values to make sure that the reply is matched up to the correct request. The TID and [V]UID are assigned and managed by the server, while the PID and MID are assigned by the client. It is important to note that the values in these fields do not necessarily have any meaning outside of the SMB connection. The PID, for example, does not need to be the actual ID of the client process. The client and server assign values to these fields in order to keep track of context, and that's all. Partage de ressources entre le monde Windows 2000/XP et le monde Unix

31 Services de base Windows NT/2000/XP
CIFS SMB au-dessus de TCP/IP Version « ouverte » du protocole SMB Code offert à l’IETF… dans le but d’en faire un standard Web ? Nombreux utilitaires de type passerelle Web-SMB S’appuie sur les adresses IP et non sur NetBIOS Depuis Windows 2000 on peut ainsi faire du SMB sans NetBIOS (Direct Hosting) CIFS troque WINS au profit de DDNS CIFS peut donc (en théorie) franchir les routeurs Réfère à une suite de protocoles Partage de fichiers et/ou imprimantes, annonce de service, nommage, authentification, autorisations Maintient une compatibilité avec les anciennes versions SMB Mode user (et mode share) Mode server : variante du mode user (la validation est assurée par un autre serveur) Mode domain : variante du mode user (idem server et de plus le serveur SAMBA fait partie intégrante du domaine NT) Mode ads : pour Active Directory (avec SAMBA 3.x) Mots de passe Cryptés avec Windows NT Problématique complexe de bases de compte « parallèles » (NT et Unix) : sera vu plus en détail ultérieurement Partage de ressources entre le monde Windows 2000/XP et le monde Unix

32 Services de base Windows NT/2000/XP
Visibilité des ressources partagées Mécanisme d’exploration Voisinage Réseau Basé sur SMB Rôle : identifier/répertorier les ressources réseau disponibles Toute machine s’enregistre auprès du Master Browser Cela a pour principal avantage de limiter les broadcast !-) Types d’explorateurs Explorateur maître de domaine (= PDC), explorateur maître, explorateur de sauvegarde, potentiel et non-explorateur Temps de synchronisation (plusieurs minutes) Mécanismes d’élections d’explorateurs Rôle dévolue à Active Directory désormais Recensement des ressources partagées dans LDAP Mode user (et mode share) Mode server : variante du mode user (la validation est assurée par un autre serveur) Mode domain : variante du mode user (idem server et de plus le serveur SAMBA fait partie intégrante du domaine NT) Mode ads : pour Active Directory (avec SAMBA 3.x) Mots de passe Cryptés avec Windows NT Problématique complexe de bases de compte « parallèles » (NT et Unix) : sera vu plus en détail ultérieurement Partage de ressources entre le monde Windows 2000/XP et le monde Unix

33 Services de base Windows NT/2000/XP
Accès aux ressources partagées Notation UNC Localisation des ressources partagées via SMB Dans sa version la plus simple : \\nom_serveur\nom_partage Commande net share (~ exportfs Unix) et net use (~ mount Unix) Accès direct via chemin UNC Accès via disque réseau = mappage ou montage sous une lettre de lecteur disponible (e.g. net use H: \\homesrv\my_home) Permissions Deux « niveaux » de permissions Grossier : permissions de dossiers partagés (~ type d’export Unix) Très fin : permissions de disques NTFS (> permissions Unix) Permission à distance = & logique entre les permissions NTFS et de partage Mode user (et mode share) Mode server : variante du mode user (la validation est assurée par un autre serveur) Mode domain : variante du mode user (idem server et de plus le serveur SAMBA fait partie intégrante du domaine NT) Mode ads : pour Active Directory (avec SAMBA 3.x) Mots de passe Cryptés avec Windows NT Problématique complexe de bases de compte « parallèles » (NT et Unix) : sera vu plus en détail ultérieurement Partage de ressources entre le monde Windows 2000/XP et le monde Unix

34 Répertoire partagé Onglet Général Onglet Partage Onglet Sécurité
Informations générales Onglet Partage Si partage : Autorisations (i.e. Permissions de partage), Mise en cache (travail hors connexion), … etc Onglet Sécurité Permissions NTFS Partage de la ressource (si c’est un dossier) et permissions de partage Partage de ressources entre le monde Windows 2000/XP et le monde Unix

