Le Cahier-04: NethServer, Active Directory et jonction de stations du “Cours NethServer-301” décrit la jonction de stations Win-8.1 et Win-10 à Active Directory roulant sur un Serveur NethServer 7.6-1810, le mappage d'un disque H: pour le répertoire personnel, le partage de fichiers/répertoires, le mappage ciblé et la création de profils itinérants pour certains utilisateurs.

Référence: https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles.

Un profil Windows est un ensemble des fichiers qui contiennent tous les paramètres d'un utilisateur, y compris les fichiers de configuration modifiés par l'utilisateur et les paramètres de registre. Dans un domaine Active Directory ou NT4, vous pouvez faire en sorte que le profil d'un utilisateur soit stocké sur un serveur. Ceci permet à l'utilisateur de se connecter à différentes stations du domaine Windows et d'utiliser les mêmes paramètres.

Lorsque vous utilisez des profils itinérants, une copie du profil est téléchargée du serveur vers la station du domaine Windows lorsqu'un utilisateur s'y connecte. Jusqu'à ce que l'utilisateur se déconnecte, tous les paramètres sont stockés et mis à jour dans la copie locale. Pendant la déconnexion, le profil est téléversé sur le serveur.

Joindre des stations Win-8.1 et Win-10 à Active Directory roulant sur un Serveur NethServer LOCAL.

Les procédures sont exactement les mêmes pour un Serveur NethServer physique directement branché ou non à l'Internet.

Nous allons utiliser la machine virtuelle du Cahier-301-02 : NethServer et migration de LDAP vers Active Directory du “Cours NethServer-301”.

Le Cours NethServer-101, se voulant une base solide pour la création d'un site de Commerce en ligne, comprend plusieurs cahiers:

1. Cahier-01: → Les bases de Linux.
2. Cahier-02: → Installation et configuration des logiciels prérequis sur le poste de travail.
3. Cahier-03: → Création d'un Serveur NethServer virtuel.
4. Cahier-04: → Serveur NethServer LOCAL & Let's Encrypt.
5. Cahier-05: → FAI, modem VDSL, domaine FQDN¹⁾ et Serveur NethServer physique.
6. Cahier-06: → Installation de WordPress.
7. Cahier-07: → Installation de l'extension de sécurité Wordfence.
8. Cahier-08: → WooCommerce, comptes chez Stripe et PayPal pour les paiements en ligne.
9. Cahier-09: → Sauvegarde/restauration ou migration d'un site avec l'extension Duplicator.
10. Cahier-10: → Serveur mandataire inversé.
11. Cahier-11: → Sauvegarde/restauration avec BackupPC.

Le Cours NethServer-201 décrit l'installation et la configuration d'applications sur un Serveur NethServer.

1. Cahier-201-01: → Dolibarr.
2. Cahier-201-02: → Odoo-12.
3. Cahier-201-03: → MediaWiki.
4. Cahier-201-04: → DokuWiki.
5. Cahier-201-05: → Moodle.
6. Cahier-201-06: → Proxmox.
7. Cahier-201-07: → Flectra.
8. Cahier-201-08: → Self Service Password.

Le Cours NethServer-301 décrit l'annuaire Active Directory roulant sur un Serveur NethServer.

1. Cahier-301-01: → RSAT (Remote Server Administration Tools).
2. Cahier-301-02: → NethServer et migration de LDAP vers Active Directory.
3. Cahier-301-03: → Active Directory & Self Service Password.
4. Cahier-301-04: → Active Directory & jonction de stations.

Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence GPL; ils ne coûtent pas un sou. Le seul achat nécessaire est l'obtention d'un nom de domaine au prix initial de $15 CAD et son renouvellement annuel d'environ $30 CAD.

Après avoir suivi le Cours NethServer-101, vous posséderez un site de Commerce en ligne fiable et hautement sécuritaire. De plus, vous pourrez utiliser un clone de votre site, sur un Serveur NethServer virtuel roulant sur votre poste de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'intégrité de votre site en ligne.

* Les captures d'écrans ne sont que des références.
** Les informations écrites ont préséance sur celles retrouvées dans les captures d'écrans. Veillez vous référer aux différents tableaux lorsque ceux-ci sont présents.
*** Une capture d'écran avec une accentuation en magenta indique qu'il faut remplacer cette distinction par vos propres paramètres ou implique un choix laissé à votre appréciation.

Manipulation, truc ou ruse pour se tirer d'embarras.
Une recommandation ou astuce.
Une note.
Une étape, note ou procédure à surveiller.
Paragraphe non complété ou non vérifié.
Danger pour la sécurité du système.

Toutes les commandes à la console ou à travers PuTTY sont précédées d'une invite qui est toujours présente.

[root@dorgee ~]# ping 10.10.10.75 -c1

PING 10.10.10.75 (10.10.10.75) 56(84) bytes of data.
64 bytes from 10.10.10.75: icmp_seq=1 ttl=64 time=1.63 ms

--- 10.10.10.75 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.639/1.639/1.639/0.000 ms
[root@dorgee ~]#

Commande à exécuter si ce n'est déjà fait.

Commande indiquée à titre d'information seulement.

Le Serveur NethServer-7.6.1810 est un dérivé de la distribution Linux CentOS et est équivalent à CentOS-7.6.1810.

1. Serveur passerelle pour les connexions à l'Internet.
2. Serveur DHCP pour tout le réseau LOCAL 192.168.1.0/24.

Serveur virtuel LOCAL sous VirtualBox Version 6.0.4 r128413 (Qt5.6.2).

Windows-8.1, on utilisera ce poste de travail comme station d'administration pour tout ce document.

Ne modifiez pas les fichiers avec des éditeurs de documents tels Notepad, TextEdit ou autres qui ajoutent une marque d'ordre d'octets (byte order marks) aux fichiers et qui casse le programme PHP. Utilisez plutôt un éditeur de code tel vi, vim, Notepad++, ou Atom. Ces éditeurs gèrent l'encodage des fichiers de manière appropriée; ils peuvent aussi être utilisés pour réparer les fichiers précédemment cassés par les autres éditeurs de documents.

Voir le Cahier-02 : Installations & configurations des logiciels prérequis du “Cours NethServer-101” pour l'installation et la configuration de cet éditeur.

Référence: https://notepad-plus-plus.org/.

Notepad++ est un éditeur de code source qui prend en charge plusieurs langages. Ce logiciel, codé en C++ avec STL et win32 api, a pour vocation de fournir un éditeur de code source de taille réduite mais très performant. En optimisant de nombreuses fonctions, tout en conservant une facilité d’utilisation et une certaine convivialité, Notepad++ contribue à la limitation des émissions de dioxyde de carbone dans le monde; en effet, en réduisant l’utilisation du CPU, la consommation d’énergie des ordinateurs chute considérablement, en conséquence de quoi, la terre est plus verte.

