Linux:Administration d'un domaine NetBIOS
Sommaire
- 1 But
- 2 Étape préliminaire
- 3 Changement de mot de passe
- 4 Création d'un nouvel utilisateur
- 5 Gestion des membres des groupes d'utilisateurs
- 6 Suppression ou désactivation d'un utilisateur
- 7 Initialisation du mot de passe d'un utilisateur
- 8 Création d'un nouveau groupe d'utilisateurs
- 9 Suppression d'un groupe d'utilisateurs
- 10 Affichage de la liste des groupes d'utilisateurs du domaine NetBIOS
- 11 Affichage de la liste des membres d'un groupes d'utilisateurs
- 12 Commandes de gestion des règles des comptes
- 13 Quelques commandes pour tester le bon fonctionnament de Samba
- 14 Groupes systèmes
- 15 Utilisateurs systèmes
- 16 Problèmes rencontrés
But
Permet d'administrer un domaine NetBIOS à travers des commandes Linux et DOS.
Étape préliminaire
Avant de commencer, il est impératif de disposer d'un serveur Samba en contrôleur principal de domaine (PDC).
Changement de mot de passe
ATTENTION: Ne pas utiliser la commande linux passwd. Cela aura pour effet de modifier le mot de passe de tous les accès, excepté du domaine NetBIOS.
Pour modifier son mot de passe de tous les accès à travers Windows XP:
- Ouvrir sa session dans le domaine NetBIOS.
- Appuyer sur les touches Ctrl + Alt + Suppr: le panneau "Sécurité de Windows" s'ouvre.
- Cliquer sur le bouton Modifier le mot de passe...: le panneau "Modifier le mot de passe" s'ouvre.
- Saisir son ancien mot de passe.
- Saisir son nouveau mot de passe.
- Confirmer son nouveau mot de passe.
- Cliquer sur le bouton OK.
Création d'un nouvel utilisateur
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
- Pour créer un nouvel utilisateur, taper l'une des commandes suivantes:
| Linux | Windows |
|---|---|
net rpc user ADD toto myPassword -Samon -Uadmin |
net user toto myPassword /add /domain |
- Une fois le compte créé, à l'aide de phpLDAPadmin:
- remplacer NOM et Prénom avec le nom et le prénom de l'utilisateur (propriétés cn, givenName et sn),
- copier le contenu de la propriété cn dans les propriétés displayName et gecos,
- ajouter l'adresse e-mail de l'utilisateur (propriété Email),
- donner l'accès à l'authentification RADIUS en ajoutant les propriétés suivantes:
objectClass: radiusprofile dialupAccess: yes
- Rendre le mot de passe de l'utilisateur non expirable:
| Linux | Windows |
|---|---|
net sam set pwnoexp toto yes -Samon -Uadmin |
net user toto /expires:never /domain |
- Obliger l'utilisateur à changer de mot de passe lors de la prochaine ouverture de session:
| Linux | |
|---|---|
net sam set pwdmustchangenow toto yes -Samon -Uadmin |
- Ne pas oublier d'indiquer le script d'ouverture de session s'il est différent de \\amon\netlogon\startup.bat:
| Linux | Windows |
|---|---|
net sam set logonscript toto startup-admins.bat -Samon -Uadmin |
net user toto /scriptpath:startup-admins.bat /domain |
Indiquer toujours uniquement le nom du fichier BAT (comme par exemple: startup-admins.bat) sans le chemin \\amon\netlogon\.
Gestion des membres des groupes d'utilisateurs
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
- Pour ajouter un utilisateur à un groupe:
| Linux | Windows |
|---|---|
net rpc group ADDMEM Développeurs toto -Samon -Uadmin |
net group Développeurs toto /add /domain |
- Pour retirer un utilisateur d'un groupe:
| Linux | Windows |
|---|---|
net rpc group DELMEM Développeurs toto -Samon -Uadmin |
net group Développeurs toto /delete /domain |
- Pour lister les groupes du domaine auxquels appartient un utilisateur:
| Linux | Windows |
|---|---|
net user info toto -Samon -Uadmin |
net user toto /domain |
Suppression ou désactivation d'un utilisateur
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
REMARQUE: Il faudra être prudent lors de la suppression d'un utilisateur. Après la suppression et s'il est propriétaire de fichiers, ces derniers seront rattachés à un utilisateur qui n'existe plus (on ne verra plus son nom, mais son UID). Ainsi, si un utilisateur est propriétaire de fichiers ou de répertoires, on préférera le désactiver au lieu de le supprimer.