35 Services de base Windows NT/2000/XP
Traitement réparti Principe Client-serveur Déjà vu par ailleurs  Mécanismes de communications inter- processus (IPC) De très nombreux mécanismes : Interface NetBIOS , Canaux nommés, BAL, RPC, Windows Sockets (ou WINSocks), NetDDE, DCOM, Message Queues Certains mécanismes utilisent en fait des API sous-jacentes (eg. RPC qui peut s’appuyer sur les Canaux nommés, WINSocks, NetBIOS ou autre) Mécanismes : Canaux nommés : pipe; protocole de diffusion Boîtes aux lettres : liaison inter-processus ; protocole de diffusion WINSocks : compatible Sockets Unix RPC : appels de procédure distante NetDDE : maintenu pour la compatibilité avec les systèmes NetBIOS antérieurs (architecture DDE) DCOM : modèle distribué à composants objets ; permet de développer des applications modulaires et distribuées (distribution de processus à travers plusieurs ordinateurs) ; concurrent de CORBA Interface NetBIOS (la plus répandu… jusqu ’aux années 90 :-), Canaux nommés (très populaire sous Windows… NT), BAL, RPC (très attractive), Windows Sockets ou WINSocks (incontournable), NetDDE (rpose sur línterface Windows), DCOM(méta API car s’appuyant sur RPC qui s’appuie sur…), Message Queues (API récente similaire aux RPC mais asynchrone) Certains mécanismes utilisent en fait des API sous-jacentes (eg. RPC qui peut s’appuyer sur les Canaux nommés, WINSocks, NetBIOS ou autre) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

36 Partage de fichiers entre Windows & Unix
Constat et approches possibles SAMBA (GNU) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

37 Partage de fichiers entre Windows & Unix
Constat Pas de protocole commun :-( Monde Microsoft : SMB (CIFS) Monde Unix : NFS Approche tout SMB Solution atypique Serveurs Windows ou Samba => Clients SMB pour Unix Produits tiers ou support natif : Sharity, smbsh, smbfs, cifsfs Approche tout NFS Solution très répandue… jusqu’en 1995 Serveurs Unix purs et durs => Clients, Serveurs et Passerelles NFS pour Windows Produits chez Intergraph, FTP Software, NetManage, SunSoft, ... Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

38 Partage de fichiers entre Windows & Unix
Approche SMB et NFS Solution très répandue aujourd’hui Avantage : rien à ajouter côté postes clients Windows Serveurs de fichiers multi-protocoles (NAS) Solutions matérielles Entièrement dédiées (aka Appliance) : baie RAID + système spécifique et/ou optimisé ; offre variée : produits d’entrée de gamme (Iomega, SnapAlliance, etc.), produits intermédiaires (IBM, Dell, HP/Compaq, Additionnal Design, etc.), produits haut de gamme (Network Appliance, etc.) Solutions logicielles (libres essentiellement) FreeNAS, OpenFiler, NasLite : (NFS + Samba + Ftp) pour le moins ; supporte parfois Rsync, WebDAV, SSH, …etc Élément clé : surcouche SMB pour Unix Typiquement : SAMBA (GNU) Autres solutions : AS/U (AT&T), TAS (Syntax), VisionFS (SCO) Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

39 Partage de fichiers (approche serveur & client SMB)
Serveur Unix Serveur NT Serveur SMB Client SMB Station Unix PC Windows SMB NFS Partage de ressources entre le monde Windows 2000/XP et le monde Unix

40 Partage de fichiers entre Windows & Unix
SAMBA (GNU) Implémentation open-source du protocole SMB Un colossal travail (développement et documentation) Environ une trentaine de développeurs (Samba Team) Permet (essentiellement) à un client Windows d’accéder aux fichiers d’un serveur Unix Mais permet également… Partage d’imprimantes (évolution CUPS), Exploration réseau, Authentification des utilisateurs (PDC et/ou BDC NT), Serveur intégré dans un domaine AD Produit gratuit disponible pour tous les Unix Inclus dans certaines offres éditeurs/constructeurs Configurable via un navigateur (Swat) D’autres interfaces graphiques sont possibles : Webmin, …etc. Partage de ressources entre le monde Windows 2000/XP et le monde Unix