Site de téléchargement: https://notepad-plus-plus.org/downloads/.

Guide pratique (1er août 2013): http://nliautaud.developpez.com/tutoriels/web/notepadplusplus-guide-pratique/.
Aide-mémoire des principales commande: https://drive.google.com/file/d/0B86nuTd5nMTKaENHcmliUC1kdnc/edit.

[root@tchana ~]# account-provider-test dump

{
   "BindDN" : "ldapservice@AD.MICRONATOR-DEV.ORG",
   "LdapURI" : "ldaps://nsdc-tchana.ad.micronator-dev.org",
   "DiscoverDcType" : "ldapuri",
   "StartTls" : "",
   "port" : 636,
   "host" : "nsdc-tchana.ad.micronator-dev.org",
   "isAD" : "1",
   "isLdap" : "",
   "UserDN" : "dc=ad,dc=micronator-dev,dc=org",
   "GroupDN" : "dc=ad,dc=micronator-dev,dc=org",
   "BindPassword" : "OwSvR7Cg_9XbT28w",
   "BaseDN" : "dc=ad,dc=micronator-dev,dc=org",
   "LdapUriDn" : "ldap:///dc%3Dad%2Cdc%3Dmicronator-dev%2Cdc%3Dorg"
}
[root@tchana ~]#

L'ajout d'AD comme fournisseur de comptes signifie que la page DNS du Serveur NethServer NE SERA PLUS UTILISÉE!
L'adresse IP du serveur DNS que nous devons distribuer aux clients DOIT ÊTRE celle du conteneur Active Directory, c.-à-d. 10.10.10.76: l'adresse IP donnée lors de l'installation d'AD; voir le chapitre Contrôleur primaire de Domaine (PDC) du Cahier-02: NethServer et migration de LDAP vers Active Directory du “Cours NethServer-301”.

La création d'un nouveau groupe est un processus simple composé de trois étapes. Vous entrez le nom du groupe (comme pour les noms de comptes, ce nom doit commencer par une lettre minuscule et ne se composer que de minuscules non accentuées et de nombres) suivi d'une brève description. Enfin, vous insérez les noms des utilisateurs à associer à ce groupe.

Mise en garde
Après avoir procédé à l'ajout ou à la suppression d'un compte d'utilisateur à un groupe, l'utilisateur doit se déconnecter, puis se reconnecter pour que ces changements puissent prendre effet. Tant que l'utilisateur ne l'aura pas fait, ses anciennes données concernant les membres du groupe prévaudront. Par exemple, supposons que vous créez un nouveau groupe ventes et que vous assignez l'utilisateur toto à ce groupe. Ensuite, vous créez une nouvelle I-bay appelée info-ventes à laquelle seul le groupe ventes peut accéder. L'utilisateur toto est toujours en session sur un poste de travail et il essaie maintenant de se connecter à la nouvelle I-bay. Il recevra un message d'erreur de type Permission refusée. Il doit alors fermer sa session (il n'a pas besoin d'arrêter ou de redémarrer son ordinateur, il lui suffit de fermer sa session) et se reconnecter. À présent, il pourra accéder sans problème à l'I-bay info-ventes.

Si vous utilisez un Serveur NethServer en tant que contrôleur de domaine et que les postes de travail ont rejoint le domaine, alors en ajoutant des utilisateurs à des groupes spéciaux vous serez en mesure de modifier les droits qu'un utilisateur possède sur ces postes de travail.

Un Domaine a toujours trois groupes créés, répartis comme suit:

Référence: https://technet.microsoft.com/fr-fr/library/cc771990(v=ws.11).aspx.

Les membres de ce groupe possèdent le contrôle total de l’ordinateur et peuvent affecter des droits d’utilisateur et des autorisations de contrôles d’accès aux utilisateurs en fonction des besoins. Le compte Administrateur fait partie par défaut de ce groupe. Lorsqu’un ordinateur est joint à un domaine, le groupe Administrateur est automatiquement ajouté à ce groupe.

Vu que ce groupe dispose du contrôle total de l’ordinateur, il est conseillé d’y ajouter des utilisateurs avec précaution.

1. Accéder à cet ordinateur à partir du réseau.
2. Ajuster les quotas de mémoire pour un processus.
3. Permettre l’ouverture d’une session locale.
4. Autoriser l’ouverture de session par les services Bureau à distance.
5. Sauvegarder des fichiers et des répertoires.
6. Contourner la vérification de parcours.
7. Modifier l’heure système.
8. Changer le fuseau horaire.
9. Créer un fichier d’échange.
10. Créer des objets globaux.
11. Créer des liens symboliques.
12. Déboguer des programmes.
13. Forcer l’arrêt à partir d’un système distant.
14. Emprunter l’identité d’un client après l’authentification.
15. Augmenter la priorité de planification.
16. Charger et décharger les pilotes de périphériques.
17. Ouvrir une session en tant que tâche.
18. Gérer le journal d’audit et de sécurité.
19. Modifier les valeurs de l’environnement du microprogramme.
20. Effectuer les tâches de maintenance de volume.
21. Processus unique du profil.
22. Performance système du profil.
23. Retirer l’ordinateur de la station d’accueil²⁾.
24. Restaurer des fichiers et des répertoires.
25. Arrêter le système.
26. Prendre possession de fichiers ou d’autres objets.

Les membres de ce groupe peuvent effectuer des tâches courantes: exécuter des applications, utiliser les imprimantes locales ou celles du réseau et verrouiller l’ordinateur. Les membres de ce groupe ne peuvent pas partager des répertoires ni créer des imprimantes locales. Par défaut, les groupes Utilisateurs de domaine, Utilisateurs authentifiés et Interactifs sont membres de ce groupe. Par conséquent, tout compte d’utilisateur créé dans le domaine devient membre du groupe Domain Users.

1. Accéder à cet ordinateur à partir du réseau.
2. Permettre l’ouverture d’une session locale.
3. Contourner la vérification de parcours.
4. Changer le fuseau horaire.
5. Augmenter une plage de travail de processus.
6. Retirer l’ordinateur de la station d’accueil.
7. Arrêter le système.

Par défaut, le nom des utilisateurs/groupes dans NT-4.0 sont limités à 20 caractères.
Référence: https://docs.microsoft.com/fr-fr/windows/win32/adschema/a-samaccountname?redirectedfrom=MSDN

On affiche la longueur par défaut des noms de groupes.