- Pour supprimer définitivement un utilisateur, taper l'une des commandes suivantes:
| Linux | Windows |
|---|---|
net rpc user DELETE toto -Samon -Uadmin |
net user toto /delete /domain |
- Pour désactiver un utilisateur du domaine NetBIOS:
| Linux | Windows |
|---|---|
net sam set disabled toto yes -Samon -Uadmin |
net user toto /active:no /domain |
Les commandes précédentes ne font que désactiver l'utilisateur du domaine NetBIOS: ce dernier ne pourra plus se connecter à son poste Windows, mais pourra toujours se connecter sur les serveurs Linux et aux intranets. Pour le désactiver complètement, il faudra à l'aide de phpLDAPadmin, affecter /bin/false à la propriété loginShell (pour désactiver l'accès aux serveurs Linux, aux intranets et au VPN).
Initialisation du mot de passe d'un utilisateur
A l'aide de phpLDAPadmin:
- modifier la propriété userPassword (mot de passe Linux avec chiffrement md5crypt) du compte de l'utilisateur,
- modifier la propriété sambaNTPassword (mot de passe NetBIOS) du compte de l'utilisateur.
Création d'un nouveau groupe d'utilisateurs
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
- Pour créer un nouveau groupe, taper l'une des commandes suivantes:
| Linux | Windows |
|---|---|
net rpc group ADD "Mon groupe" -C "Mon commentaire" -Samon -Uadmin |
net group "Mon groupe" /add /comment:"Mon commentaire" /domain |
- Par convention, sous Linux les noms des groupes d'utilisateurs sont tout en minuscules, tout attachés, et non accentués: pour corriger le nom qui apparaîtra sous Linux il faut modifier la propriété cn à l'aide de phpLDAPadmin.
- Par convention, sous Windows les noms des groupes d'utilisateurs commencent toujours par une majuscule et peuvent comporter des espaces et des accents: pour corriger le nom qui apparaîtra sous Windows il faut modifier la propriété displayName à l'aide de phpLDAPadmin.
Suppression d'un groupe d'utilisateurs
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
- Pour supprimer un groupe, taper l'une des commandes suivantes:
| Linux | Windows |
|---|---|
net rpc group DELETE "Mon groupe" -Samon -Uadmin |
net group "Mon groupe" /delete /domain |
Affichage de la liste des groupes d'utilisateurs du domaine NetBIOS
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
- Pour lister tous les groupes du domaine NetBIOS, taper l'une des commandes suivantes:
| Linux | Windows |
|---|---|
net rpc group LIST global -Samon -Uadmin |
net group /domain |
Affichage de la liste des membres d'un groupes d'utilisateurs
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
- Pour lister tous les membres d'un groupe, taper l'une des commandes suivantes:
| Linux | Windows |
|---|---|
net rpc group MEMBERS "Mon groupe" -Samon -Uadmin |
net group "Mon groupe" /domain |
Commandes de gestion des règles des comptes
Il est possible de gérer certains paramètres relatif aux règles auxquels sont soumis les comptes des utilisateurs comme par exemple:
- la longueur minimale des mots de passe,
- l'historique des mots de passe,
- la durée minimale et maximale des mots de passe,
- etc...
