Clients Hardy Heron et Scribe NG

vendredi 20 mars 2009
par  mk
popularité : 0%

CONFIGURATION DU SERVEUR

1- Mettre à jour la liste des depôts :
- Editez le fichier /etc/apt/sources.list pour ajouter la ligne suivante :
http://eoleng.ac-dijon.fr/ubuntu/ feisty main multiverse restricted universe

- Mettre à jour apt :
apt-get update

2- Installez le serveur nfs :
apt-get install nfs-kernel-server

3- Editez le fichier /etc/exports en ajoutant la ligne suivante :
/home *(rw,sync)

4- Exportez le /home :
exportfs -a

5- Validez les changements : "exportfs -a"
Pour vérifier quels sont les exports, tapez "exportfs". La réponse devrait être : /home

CONFIGURATION DES CLIENTS

1.Mise à jour des sources des logiciels

Editez /etc/apt/sources.list et activez les sources universe et multiverse et security
Lancez « apt-get update ».

2. Installation des logiciels

Il est préférable d’utiliser aptitude qui gère mieux les dépendances que apt-get.

- Pour le montage des repertoires par nfs et samba : « aptitude install nfs-common portmap smbfs ».
- Pour le montage des partages samba « aptitude install libpam-mount » répondre non à la question voulez vous que le fichier conf existant soit converti en xml.
- Pour l’authentification : « aptitude install ldap-utils libpam-ldap »

Ici, apt vous pose quelques questions :

1. Adresse ip du serveur ldap utilisé : host 192.168.220.1 (ip de votre scribe)
2. Nom distinctif : « o=gouv,c=fr » sans espaces
3. Ldap version to use : validez 3 avec « entrée »
4. Faut-il créer une base de données locale pour l’administrateur ? : non
5. La base de données requiert-elle une connexion authentifiée ? : non

3. Configuration

a. l’authentification

Avant de modifier le système, commencer par créer un répertoire de sauvegarde (/opt/save par exemple) et copiez-y ces deux fichiers, ainsi que /etc/nsswitch.conf et tout le sous-répertoire /etc/pam.d.

1- Editez /etc/nsswitch.conf et mettez les trois lignes suivantes aux valeurs :

passwd : files ldap
group : files ldap
shadow : files ldap

2- Editez le fichier /etc/ldap/ldap.conf comme ceci

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE o=gouv,c=fr
URI ldap ://192.168.220.1

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

3- Editez le fichier /etc/ldap.conf comme ceci (le début)

# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 192.168.220.1

# The distinguished name of the search base.
base o=gouv,c=fr

# Another way to specify your LDAP server is to provide an
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldap ://192.168.1.100/
#uri ldaps ://127.0.0.1/
#uri ldapi ://%2fvar%2frun%2fldapi_sock/
# Note : %2f encodes the ’/’ used as directory separator

4- Copiez ce fichier dans les repertoires /usr/share/libnss-ldap et /usr/share/libpam-ldap.

L’authentification par ldap fonctionne. Pour la tester, on verifie que les utilisateurs du scribe sont bien reconnus en local. Si on tape « id admin » (n’importe quel utilisateur enregistré dans l’annuaire), on doit obtenir :
« uid=10000(admin)gid=10001(professeurs)groupes=10001(professeurs),550(PrintOperators),512(DomainAdmins),513(domainUsers) »

Lors de l’installation du système, j’avais crée l’utilisateur « prof » mot de passe « prof ». Pour lui conserver un accès en local pour d’éventuelles tâches d’administration, on lui déplace son repertoire perso de /home/prof vers /opt/prof (par exemple). Il suffit de faire une copie. Puis on édite le fichier /etc/passwd et sur la ligne prof, on met /opt/prof au lieu de /home/prof.

b. le montage des repertoires perso et des partages

Nous allons monter /home par nfs et les partages par smb et pam-mount. Pam-mount est un script qui permet un montage automatique et entièrement paramétrable des partages samba, à la manière du montage sous windows.
Sous gnome, l’utilisateur verra les partages réseaux ainsi les médias de stockage sous forme de disques, sur le bureau et dans le poste de travail.

1- Montage de /home par nfs

Editez le fichier /etc/fstab. Si vous avez une ligne pour une partition montée sur /home, commentez-la (ajoutez une dièse en début de ligne). Puis, après la ligne commenceant par /dev/hda1..., ajoutez la ligne :

192.168.220.1 :/home /home nfs rw 0 0
(remplacez 192.168.220.1 par l’ip de votre scribe)

2- Montage des partages par samba et pam-mount

Nous allons demander au module pam d’inclure pam-mount et paramétrer pam-mount pour qu’il monte les partages perso, commun, groupes et professeurs en smbfs, dans le repertoire /media. On peut les monter ailleurs (mnt, par exemple) à condition que ce soit un repertoire local.