[root@tchana ~]# config show maxGroupNameLength

maxGroupNameLength=31
[root@tchana ~]#

On modifie la longueur par défaut des noms des groupes.

[root@tchana ~]# /sbin/e-smith/db configuration set maxGroupNameLength 20

[root@tchana ~]#

On vérifie.

[root@tchana ~]# config show maxGroupNameLength

maxGroupNameLength=20
[root@tchana ~]#

Nous allons utiliser une station de travail Windows-8.1 pour nous connecter à notre domaine Active Directory AD.MICRONATOR-DEV.ORG.

Avec Windows 8.x, il existe maintenant 2 types de compte, un compte Microsoft qui vous permet d'avoir une authentification unique sur tous les services du Cloud que Microsoft veut vous faire utiliser, mais qui ne vous permet pas de vous authentifier pour les services de domaine du Serveur NethServer. En effet, si vous souhaitez utiliser une authentification unique sur le réseau LOCAL, vous devez transformer votre compte Microsoft en un Compte Local, Ce dernier vous permet d'utiliser les services du Cloud en vous sollicitant à chaque fois qu'il est nécessaire de fournir le mot de passe Windows.
Lorsque vous utilisez Windows-8.x/10 dans un environnement de domaine d'un Serveur NethServer, vous ne serez pas en mesure d'utiliser un compte Microsoft pour vous loguer à un Serveur NethServer Contrôleur primaire de domaine. En effet, votre compte Microsoft n'est pas reconnu par le serveur après le login et vous devrez donner votre mot de passe pour chaque partage que vous souhaitez atteindre sur le Serveur NethServer.

On se logue à la station de travail avec un utilisateur ayant les droits d'Administrateur (admin, administrator ou michelandre) à joindre une station à Active Directory.

On s'assure de la bonne configuration de la carte réseau de la station.

- Clac sur l'icône réseau.
- Ouvrir le Centre Réseau et partage.

Modifier les paramètres de la carte.

Double-cliquer sur l'icône de la carte réseau.

Détails…

- On s'assure de la bonne configuration de la carte.
- Fermer.

Fermer toutes les fenêtres.

Sur la station, on ouvre un écran de commande: clac sur Démarrer → Exécuter → entrer cmd → OK → ipconfig /all.

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\michelandre>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : WIN-181
   Suffixe DNS principal . . . . . . :
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-04-A8-0C
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 10.10.10.181(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : 10.10.10.75
   Serveurs DNS. . .  . . . . . . . . . . : 10.10.10.76
   Serveur WINS principal . . . . . . . . : 10.10.10.76
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{7876B49B-705C-4A0C-B5A2-F771321D174A} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #3
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

C:\Users\michelandre>

Les prérequis sont remplis, on est prêt à joindre cette station Windows-8.1 au domaine AD.MICRONATOR-DEV.ORG.

Affichage des CNAME de notre domaine.

[root@tchana ~]# account-provider-test dump

{
   "BindDN" : "ldapservice@AD.MICRONATOR-DEV.ORG",
   "LdapURI" : "ldaps://nsdc-tchana.ad.micronator-dev.org",
   "DiscoverDcType" : "ldapuri",
   "StartTls" : "",
   "port" : 636,
   "host" : "nsdc-tchana.ad.micronator-dev.org",
   "isAD" : "1",
   "isLdap" : "",
   "UserDN" : "dc=ad,dc=micronator-dev,dc=org",
   "GroupDN" : "dc=ad,dc=micronator-dev,dc=org",
   "BindPassword" : "OwSvR7Cg_9XbT28w",
   "BaseDN" : "dc=ad,dc=micronator-dev,dc=org",
   "LdapUriDn" : "ldap:///dc%3Dad%2Cdc%3Dmicronator-dev%2Cdc%3Dorg"
}
[root@tchana ~]#

Pour un serveur directement branché à l'Internet, il faut ajouter les trois enregistrements CNAME: ad, nscd-tchana.ad et adserver.ad chez le régistraire de notre nom de domaine.

Ici, nous utilisons cloudflare.com comme régistraire de domaine.

Pour plus de détails, voir le chapitre Régistraire de domaines dans le Cahier-05: VDSL, FQDN, Internet et NethServer du “Cours NethServer-101”.

Voir aussi le chapitre Certificat pour un domaine LOCAL dans le Cahier-04: NethServer LOCAL & Certificat Let's Encrypt du “Cours NethServer-101”.

On va joindre la station WIN-181 à notre domaine AD.MICRONATOR-DEV.ORG.

Clac sur le bouton Démarrer → Système → Paramètres système avancés → onglet Nom de l'ordinateur → Identité sur le réseau…

Cet ordinateur appartient à un réseau d'entreprise… → Suivant.

Ma société utilise un réseau comprenant un domaine → Suivant.

Suivant.

- On entre admin/mot de passe.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- Suivant.

- On choisit un nom pour cette station.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- Suivant.

- On entre admin/mot de passe.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- OK.

- Le nom de l'utilisateur admin est déjà entré.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- Suivant.

On veut que l'utilisateur admin soit administrateur de la station de travail.
- Administrateur.
- Suivant.

Terminer.

Soyez très patient, Windows va créer le compte AD.MICRONATOR-DEV.ORG\admin et son environnement sur la station, ce qui peut prendre un certain temps, voire plusieurs minutes.

Si les anciens usagers originaux de la station WIN-181 veulent se loguer localement ils doivent mettre .\ (point et barre oblique inversé) avant leur nom d'usager.

Pour l'ancien utilisateur michelandre, qui s'était déjà logué à la station WIN-181 avant sa jonction à Active Directory, ce sera .\michelandre.

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Nous allons utiliser RSAT et les Stratégie de groupe pour mapper un disque H: pour le répertoire personnel des utilisateurs.

Nous avons déjà installé RSAT dans le Cahier-301-01 : RSAT (Remote Server Administration Tools) du “Cours NethServer-301”.

Si ce n'est déjà fait, on se logue sur la station WIN-181 en tant que l'utilisateur admin.

Si ce n'est déjà fait sur le bureau, on peut y ajouter une icône de raccourci vers le Gestionnaire de serveur.

Clac sur Démarrer → Rechercher → Server Manager → clac sur Server Manager → Ouvrir le dossier.

Clac sur le fichier → Envoyer vers → Bureau (créer un raccourci).

Le raccourci vers le gestionnaire est sur le bureau.

On peut aussi utiliser ( + R ) pour ouvrir une fenêtre d'exécution et lancer la commande: ServerManager (sans espace entre Server et Manager).

