[résolu]samba un cas pas trop logique

Alecto · Le 19/06/2014, à 10:54

Bonjour,
Désolé pour cette longue explication mais cela me semble nécessaire pour résoudre mon problème.

Je met en place un serveur de réseau local pour une association qui donne des cours d'informatique.
Nous voulons utiliser des partages samba car nous avons des stations à la fois sous xubuntu et windows seven.
Jusque là rien de particulier.
Côté serveur
le serveur est sous ubuntu server 14.04
Nous avons deux partages :
[commun] en lecture écriture pour tous les membres du groupe users ce partage permettra aux utilisateurs de partager des documents.
[public] en lecture écriture pour les membres du groupe profs et en lecture seule pour tous les autres, ce partage est un espace de publication de documents pour les profs vers les utilisateurs
Nota : Nous n'envisageons pas de montage réalisés via fstab car les montages des partages doivent être réalisés spécifiquement à chaque compte.
Nous avons (entre autres) les comptes suivants sur le serveur:
prof, eleve, labolang
les groupes et leurs membres :
profs : prof
users : prof, eleve, labolang
eleves : eleve, labolang

le user prof a pour groupe primaire le groupe profs
le user eleve a pour groupe primaire le groupe eleves
le user eleve a pour groupe primaire le groupe eleves

côté station
la station de test est sous xubuntu 14.04
sur la station de test nous avons les users suivants : prof, eleve, labolang
ces trois comptes sont provisoirement de type administrateur.

les tests réalisés
Nous avons procédé aux tests suivants à partir de la station de test
connexion locale : eleve
visibilité du réseau : ok
visibilité du serveur samba : ok
visibilité des partages : ok
connexion sur les partages :
partage commun ok
partage public ok
la connexion au partage est réalisé avec le compte eleve
vérification lecture écriture sur commun : ok
vérification lecture seule sur public : ok
résumé : tout fonctionne comme souhaité - un peu de patience le problème arrive ! :-)

connexion locale : prof
visibilité du réseau : ok
visibilité du serveur samba : ok
visibilité des partages : ok
connexion sur les partages :
partage commun ne se fait pas et ne produit pas de message particulier sinon qu'il redemande le mot de passe
la connexion au partage est réalisé avec le compte prof
partage public idem commun
résumé : çà ne fonctionne pas.

connexion locale : labolang
visibilité du réseau : ok
visibilité du serveur samba : ok
visibilité des partages : ok
connexion sur les partages :
la connexion au partage est réalisé avec le compte labolang
partage commun ne se fait pas et ne produit pas de message particulier sinon qu'il redemande le mot de passe
partage public idem commun
résumé : c'est identique à prof, çà ne fonctionne pas.

vérifications sur le serveur samba
groupes :
les membres du groupe users : prof, eleve, labolang
les membres du groupe profs profs : prof
les membres du groupe eleves : eleve, labolang
les membres du groupe sambashare : eleve, prof, labolang
vérification du fichier /etc/samba/smbd.conf
aucune spécification ne distingue aucun utilisateur ni ne cite aucun groupe
je ne vois pas de raison objective qui expliquerait le fait que cela fonctionne pour le compte eleve et pas pour les autres

vérifications des droits sur le serveur
connexion en ssh avec les différents comptes :
En se connectant sous les différents login (eleve, prof, labolang) on vérifie les droits.
les accès et restrictions prévus fonctionnent.

de plus en plus fou
sur une autre station sous une autre distribution le compte eleve ne permet pas de se connecter aux partages alors que sur notre station de test cela fonctionne!

test avec un nouvel utilisateur local cloné à partir du compte eleve.
L'idée est qu'il y aurait quelque chose dans la home directory de l'utilisateur sur la station, quelque chose qui va bien pour eleve et pas bien pour les autres.
copie de /home/eleve en /home/eleve2
création d'un user eleve2 en lui affectant comme homedir : /home/eleve2
modification du propriétaire sur la homedir
chown -R eleve2:eleves /home/eleve2

tests des accès samba :
connexion locale : eleve2
visibilité du réseau : ok
visibilité du serveur samba : ok
visibilité des partages : ok
connexion sur les partages :
partage commun ne se fait pas et ne produit pas de message particulier sinon qu'il redemande le mot de passe
partage public idem commun
résumé : çà ne fonctionne pas.
Cette piste d'une cause locale est une fausse piste.

résumé général :
le compte eleve fonctionne parfaitement bien comme attendu.
Cela valide les choix de configuration effectués en particulier le paramétrage de /etc/samba/smbd.conf
Cela met hors de cause le matériel.
les autres comptes ne peuvent se connecter aux partages samba.
Globalement la majorité des hypothèses émises se heurtent au fait que le compte eleve fonctionne, On en arriverait à souhaiter qu'aucun compte ne fonctionne !