41 SWAT Partage de ressources entre le monde Windows 2000/XP et le monde Unix

42 Partage de fichiers entre Windows & Unix
Version 2.x : implémentation quasi complète des services réseaux NT sous Unix Contrôleur de domaine (DC) … mais pas de réplication possible avec du pur DC Windows Serveur de fichiers/d’imprimantes Gestion des ACLs NT Serveur WINS Maître explorateur Version 3.0 : intégration avec Active Directory Intégration dans un domaine AD finalisée Prochaine étape, Samba 4 : DC pour domaine AD smbd : serveur de partage de fichier (port à l’écoute : TCP 139 et 445) : fournit également : authentification des utilisateurs, verrouillage des ressources et partage de données via SMB nmbd : serveur de noms NetBIOS (port UDP 137) ; joue également un rôle au niveau de l’exploration voisinage réseau) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

43 Partage de fichiers entre Windows & Unix
Démons et services 2 démons principaux : smbd et nmbd smbd : serveur de partage de fichier et d’impression nmbd : serveur de noms NetBIOS (« contrôlé » par smbd) 1 démon « auxiliaire » : winbindd Permet « d’importer » des utilisateurs de domaine Windows en tant qu’utilisateurs Unix (via PAM et nsswitch) Indépendant de smbd smbd : serveur de partage de fichier (port à l’écoute : TCP 139 et 445) : fournit également : authentification des utilisateurs, verrouillage des ressources et partage de données via SMB nmbd : serveur de noms NetBIOS (port UDP 137) ; joue également un rôle au niveau de l’exploration voisinage réseau) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

44 Partage de fichiers entre Windows & Unix
Fichier de configuration : smb.conf 3 sections prédéfinies (et réservées !) : [global] : configuration globale [homes] : homedir utilisateurs ( auto-montage) [printers] : imprimantes ( auto-montage) Autres sections réservées : [netlogon] : scripts de login et stratégies (usage en PDC) [profiles] : profils errants utilisateurs [print$] : drivers imprimantes smbd : serveur de partage de fichier (port 139) nmbd : serveur de noms NetBIOS (port 137) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

45 Partage de fichiers entre Windows & Unix
Bases de données de comptes ou backends Évolution au fil des versions Samba 2, Samba TNG, Samba 3 Anciens backends « Texte clair » : ie. base de compte Unix (typiquement /etc/passwd) ; proscrit (mots de passe circulent en clair !) smbpasswd : inclut compte LanMan et NT mais pas les autres informations ; déprécié ldapsam_compat : utilisée lors de mise à niveau ; déprécié smbd : serveur de partage de fichier (port 139) nmbd : serveur de noms NetBIOS (port 137) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

46 Partage de fichiers entre Windows & Unix
Bases de données de comptes ou backends (suite) Nouveaux backends tdbsam : inclut toutes les informations de compte mais non recommandé au delà de 250 comptes ldapsam : basé sur OpenLDAP, inclut toutes les informations de compte et représente la solution de choix actuellement mysqlsam : possible dans un contexte très orienté MySQL xmlsam : utile lors de migration ? smbd : serveur de partage de fichier (port 139) nmbd : serveur de noms NetBIOS (port 137) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

47 Partage de fichiers entre Windows & Unix
Plusieurs utilitaires Binaires : testparm : vérification du fichier smb.conf smbstatus : statut des connexions actives smbpasswd : gestion des mots de passe cryptés nmblookup : résolution de noms NetBIOS en adresse IP smbclient : client SMB « ftp-like » smbmount : montage de système de fichier smbfs (ie. partage SAMBA) ; s’appuit sur smbmnt, équivalent à mount –t smbfs … smbcacls : modifie les ACLs des fichiers/répertoires SAMBA net : « semblable » à l’utilitaie net de Windows rpcclient : exécution de commandes à distance …etc smbd : serveur de partage de fichier (port 139) nmbd : serveur de noms NetBIOS (port 137) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

48 Partage de fichiers entre Windows & Unix
Plusieurs utilitaires (suite) Scripts : pdbedit : gestion des comptes (tous backends confondus) smbtar : sauvegarde/restauration de fichiers/répertoires Windows findsmb : information sur les systèmes SMB du réseau local ...etc smbd : serveur de partage de fichier (port 139) nmbd : serveur de noms NetBIOS (port 137) Partage de ressources entre le monde Windows 2000/XP et le monde Unix

49 Mise en œuvre de SAMBA Problématique d’authentification utilisateur
Problématique de contrôle d’accès Problématiques de types de fichiers Tests et diagnostics Partage de ressources entre le monde Windows 2000/XP et le monde Unix