Voici une liste d'interfaces auxquelles on accède avec un .msc (commandes à taper pour accéder aux diverses interfaces).

gpmc.msc → Gestion de stratégie de groupe - Group Policy Management Console.
gpedit.msc → Éditeur de stratégie de groupe locale - Group Policy ObjectEditor.
lusrmgr.msc → Gestionnaire des groupes locaux d'utilisateurs - Local user manager group.
fsmgmt.msc → Gestionnaire des dossiers partagés - Folder Sharing Management.
compmgmt.msc → Gestion de l'ordinateur.

Sur le Serveur NethServer, on vérifie les répertoires personnels.

[root@tchana ~]# ls -als /var/lib/nethserver/home/

total 0
0 drwxr-xr-x.  6 root                           root                             62 28 nov.  18:11 .
0 drwxr-xr-x. 12 root                           root                            155 19 avril  2019 ..
0 drwx------   2 admin@micronator-dev.org       domain users@micronator-dev.org  83 28 nov.  18:06 admin
0 drwx------   2 michelandre@micronator-dev.org domain users@micronator-dev.org  83 16 nov.  13:54 michelandre
0 drwx------   2 titi@micronator-dev.org        domain users@micronator-dev.org  83 17 oct.  11:32 titi
0 drwx------   2 toto@micronator-dev.org        domain users@micronator-dev.org  83 17 oct.  11:32 toto
[root@tchana ~]#

Sur la station WIN-181, l'utilisateur admin ouvre un écran Power Shell et met à jour les stratégies de groupe.

( + R ) → powershell → OK.

gpupdate /force (peut prendre un certain temps).

L'utilisateur michelandre lance l'Explorateur Windows.
Dans Options des dossiers, il s'assure que les paramètres Afficher le chemin d'accès complet dans la barre de titre et Afficher les fichiers, dossiers et lecteurs cachés soient sélectionnés.

Après avoir fermer la fenêtre des Options des dossiers, il voit son répertoire personnel et peut y accéder.

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Un dossier partagé est une ressource du système accessible à l'aide du protocole SMB/CIFS (partage de fichiers et d'imprimantes Windows).

Les dossiers partagés utilisent Samba et nécessitent un fournisseur de compte Active Directory, qu'il soit local (disponible en installant le module “nethserver-dc” à partir de la page “Gestionnaire des logiciels”) ou distant (disponible en se connectant à un contrôleur Active Directory ou Samba).

Si un fournisseur de compte LDAP ou si aucun fournisseur de compte n'est configuré, seul l'accès en mode invité est fourni.

Référence: https://technet.microsoft.com/fr-ca/library/cc753731(v=ws.11).aspx.

Les autorisations NTFS ont un impact sur l’accès local et distant. Elles s’appliquent, quel que soit le protocole adopté. Par opposition, les autorisations de partage s’appliquent uniquement aux ressources réseau partagées. Les autorisations de partage ne restreignent pas l’accès de tout utilisateur local ou de tout utilisateur des services Terminal Server. Par conséquent, les autorisations de partage n’offrent pas de confidentialité entre utilisateurs sur un ordinateur utilisé par plusieurs utilisateurs; ce qui n'est pas le cas avec Active Directory.

Les répertoires partagés utilisent ACL (Access Control List) pour fournir des autorisations flexibles sur les fichiers et les répertoires.

L'option acl est déjà activée sur XFS, le système de fichiers CentOS (NethServer) par défaut.

[root@tchana ~]# cat /etc/fstab

#
# /etc/fstab
# Created by anaconda on Fri Jan  4 14:13:25 2019
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/VolGroup-lv_root /                       xfs     defaults        0 0
UUID=a7c532b2-51d2-419a-ab83-b87d08f8205a /boot                   xfs     defaults        0 0
/dev/mapper/VolGroup-lv_swap swap                    swap    defaults        0 0
[root@tchana ~]#

NethServer entrepose les dossiers partagés dans /var/lib/nethserver/ibay/*.

Si vous avez monté le répertoire ibay dans un autre système de fichiers, vous devez ajouter manuellement l'option acl dans /etc/fstab.

Exemple: Le disque /dev/sdb1 est monté dans le répertoire /var/lib/nethserver/ibay.

...
/dev/sdb1  /var/lib/nethserver/ibay  ext4  acl  1 2
...

Si tel est le cas, une fois l'option dans fstab, il vous suffit de remonter toutes les partitions en lançant:

mount -a

Référence: http://docs.nethserver.org/en/v7/ui/FileServer.html.
Référence: http://docs.nethserver.org/en/v7/shared_folder.html#shared-folders-section.

Le Serveur NethServer sauvegarde les dossiers partagés dans /var/lib/nethserver/ibay/*.

Longueur maximale des nom des ibays.

[root@tchana ~]# /sbin/e-smith/db configuration show  maxIbayNameLength

maxIbayNameLength=30
[root@tchana ~]#

☑ recycle bin réseau
Non cochée → la corbeille est désactivée.
Cochée –> active la corbeille, mais ne garde que la dernière version si deux fichiers portant le même nom sont supprimés. Lorsque la corbeille est activée, si un utilisateur supprime un fichier, au lieu de le supprimer du serveur, SAMBA le déplace dans le répertoire recycle bin à la racine du dossier partagé (le répertoire est créé s'il n'existe pas).
Lorsqu'activée (cochée) –> la corbeille conserve une copie de chaque fichier supprimé.

☑ Keep copies of files with the same name
Non cochée –> le dernier fichier remplace le précédent.
Cochée –> Si deux fichiers portent le même nom, ils restent distincts dans la corbeille.

● Migrate to virtual host
Utilisez ce bouton pour migrer un dossier partagé au format ancien; avec un accès HTTP restauré à partir d'une sauvegarde.

[root@tchana ~]# ls -als /var/lib/nethserver/ibay/

total 0
0 drwxrwxr-x   3 root root                             24  3 sept. 06:15 .
0 drwxr-xr-x. 14 root root                            187  8 déc.  09:39 ..
0 drwxrwsr-x+  2 root domain users@micronator-dev.org   6  8 déc.  09:42 Directives
[root@tchana ~]#

On créé le fichier Directive-01.txt dans le répertoire et on y ajoute du texte décrivant les différentes directives pour les utilisateurs.
Prendre tout le contenu de l'encadré pour la commande.

cat > /var/lib/nethserver/ibay/Directives/Directive-01.txt <<'EOT'
Première directive
EOT

On vérifie la création du fichier.