Dans /etc/pam.d, on édite les fichiers comme suit :
pour common-pammount (pas de changement) :

auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass

pour common-account :

account sufficient pam_unix.so
account required pam_ldap.so use_first_pass

pour common-auth :

auth sufficient pam_unix.so
auth required pam_ldap.so use_first_pass

pour common-password :

password sufficient pam_unix.so
password required pam_ldap.so use_first_pass

et pour common-session :

session sufficient pam_unix.so
session optional pam_mkhomedir.so

Cette configuration marche très bien avec kubuntu et aussi avec ubuntu, edubuntu et xubuntu mais à condition d’installer kdm comme gestionnaire d’affichage par defaut.
Pour installer kdm tapez « aptitude install kdm », puis choisir kdm par défaut.

Pour que kdm lise pam-mount en premier et monte les partages samba dans /media avec le même mot de passe, editez /etc/pam.d/kdm et remplacez son contenu par ceci :

#
# /etc/pam.d/kdm - specify the PAM behaviour of kdm
#

# The standard Unix authentication modules, used with
# NIS (man nsswitch) as well as normal /etc/passwd and
# /etc/shadow entries.
#@include common-auth
#@include common-account
#@include common-password
#@include common-session

auth required pam_mount.so
auth required pam_group.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_unix.so use_first_pass
auth required pam_env.so

account sufficient pam_ldap.so
account sufficient pam_unix.so

password required pam_unix.so nullok obscure min=4 max=8 md5

session required pam_unix.so
session optional pam_mkhomedir.so
session optional pam_mount.so

Pour configurer le montage des partages samba, editez /etc/security/pam_mount.conf.xml (c’est une nouveauté)
Après la ligne : pmvarrun -u %(USER) -o %(OPERATION), ajoutez ceci :

Ici, scribe est le nom de mon serveur. Ce script dit à pam que pour tout utilisateur qui s’authentifie, le partage samba « perso » qui est sur la machine scribe doit être monté dans le repertoire /media/perso, en utilisant l’identité et le groupe de cet utilisateur et en donnant les droits 777 sur ce repertoire. Ensuite, c’est le serveur qui gère les droits ; ainsi un élève ne verra pas le partage professeurs sur son bureau.

Il faut créer les point de montage : mkdir /media/commun, et ainsi de suite pour groupes, perso et professeurs.
Il faut ensuite les rendre accessibles : chmod -R 777 /media/commun, etc.

Remarque : Ce mappage est un choix personnel. En effet, il n’est pas nécessaire de monter perso et groupes dans media, il sont déjà montés par gnome dans Dossier personnel. L’avantage de mon mappage est que tous les partages scribe apparaissent sur le bureau et dans le poste de travail. C’est moins déroutant pour les novices.

4. Problèmes liés à l’authentification distante

La langue par défaut :

Pour empecher le basculement de l’environnement vers l’anglais, ajouter les lignes suivantes à la fin du fichier /etc/profile :

export LC_ALL=fr_FR.utf8
export LANG=fr_FR.utf8
export LANGUAGE=fr_FR.utf8

N’oubliez pas de vous mettre sur /etc (« cd /etc ») et d’activer le fichier. Tapez « . profile », avec un espace entre le point et profile.

Le son, les lecteurs amovibles et les périphériques usb

Pour accéder à la carte son et aux périphériques, les utilisateurs locaux appartiennent aux groupes secondaires audio, plugdev, etc. Les groupes sont définis dans /etc/group. Leurs membres sont nécessairement des utilisateurs locaux. Nous allons demander à pam-group d’intégrer tout utilisateur distant qui s’authentifie par ldap aux groupes locaux audio, video, cdrom, plugdev, floppy et scanner.
Pour cela, nous avons déjà ajouté pam-group à /etc/pam.d/common-auth et kdm.
Il nous reste à éditer /etc/security/group.conf et ajouter la ligne :

* ;* ;* ;Al0000-2400 ;floppy,audio,cdrom,video,plugdev,scanner

Dans Al0000-2400, c’est bien la lettre l qui suit le A.

Voilà, c’est fini. Vous pouvez redémarrez votre machine.


Commentaires  forum ferme

Navigation

Articles de la rubrique