Merci de m'avoir lu jusque là. Vos idées seront les bienvenues.

Dernière modification par Alecto (Le 26/06/2014, à 09:08)

toutafai · Le 19/06/2014, à 20:44

Bonsoir,

si tu le peux fais le test suivant :
Apres un redemarrage du serveur et d'une station (l'idéal serait carrement de ne laisser sur le réseau que le serveur et la station, mais bon ...) essaye de te connecter directement en tant que prof ? es-ce que cela marche comme prévu ou pas ? je pense a verrouillage fait sur le partage par le serveur dès qu'un autre user autre que prof se connecte...

Sinon, quel version de samba as tu installé ?

Dernière modification par toutafai (Le 19/06/2014, à 20:45)

Alecto · Le 19/06/2014, à 21:39

Très intéressant. Je vais tester çà dès que possible.
Pour la version de samba je ne sais pas comment la vérifier. Je vais chercher.
Question : Samba interdit-il les connexions multiples sous le même user depuis des stations distinctes ?
Si c'est oui je suis mal car on a justement fait des comptes banalisés comme prof, labolang et eleve.
En tout cas merci pour ta piste intéressante.

toutafai · Le 20/06/2014, à 00:30

pour la version de samba

dpkg --list 'samb*'

Il peu y avoir des limitations dans samba, tous dépends de la version utilisés...
la question des comptes "banalisés" est aussi une bonne piste a explorer, désolé

bruno · Le 20/06/2014, à 07:55

Bonjour,

Tu nous donnes une description très détaillée de ton problème, mais tu oublies l'essentiel :nous donner le contenu de smb.conf et les droits effectifs sur les dossiers partagés.

J5012 · Le 20/06/2014, à 08:31

c'est bien ca le probleme : la plupart des utilisateurs debutants qui deploient samba pour la premiere fois confondent la gestion des users par le systeme et la gestion des acces par le serveur samba (la faute a w helas qui justement confond lui les deux)

clairement :
1/ il n'est pas necessaire de creer des comptes locaux aux serveur samba et les memes comptes locaux aux clients, c'est meme fortement deconseille !
2/ dans l'ideal le serveur samba ne devrait jamais etre accede en local par un compte systeme ... mais toujours via les utilisateurs autorises geres et crees par le serveur samba (et non par le gestionnaire de comptes utilisateurs du systeme)

http://doc.ubuntu-fr.org/samba_smb.conf#security_user

Alecto · Le 20/06/2014, à 12:42

bruno a écrit :

Bonjour,
Tu nous donnes une description très détaillée de ton problème, mais tu oublies l'essentiel :nous donner le contenu de smb.conf et les droits effectifs sur les dossiers partagés.

Je ne voulais pas trop charger.
Le fait qu'un compte fonctionne m'incline à penser que mon smb.conf n'est pas en cause mais ce n'est pas certain à 100%

Alors le voilà débarrassé des commentaires et des sections dédiées aux impressions.
#======================= Global Settings =======================
[global]
workgroup = WORKGROUP
server string = %h server (Samba, Ubuntu)
dns proxy = no
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = user
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
usershare allow guests = yes
#======================= Share Definitions =======================
[homes]
comment = repertoires personnels
browseable = yes
read only = no
create mask = 0775
directory mask = 0775
[public]
comment = repertoire public en lecture seule pour les eleves
path = /home/public
browseable = yes
read only = no
create mask = 0775
directory mask = 0775
[commun]
comment = repertoire commun en lecture ecriture pour tous
path = /home/commun
browseable = yes
read only = no
create mask = 0775
directory mask = 0775

Alecto · Le 20/06/2014, à 12:55

J5012 a écrit :

c'est bien ca le probleme : la plupart des utilisateurs debutants qui deploient samba pour la premiere fois confondent la gestion des users par le systeme et la gestion des acces par le serveur samba (la faute a w helas qui justement confond lui les deux)
clairement :
1/ il n'est pas necessaire de creer des comptes locaux aux serveur samba et les memes comptes locaux aux clients, c'est meme fortement deconseille !
2/ dans l'ideal le serveur samba ne devrait jamais etre accede en local par un compte systeme ... mais toujours via les utilisateurs autorises geres et crees par le serveur samba (et non par le gestionnaire de comptes utilisateurs du systeme)
http://doc.ubuntu-fr.org/samba_smb.conf#security_user

Donc je ne dois pas avoir de compte prof, labolang et eleve sur le serveur ?
Je vais creuser cette piste et en particulier pdbedit que je ne connaissais pas.
Merci.