[root@tchana ~]# ls -ls /var/lib/nethserver/ibay/Directives/Directive-01.txt

4 -rw-rw-r--+ 1 root domain users@micronator-dev.org 20  8 déc.  16:42 /var/lib/nethserver/ibay/Directives/Directive-01.txt
[root@tchana ~]#

Sur la station WIN-181, l'utilisateur toto se logue et il lance l'Explorateur Windows. Dans Options des dossiers, il s'assure que les paramètres Afficher le chemin d'accès complet dans la barre de titre et Afficher les fichiers, dossiers et lecteurs cachés soient sélectionnés.

On affiche les dossiers partagés du Server NethServer.

- L'utilisateur toto indique le nom de notre serveur:
- \\tchana.

- Le dossier partagé s'affiche.
- L'utilisateur toto le double-clique pour l'ouvrir.

Le contenu du dossier s'affiche.

L'utilisateur toto peut lire le fichier.

L'utilisateur toto veut Modifier le fichier.

L'utilisateur toto ajoute du texte.

Lorsqu'il veut enregistrer ses modifications, le serveur refuse.

S'il essaie de supprimer le fichier, il n'a pas les droits suffisants.

On peut lancer une recherche dans le journal d'Audit Samba.

On peut supprimer une partie ou tout le journal.

On crée un nouveau dossier de partage dans l'interface Web de NethServer. Gestion → Dossier partagés → CRÉER NOUVEAU.

Si l'utilisateur toto est logué, il faut qu'il se délogue et se relogue pour pouvoir accéder au nouveau répertoire partagé.

Explorateur Windows → \\tchana → [Retour] → Documents en partage.

L'utilisateur toto peut créer un répertoire/fichier.

L'utilisateur admin se logue à la station WIN-181 et lance le Gestionnaire de serveur.

Double-cliquer l'icône.

Outils → Gestion des stratégies de groupe.

- On développe jusqu'à Domaines.
- Clac sur le nom de notre domaine.
- Créer un objet GPO dans ce domaine…

Dossier partagé → OK.

Clac sur Dossier partagé → Modifier…

- On développe jusqu'à Paramètres Windows.
- Clac sur Mappages de lecteurs → Nouveau → Lecteur mappé.

- Onglet Général.
- On entre les informations demandées. \\tchana\Documents en partage

Onglet Commun → on coche Exécuter dans le contexte… → Appliquer.

OK.

Sur la station WIN-181, l'utilisateur admin ouvre un écran de commande et lance: gpupdate /force.

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\admin.MICRONATOR-DEV> gpupdate /force
Mise à jour de la stratégie...

La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.


C:\Users\admin.MICRONATOR-DEV>

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

On crée un mappage qui cible le groupes Domain users (c.-à-d. tous les utilisateurs du domaine AD.MICRONATOR-DEV.ORG) et qui pointe vers le répertoire Directives.

On crée une stratégie de groupe pour appliquer le mappage ciblé.

On lance le Gestionnaire de serveur, puis la Gestion de stratégie de groupe.

Clac sur ad.micronator-dev.org → Créer un objet GPO dans ce domaine et le lier ici…

Map T vers Directives pour tous les usagers → OK.

Au retour, clac sur Map T vers Directives pour tous les usagers → Modifier…

- Sélectionner Configuration uti­lisateur → Préférences → Para­mè­tres Windows → Mappages de lecteurs → Nouveau → Lecteur mappé.

- Onglet Général.
- On entre les informations de­man­dées.

- Onglet Commun.
- Cocher Ciblage au niveau de l'é­lément.
- Ciblage…

Nouvel élément → Groupe de sécurité.

Recherche/vérification Domain Users → OK.

Appliquer.

OK.

Onglet Étendu et on vérifie.

On met à jour les stratégies de groupe.

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\admin> gpupdate /force

Mise à jour de la stratégie...

La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.

C:\Users\admin>

Nous allons créer un mappage ciblé vers un disque R: qui pointera vers un répertoire partagé qu'on nommera RSAT et qui contiendra les fichiers d'installation de RSAT pour Windows-8.1/10. Seuls les utilisateurs du groupe Domain admins auront ce mappage de disque. Tout utilisateur appartenant à ce groupe pourra ainsi, si nécessaire, installer RSAT sur une nouvelle station.

Onglet Général → on entre les informations demandées.

Onglet ACL → on donne le droit de Lire/Écrire au groupe domain admins.

Onglet Audit Samba, activation au choix → SOUMETTRE.

[root@tchana ~]# ls -als /var/lib/nethserver/ibay/

total 0
0 drwxrwxr-x   5 root root                              64 14 déc.  10:26 .
0 drwxr-xr-x. 14 root root                             187 12 déc.  11:39 ..
0 drwxrwsr-x+  2 root domain users@micronator-dev.org   30 12 déc.  12:45 Directives
0 drwxrwsr-x+  3 root domain users@micronator-dev.org   18 12 déc.  13:03 Documents en partage
0 drwxrws---+  2 root domain admins@micronator-dev.org   6 14 déc.  10:26 RSAT
[root@tchana ~]#

On copie les fichiers RSAT pour Windows-8.1 et Windows-10 dans le répertoire RSAT et on vérifie.

[root@tchana ~]# ls -ls /var/lib/nethserver/ibay/RSAT

total 163748
69212 -rw-rw----+ 1 root domain admins@micronator-dev.org 70872826  2 nov.  13:37 Windows8.1-KB2693643-x64.msu
94536 -rw-rw----+ 1 root domain admins@micronator-dev.org 96800972 14 déc.  11:15 WindowsTH-RSAT_WS2016-x64.msu
[root@tchana ~]#

Clac sur ad.micronator-dev.org → Créer un objet GPO dans ce domaine et le lier ici…

Map R vers RSAT pour le groupe Domain admins → OK.

Au retour, clac sur Map R vers RSAT pour le groupe Domain admins → Modifier…

Configuration uti­lisateur → Pré­férences → Para­mè­tres Windows → Mappages de lecteurs → Nouveau → Lecteur mappé.

- Onglet Général.
- On entre les informations de­man­dées.

- Onglet Commun.
- Cocher Ciblage au niveau de l'é­lément.
- Ciblage…

Nouvel élément → Groupe de sécurité.

Recherche/vérification Domain Admins → OK.

Appliquer.

OK.

Onglet Étendu et on vérifie.

On met à jour les stratégies de groupe.

C:\Users\admin> gpupdate /force

Mise à jour de la stratégie...

La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.

C:\Users\admin>

Avec l'Explorateur Windows, l'utilisateur admin voit notre nouveau disque RSAT (R:).

Après avoir double-cliquer l'icône du disque RSAT, on voit que le répertoire contient nos deux fichiers d'installation de RSAT pour Windows-8.1 et Windows-10.

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

<html>

</html>

Référence: http://www.labo-microsoft.org/articles/win/profil-redirection-quotas/0/.