Pour connaître la liste des règles des comptes:
net sam policy list -Samon -Uadmin
Pour afficher une règle:
net sam policy show "min password length" -Samon -Uadmin
Pour modifier une règle:
net sam policy set "min password length" 3 -Samon -Uadmin
Quelques commandes pour tester le bon fonctionnament de Samba
- Pour lister tous les utilisateurs du domaine:
net sam list users
- Pour lister tous les utilisateurs du domaine via WINBIND:
wbinfo -u
- Pour lister tous les groupes d'utilisateurs du domaine:
net sam list groups
- Pour lister tous les groupes d'utilisateurs du domaine via WINBIND:
wbinfo -g
- Pour lister tous les groupes d'utilisateurs locaux:
net sam list localgroups
- Pour lister tous les groupes d'utilisateurs builtin:
net sam list builtin
- Pour lister tous les ordinateurs ayant rejoint le domaine:
net sam list workstations
- Pour vérifier la résolution IP d'une machine:
wbinfo -N cheops
- Pour vérifier la résolution inverse d'une machine:
wbinfo -I 192.168.0.229
- Pour tester l'authentification:
wbinfo -a admin
- Pour afficher la map Windows/Unix des identifiants des groupes:
net groupmap list
Groupes systèmes
| Nom | Type | sambaSID | GID | Explication |
|---|---|---|---|---|
| Groupes avec une portée globale | ||||
| Administrateurs du domaine | domaine | S-1-5-21-1594600318-3893234564-2187586626-512 | 512 | Membres autorisés à administrer le domaine NetBIOS. La principale particularitée de ce groupe est qu'il devient un membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine: il a le pouvoir absolu sur tous les ordinateurs du domaine NetBIOS. Seul l'utilisateur admin doit être l'unique membre de ce groupe. |
| Utilisateurs du domaine | domaine | S-1-5-21-1594600318-3893234564-2187586626-513 | 513 | Membres utilisateurs du domaine NetBIOS. Ce groupe devient un membre du groupe Utilisateurs sur tous les ordinateurs qui ont rejoint un domaine. Tous les utilisateurs non système doivent impérativement être membre de ce groupe. Il est automatiquement le groupe principal de tous les utilisateurs. |
| Invités du domaine | domaine | S-1-5-21-1594600318-3893234564-2187586626-514 | 514 | Membres invités du domaine NetBIOS. |
| Ordinateurs du domaine | domaine | S-1-5-21-1594600318-3893234564-2187586626-515 | 515 | Groupes exclusivement réservés aux comptes machines incluant tous les clients et serveurs qui ont rejoint le domaine NetBIOS. Ne pas ajouter d'utilisateurs à ce groupe. |
| Groupes avec une portée limitée aux serveurs | ||||
| Administrateurs | builtin | S-1-5-32-544 | 544 | Membres administrateurs de la machine locale. Il serait intéressant d'utiliser ce groupe pour l'accès à certaines applications web d'administration (comme par exemple Nagios). |
| Utilisateurs | builtin | S-1-5-32-545 | 545 | Membres utilisateurs authentifiés de la machine locale. Il serait intéressant d'utiliser ce groupe pour l'accès à certaines applications web réservés aux utilisateurs du domaine. |
| Invités | builtin | S-1-5-32-546 | 546 | Membres occasionnels autorisés d'ouvrir une session avec des privilèges limités sur le compte Invité intégré à la machine locale. |
| Opérateurs de compte | builtin | S-1-5-32-548 | 548 | Membres opérateurs de compte autorisés à gérer les comptes des utilisateurs, groupes et ordinateurs du contrôleur de domaine. |
| Opérateurs d'impression | builtin | S-1-5-32-550 | 550 | Membres opérateurs d'impression autorisés à gérer les imprimantes et les files d'attente des documents sur le contrôleur de domaine. |
| Opérateurs de sauvegarde | builtin | S-1-5-32-551 | 551 | Membres opérateurs de sauvegarde autorisés à sauvegarder et restaurer tous les fichiers sur la machine locale, quelles que soient les autorisations qui protègent ces fichiers. |
| Réplicateurs | builtin | S-1-5-32-552 | 552 | Groupe utilisé par le service de réplication de fichiers sur les contrôleurs de domaine NetBIOS. Ne pas ajouter d'utilisateurs à ce groupe. |
Utilisateurs systèmes
| Nom | Type | sambaSID | UID | Groupe principal | Autres groupes | Explication |
|---|---|---|---|---|---|---|
| Groupes avec une portée globale | ||||||
| admin | domaine | S-1-5-21-1594600318-3893234564-2187586626-500 | 0 | Administrateurs du domaine | Utilisateurs du domaine | Administrateur pour l'accès aux postes Windows. |
| nobody | domaine | S-1-5-21-1594600318-3893234564-2187586626-2998 | 999 | Invités du domaine | - | Compte invité pour l'accès aux postes Windows. |
Problèmes rencontrés
- Si un utilisateur qui accède pour la première fois à son répertoire HOME d'un serveur, n'arrive pas à ajouter ou modifier des fichiers et répertoires, il faut exécuter la commande suivante pour restaurer les contextes SELinux sur les nouveaux répertoires:
restorecon -R -v /home
- Si lors d'une connexion à un serveur linux le message "Could not chdir to home directory /home/toto: No such file or directory" cela veut dire que le répertoire HOME de l'utilisateur n'existe pas. Pour le créer exécuter la commande suivante:
su - toto