Alecto · Le 20/06/2014, à 12:57

Pour la version de samba c'est 2:3.6.3-2ubuntu2.10
Merci à J5012.

bruno · Le 20/06/2014, à 13:08

Il manque des choses : quels sont les droits effectifs sur les dossiers partagés ?

Par exemple /home/public doit être accessible en écriture uniquement pour les membres du groupe profs et en lecture seule pour les autres.

Les droits sur le dossier doivent donc être :

Propriétaire : prof rwx
Groupe : profs rwx
Reste du monde : r-x

Au niveau du partage :

[public]
   comment = repertoire public en lecture seule pour les eleves
   path = /home/public
   browseable = yes
   read only = no
   allow groups = @users
   force group = profs
   create mask = 0666
   directory mask = 0775
   strict locking = Yes

Donc je ne dois pas avoir de compte prof, labolang et eleve sur le serveur ?

Bin sûr que si ! Sinon cela ne marchera jamais…

Dernière modification par bruno (Le 20/06/2014, à 13:10)

Alecto · Le 20/06/2014, à 13:23

Je viens de passer la commande suivante (elle liste les users samba)
pdbedit -L
et là surprise eleve a un compte mais pas prof pas labolang
Voilà qui explique le fonctionnement de eleve et le non fonctionnement des autres.
Je remet çà d'équerre et je refais des tests sur place et si tout va bien je passe prochainement mon sujet en résolu.
Merci à tous.

toutafai · Le 20/06/2014, à 21:55

attention il me semble que pbedit fait parti de samba 4 or, tu as samba 2:3.6.3-2ubuntu2.10 ... je ne sais pas si le retour de cette commande est fiable dans ce cas...

J5012 · Le 21/06/2014, à 08:26

http://www.samba.org/~ab/output/htmldoc … dit.8.html

The pdbedit program is used to manage the users accounts stored in the sam database and can only be run by root....
VERSION
This man page is correct for version 3.0 of the Samba suite.

http://www.samba.org/~ab/output/htmldoc … swd.5.html

smbpasswd is the Samba encrypted password file. It contains the username, Unix user id and the SMB hashed passwords of the user, as well as account flag information and the time the password was last changed. This file format has been evolving with Samba and has had several different formats in the past...

toutafai · Le 21/06/2014, à 10:53

ok, j'ai rien dit ... merci J5012 :-)

Alecto · Le 26/06/2014, à 09:06

Les tests sont concluants. Merci à tous.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 19/06/2014, à 10:54

[résolu]samba un cas pas trop logique

#2 Le 19/06/2014, à 20:44

Re : [résolu]samba un cas pas trop logique

#3 Le 19/06/2014, à 21:39

Re : [résolu]samba un cas pas trop logique

#4 Le 20/06/2014, à 00:30

Re : [résolu]samba un cas pas trop logique

#5 Le 20/06/2014, à 07:55

Re : [résolu]samba un cas pas trop logique

#6 Le 20/06/2014, à 08:31

Re : [résolu]samba un cas pas trop logique

#7 Le 20/06/2014, à 12:42

Re : [résolu]samba un cas pas trop logique

#8 Le 20/06/2014, à 12:55

Re : [résolu]samba un cas pas trop logique

#9 Le 20/06/2014, à 12:57

Re : [résolu]samba un cas pas trop logique

#10 Le 20/06/2014, à 13:08

Re : [résolu]samba un cas pas trop logique

#11 Le 20/06/2014, à 13:23

Re : [résolu]samba un cas pas trop logique

#12 Le 20/06/2014, à 21:55

Re : [résolu]samba un cas pas trop logique

#13 Le 21/06/2014, à 08:26

Re : [résolu]samba un cas pas trop logique

#14 Le 21/06/2014, à 10:53

Re : [résolu]samba un cas pas trop logique

#15 Le 26/06/2014, à 09:06

Re : [résolu]samba un cas pas trop logique

Pied de page des forums