Il peut arriver qu'un utilisateur se serve de plusieurs ordinateurs avec le même compte utilisateur. Lorsqu'il va utiliser un certain ordinateur, il va hériter d'un environnement différent de celui présent sur un autre ordinateur. Dans ce cas, il pourrait être intéressant pour cet utilisateur d'avoir un profil itinérant. En effet, le fait d'utiliser ce type de compte va permettre à votre utilisateur de conserver ses documents, ses paramètres et son environnement de travail, quel que soit l'ordinateur sur lequel il ouvre une session. Les profils itinérants stockent leurs informations sur un serveur. Concrètement, vous retrouverez les dossiers ci-contre dans le répertoire stockant le profil itinérant sur le Serveur NethServer.

Ainsi, avec la présence de ces dossiers, vous pourrez avoir tous vos Favoris Internet Explorer, la liste des derniers documents que vous avez utilisés, tous les modèles que vous avez créés pour la suite LibreOffice, les témoins (cookies) utilisés par Internet Explorer ainsi que les mots de passe utilisés pour les sites web, l'apparence de votre bureau (Arrière-plan, menu démarrer classique/normal, raccourcis dans le menu Démarrer, …) et les paramètres de certaines applications telle qu'Adobe Reader.

Dans une entreprise, un utilisateur peut être amené à s'authentifier sur différentes machines tout en voulant profiter d'un environnement identique sur chacune de celles-ci. Il peut être intéressant, dans ce cas, d'implémenter des profils itinérants puisque le fait de stocker le contenu d'un profil sur un serveur vous apporte également certains avantages. Vous pourrez notamment effectuer des sauvegardes de ces profils afin d'éviter toute perte de documents, vérifier la présence de virus, mais surtout, vous aurez une gestion centralisée de vos profils utilisateurs. Les profils itinérants prouvent encore une fois leur utilité lorsque vous devez réinstaller une machine. Une fois la machine réinstallée, lors de sa première ouverture de session, l'utilisateur va retrouver l'intégralité de son environnement de travail.

Avant de vous lancer dans la configuration de profils itinérants, il pourrait être intéressant de suivre des recommandations et avertissements concernant ce type de profil. En effet, pour fonctionner correctement, les profils itinérants ont besoin d'un environnement spécifique. Voyons ensemble certains points importants:

1. Installez les mêmes applications sur tous vos ordinateurs: faites en sorte que la version de l'application soit la même sur toutes les machines, que le chemin vers cette application soit le même au niveau de l'arborescence de répertoires et au niveau de la lettre du disque dur.
2. Si vos utilisateurs sont susceptibles de changer de version de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins du profil soient les mêmes sur toutes les machines. En effet, sous Windows NT4, on retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and Settings. Ce type de localisation pourrait poser des problèmes si vos utilisateurs changent constamment de version de Windows.
3. Vous pouvez également utiliser la redirection de répertoire pour ceux susceptibles d'être volumineux, par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de répertoire, le système de synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces répertoires, vos ouvertures de session seront beaucoup plus rapides.
4. N'utilisez pas le système de chiffrage Encrypted File System (EFS) avec vos comptes itinérants. L'utilisation de ce système désactiverait le caractère itinérant du profil.
5. De la même manière, ne stockez pas les profils sur un disque qui utilise la compression NTFS. Ceci n'est qu'une recommandation puisque la compression NTFS ne bloque pas les profils itinérants. Seulement, le contenu est souvent copié et mis à jour sur le serveur, ce qui, dans le cas où la compression est activée, augmenterait le taux de fragmentation des fichiers.
6. Attention aux quotas de disque! Si vous mettez un quota de disque trop petit pour les utilisateurs, ils ne pourront pas créer leur profil. De plus, lors de la synchronisation, un profil temporaire est créé. S'il manque d'espace pour le créer, la synchronisation échouera.
7. Pour éviter les problèmes de synchronisation lors des ouvertures/fermetures de sessions, assurez-vous d'avoir désactivé les fichiers hors-connexion. Si ceux-ci ne sont pas désactivés, vous pourriez avoir des problèmes de synchronisation entre le profil et les fichiers hors connexion.

Encore une fois, les différents points ci-dessus ne sont, pour certains, que des recommandations. Vous n'êtes pas obligé de les suivre à la lettre.

Nous allons utilisé les profils complets, sans redirection pour le répertoire Documents. Les profils seront stockés sur le Serveur NethServer, non pas dans une i-bay, mais dans un répertoire dédié à cette fin.

Chaque utilisateur, désirant un profil itinérant, devra en faire la demande et sera ajouté à ceux déjà en place.

Il faut absolument mettre à jour la station Windows-8.x et ajouter une nouvelle clé à son Registre afin de pouvoir utiliser la bonne version de profil.

https://support.microsoft.com/en-us/help/2890783/incompatibility-between-windows-8-1-roaming-user-profiles-and-those-in

Après avoir appliqué les mises à jour, vous devez créer une clé de Registre avant de redémarrer l'ordinateur.

Une modification incorrecte du Registre peut gravement endommager votre système. Avant d'apporter des modifications au Registre, vous devez sauvegarder toutes les données importantes sur l'ordinateur.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters

Clac sur Démarrer → Exécuter → regedit → [OK].

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters.

Clac sur Parameters → Nouveau → Valeur DWORD 32 bits.

UseProfilePathExtensionVersion → [Entrée].

Données de la valeur: 1 → OK.

Fichier → Quitter.

Après avoir configuré l'entrée de Registre UseProfilePathExtensionVersion, vous devez redémarrer l'ordinateur. Ensuite, Windows 8.1 crée un profil utilisateur et ajoute le suffixe “.v4” au nom du dossier de profil pour le différencier de la version 2 du profil dans Windows 7 et de la version 3 du profil dans Windows 8. Les ordinateurs Windows 8.1 qui ont le correctif cumulatif 2887595 installé et l'entrée de Registre UseProfilePathExtensionVersion configurée utilise la version 4 du profil.

Sur le Serveur NethServer, on crée le répertoire de stockage des profils itinérants.

[root@tchana ~]# mkdir /var/lib/nethserver/profils

[root@tchana ~]#

On ajuste le propriétaire.

[root@tchana ~]# chown "administrator@micronator-dev.org" /var/lib/nethserver/profils

[root@tchana ~]#

On ajuste le groupe.

[root@tchana ~]# chgrp "domain admins@micronator-dev.org" /var/lib/nethserver/profils

[root@tchana ~]#

On ajuste les droits.

[root@tchana ~]# chmod 777 /var/lib/nethserver/profils

[root@tchana ~]#

On vérifie.