50 Mise en œuvre de SAMBA Problématique d’authentification utilisateur
Bases de compte « parallèles » 2000/XP et Unix Pas de compte Samba… sans compte Unix ! Sinon pas d’accès au système de fichier ;-) Configuration très sensible du fichier smb.conf Principalement le paramètre security Samba supporte les modes (SMB) share et user En mode user le serveur SAMBA fait office de contrôleur … mais décline le mode user en plusieurs modes Mode server : l’authentification est déléguée à un autre serveur (qui doit être spécifié) ; connexion maintenue  Mode domain : idem server et de plus le serveur SAMBA fait partie intégrante du domaine NT ( SAMBA 2.x) Mode ads : idem domain et de plus le serveur SAMBA fait partie intégrante du domaine Active Directory ( SAMBA 3.x) Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

51 Mise en œuvre de SAMBA Sans authentification… passons notre chemin !-)
Mode security = share & encrypt passwords = no Pas d’authentification sur le partage  à proscrire ! Authentification assumée par le serveur SAMBA Mode security = user & encrypt passwords = no Base locale Unix passwd ou autre (fonction de nsswitch.conf) Implique d’user de mot de passe non cryptés (i.e. transmis en clair)  de modifier les clients Windows pour les obliger à cela (car ce n’est plus standard)  à proscrire ! Mode security = user & encrypt passwords = yes Base locale smbpasswd (i.e. pseudo-base SAM à créer de toute pièce)  commande smbpasswd et autres utilitaires… ou fichier type tdb ou base locale LDAP (compatible LDAP v3) Authentification NTLM Possibilité de synchronisation avec la base de compte Unix Possibilité d’être configuré en contrôleur de domaine NT Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

52 Mise en œuvre de SAMBA Authentification déléguée à un autre serveur
Dispense de devoir créer une base locale SAMBA Mode security = server & password server = <nt_srv> Appui sur un contrôleur de domaine Windows NT4 ou 2000 Authentification NTLM (même dans le cas d’un serveur Windows 2000) Mode security = domain Idem ci-dessus mais de + le serveur SAMBA doit être raccroché au domaine NT (à l’instar des autres stations/serveurs Windows) Mode security = ads & realm = <ad_krb_realm> Nécessite une version SAMBA 3.0 ou supérieure Appui sur un contrôleur de domaine Windows 2000 ou faisant office de serveur de tickets Kerberos (KDC) Authentification Kerberos  serveur SAMBA avec configuration client Kerberos correcte (fichier krb5.conf, etc.) et raccrochage au domaine Active Directory Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

53 Authentification Samba
Windows Linux Base smbpasswd (voire tdbsam ou ldapsam) NTLM Domaine NT Kerberos Domaine Active Directory Partage de ressources entre le monde Windows 2000/XP et le monde Unix

54 Mise en œuvre de SAMBA Problématique de contrôle d’accès
Par utilisateur Les droits de connexion au service Samba s’appliquent avant toute chose Équivalent aux permissions de partage Windows Nombreuses options pour le mode (read only, …etc.), pour le contrôle des usagers autorisés (valid users, …etc.) notamment par l’usage des groupes (Unix ou NIS) Les droits d'accès des utilisateurs sous UNIX s'appliquent en dernière instance Droits POSIX (type rwx) ou ACLs (si supportés par le système de fichiers employés… et la version de Samba) Nombreuses options pour spécifier les droits associés aux fichiers lors de leur création (create mode, …etc.) Avec les ACLs on a une meilleure adéquation Unix-Windows Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

55 Mise en œuvre de SAMBA Problématiques de types de fichiers Par machine
Contrôle au niveau de Samba Par des directives spéciales (host deny, …etc.). Problématiques de types de fichiers MS-Dos Noms longs ou 8.3, « insensibles » à la casse (Fonctions de conversion pour les noms longs) Notion de mangling Attention aux caractères accentués ! Transposition des attributs Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

56 Mise en œuvre de SAMBA Tests et diagnostics de Samba
Analyse pyramidale ! Du plus bas niveau (tests de connectivité, …etc.) au plus haut niveau (debuggers, etc) NB : ceci n’est pas valable que pour Samba ;-) Des aides précieuses… Comme le fichier The Samba Checklist qui nous servira de fil conducteur durant le TP Monde Novell : NCP Partage de ressources entre le monde Windows 2000/XP et le monde Unix

57 Analyse pyramidale Source « Samba en 24 h »
Partage de ressources entre le monde Windows 2000/XP et le monde Unix


Télécharger ppt "Partage de ressources entre le monde Windows 2000/XP et le monde Unix"

Présentations similaires


Annonces Google