[root@tchana ~]# ls -alsd  /var/lib/nethserver/profils

0 drwxrwxrwx 2 administrator@micronator-dev.org domain admins@micronator-dev.org 6 18 déc.  19:50 /var/lib/nethserver/profils
[root@tchana ~]#

On crée un gabarit personnalisé pour l'ajout d'un greffon de configuration au serveur SAMBA.

[root@tchana ~]# mkdir -p /etc/e-smith/templates-custom/etc/samba/smb.conf

[root@tchana ~]#

On créé le greffon lui-même.

Prendre tout le contenu de l'encadré pour la commande.

cat > /etc/e-smith/templates-custom/etc/samba/smb.conf/71profils <<'EOT'
[profils]
comment = Répertoire de stockage des profils
browsable = no
path = /var/lib/nethserver/profils
read only = no
store dos attributes = Yes
create mask = 0600
directory mask = 0700
profile acls = yes
csc policy = disable
EOT

On vérifie.

[root@tchana ~]# cat /etc/e-smith/templates-custom/etc/samba/smb.conf/71profils

[profils]
comment = Répertoire de stockage des profils
browsable = no
path = /var/lib/nethserver/profils
read only = no
store dos attributes = Yes
create mask = 0600
directory mask = 0700
profile acls = yes
csc policy = disable
[root@tchana ~]#

Il n'y a pas de ligne vide avant [profils]; nous en avons inséré une pour faciliter la copie de la commande.

On signale le changement afin d'intégrer le greffon.

[root@tchana ~]# signal-eventnethserver-samba-update

[root@tchana ~]#

Pour un répertoire à inclure dans la sauvegarde des sonnées, il faut que le chemin spécifié se termine par un /.
On vérifie si le nom du répertoire /var/lib/nethserver/profils/ est déjà inclus dans le fichier d'inclusion de la sauvegarde des données /etc/backup-data.d/custom.include, sinon on l'insère.

Prendre tout le contenu de l'encadré pour la commande.

NouvelleInclusion="/var/lib/nethserver/profils/"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
    # L'entrée a été trouvée dans custom.include
    echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
    # L'entrée n'a pas été trouvée dans custom.include
    echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
    echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi

On vérifie.

[root@tchana ~]# cat /etc/backup-data.d/custom.include | grep /var/lib/nethserver/profils/

/var/lib/nethserver/profils/
[root@tchana ~]#

Ci-dessus, il n'y a pas de ligne vide avant /var/lib/nethserver/profils/. Nous en avons insérée une afin de faciliter la copie de la commande.

Si ce n'est déjà fait, l'utilisateur admin se logue à la station WIN-181.

Double-cliquer l'icône.

Outils → Utilisateurs et ordinateurs Active Directory.

Users → double-cliquer admin.

- Onglet Profil:
- \\tchana\Profils\%USERNAME
- Appliquer.

OK.

Fichier → Quitter.

L'utilisateur admin possède maintenant un profil itinérant.

L'utilisateur admin se délogue et se relogue sur la station WIN-181.

L'utilisateur admin possède un profil itinérant.

Le répertoire du profil a été créé, mais il est vide.

L'utilisateur admin se délogue et se relogue.

L'utilisateur admin possède toujours un profil itinérant.

Le répertoire du profil a été créé, mais il est vide.

Modification dans le profil de l'utilisateur admin en ajoutant un nouveau lien à Favoris.

Clac sur Favoris → Ajouter l'emplacement actuel dans les favoris.

Le nouveau lien a été ajouté.

L'utilisateur admin se délogue

Lors de la déconnexion de ce login, une copie des fichiers du profil local ont été copiés vers le profil itinérant sur le Serveur NethServer. Il n'y a eu que quelques mises à jour durant le deuxième login et l'ajout d'un nouveau lien dans Favoris.

L'utilisateur admin se logue une troisième fois.

La grandeur du répertoire du profil a légèrement augmenté.

Sur le Serveur NethServer, les fichiers du profil local, incluant le nouveau lien, y ont été téléversés lors de la déconnexion du deuxième login d'admin.

L'utilisateur admin se logue pour la première fois sur la station WIN-182 depuis qu'il possède un profil itinérant.

Directement, le premier login indique déjà qu'il utilise un profil itinérant.

Le répertoire du profil itinérant a été mis à jour à la déconnexion du troisième login sur WIN-181.

Au premier login de l'utilisateur admin sur la station WIN-182, tous les fichiers/répertoires contenus dans son profil itinérant sur le Serveur NethServer (ci-dessous à gauche) ont été copiés dans le profil local sur la station WIN-182 (ci-dessous à droite).

Si ce n'est déjà fait, admin installe RSAT sur la station WIN-182, lance Utilisateurs et ordinateurs Active Directory et édite le Chemin du profil de l'utilisateur toto pour en faire un utilisateur possédant un profil itinérant.

Double-cliquer toto.

Onglet Profil:
\\tchana\Profils\%USERNAME
Appliquer.

OK.

L'utilisateur toto possède maintenant un profil itinérant.

L'utilisateur toto se logue sur la station WIN-181.

Présentement, le profil de l'utili­sateur toto est Local.

Aucun nouveau fichier n'a été créé dans le répertoire des profils sur le Serveur NethServer.

Le répertoire de son profil Local n'a pas été modifié.

L'utilisateur toto se dé-logue et se relogue sur la station WIN-181.

Maintenant, il possède un profil iti­nérant.

Sur le Serveur NethServer, le réper­toire du profil itinérant a été créé, mais il est vide.

Le répertoire Local du profil n'a pas été modifié.

À la fermeture de cette session, le répertoire du profil Local va être téléversé vers le répertoire de stockage des profils du Serveur NethServer.

On vérifie si l'utilisateur toto peut voir le contenu du répertoire admin.V4 de l'utilisateur admin.

Sur le Serveur NethServer, on se substitue à l'utilisateur toto.

[root@tchana ~]# su - toto

Dernière connexion : jeudi 12 décembre 2019 à 09:40:01 EST sur pts/0
[toto@micronator-dev.org@tchana ~]$ 

On affiche les droits du répertoire profils.

[toto@micronator-dev.org@tchana ~]$ ls -lsd /var/lib/nethserver/profils

0 drwxrwxrwx 4 administrator@micronator-dev.org domain admins@micronator-dev.org 37 19 déc.  14:49 /var/lib/nethserver/profils
[toto@micronator-dev.org@tchana ~]$

On affiche les propriétaire:groupe et leurs droits sur les répertoires existants dans profils.

[toto@micronator-dev.org@tchana ~]$ ls -ls /var/lib/nethserver/profils/

total 12
8 drwxrwx---+ 14 admin@micronator-dev.org domain users@micronator-dev.org 4096 19 déc.  14:37 admin.V4
4 drwxrwx---+  2 toto@micronator-dev.org  domain users@micronator-dev.org  6 19 déc.  14:49 toto.V4
[toto@micronator-dev.org@tchana ~]$

Même s'ils sont tous les deux dans le même groupe domain users et que le groupe “semble” avoir tous les droits: rwx…

… si l'utilisateur toto tente de voir le répertoire admin.V4 de l'utilisateur admin, il reçoit Permission non accordée

[toto@micronator-dev.org@tchana ~]$ ls -ls /var/lib/nethserver/profils/admin.V4/

ls: impossible d'ouvrir le répertoire /var/lib/nethserver/profils/admin.V4/: Permission non accordée
[toto@micronator-dev.org@tchana ~]$

On retourne à l'utilisateur root.

[toto@micronator-dev.org@tchana ~]$ exit

déconnexion
[root@tchana ~]#

On affiche les droits ACL sur le répertoire admin.V4.

[root@tchana ~]# getfacl /var/lib/nethserver/profils/admin.V4/

getfacl : suppression du premier « / » des noms de chemins absolus
# file: var/lib/nethserver/profils/admin.V4/
# owner: admin@micronator-dev.org
# group: domain\040users@micronator-dev.org
user::rwx
user:admin@micronator-dev.org:rwx
group::---
group:10006:rwx
group:domain\040users@micronator-dev.org:---
mask::rwx
other::---
default:user::rwx
default:user:admin@micronator-dev.org:rwx
default:group::---
default:group:10006:rwx
default:group:domain\040users@micronator-dev.org:---
default:mask::rwx
default:other::---

[root@tchana ~]#

Le groupe domain\040users@micronator-dev.org: n'a aucun droit “- - -” sur ce répertoire.

<html>

</html>

Nous allons utiliser une station de travail Windows-10 pour nous connecter au domaine AD.MICRONATOR-DEV.ORG.

Sur la station WIN10-1, on s'assure de la bonne configuration de sa carte réseau.

Clac sur l'icône réseau → Ouvrir les paramètres réseau et internet.

Centre Réseau et partage.

Modifier les paramètres de la carte.

Double-cliquer Connexion au ré­seau local.

Détails…

On s'assure des paramètres de la carte.

Fermer toutes les fenêtres du Centre Réseau et partage.

...
# Serveur NethServer VirtualBox
10.10.10.75 micronator-dev.org
10.10.10.75 www.micronator-dev.org
10.10.10.75 mail.micronator-dev.org
10.10.10.75 www.mail.micronator-dev.org

# POUR ACTIVE DIRECTORY
# 10.10.10.76 ad.micronator-dev.org
# 10.10.10.76 nsdc-tchana.ad.micronator-dev.org
# 10.10.10.76 adserver.ad.micronator-dev.org
...

Clac sur l'icône Démarrer → Système.

Informations système.

Paramètre système avancés.

Onglet Nom de l'ordinateur → Identité sur le réseau…

Cet ordinateur appartient à un réseau… → Suivant.

Ma société utilise un réseau comprenant un domaine → Suivant.

Suivant.

On entre les informations de­man­dées → Suivant.

On entre les informations de­man­dées → Suivant.

On entre les informations de­man­dées → OK.

On accepte les paramètres affichés → Sui­vant.

Administrateur → Suivant.

Terminer.

Si les anciens usagers originaux du poste Windows-10 veulent se loguer localement ils doivent mettre un .\ (point et barre oblique inversé) avant leur nom d'usager. Pour l'ancien usager michelandre ce sera .\michelandre.

Dans le coin inférieur gauche, on clique Autre utilisateur, on entre .\michelandre → mot de passe → [Entrée].

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Une fois que vous maîtrisez tous les aspects de: Active Directory, RSAT, Let's Encrypt, Self Service Password, Fail2ban et de BackupPC, vous pouvez créer un réseau de Production incluant un serveur Active Directory, un serveur de sauvegardes et un serveur de développement; ce qui est le but ultime que nous vous souhaitons.

Référence: http://www.iro.umontreal.ca/~dift3830/vi.html. (Dernière consultation, le 30 mai 2016. Novembre 2018, ce lien n'est plus fonctionnel.)

vi est un éditeur de texte très puissant. Sa convivialité par contre lui fait défaut. Ceci dit, il est toujours utile d'en connaître les rudiments, car son omniprésence est presque garantie sur les systèmes modernes.

La documentation de vi étant très abondante, on se limitera pour cette démo aux commandes les plus usuelles.

Tout d'abord l'invocation. On peut invoquer vi à partir du shell de plusieurs façons dont en voici quelques-unes:

- vi: → ouvre vi avec un contenu vide. - vi nom_de_fichier: → ouvre un fichier et l'affiche à l'écran. - vi +nom_de_fichier: → ouvre un fichier et positionne le curseur à la fin de celui-ci.

Dès son invocation, vi se met en mode commande, dans ce mode il est possible d'entrer les commandes qui seront vues plus bas. Si on tape une commande susceptible de modifier un texte (insertion d'un caractère par exemple), vi bascule en mode édition; dans ce mode tout caractère tapé sera considéré comme faisant partie du texte, tandis que les caractères saisis en mode commande, seront eux interprétés comme étant des commandes et ne seront jamais rajoutés au texte.

Afin de basculer du mode édition au mode commande il suffit de presser la touche [Échap].

vi

i

vi est un éditeur de texte très
 
utile pour la communauté des 
administrateurs.

Après cela, on pourrait passer en mode commande par simple pression sur la touche [Échap].

Une fois en mode commande, on voudrait par exemple, éliminer la ligne blanche qui se trouve juste après la première. Pour ce faire, on positionne le curseur a la hauteur de la 2e ligne et on tape dd.

Ceci aura pour effet de supprimer la ligne.

Si on est satisfait, il ne nous reste plus qu'à sauvegarder le document sous le nom texte1.txt à l'aide de la commande suivante:

:w texte1.txt

(Pour les sauvegardes ultérieures, il n'est pas nécessaire d'ajouter le nom du fichier).

Afin de quitter vi il suffit de taper la commande:

:q texte1.txt

Les commandes abondent dans vi, on n'en citera que quelques-unes.

Victoire totale, hissons la bannière de la victoire.

© 2019 RF-232
Auteur: Michel-André.
Remerciement: Tous les contributeurs GNU/GPL.
Intégré par: Michel-André Robillard CLP
Contact: michelandre at micronator.org

Répertoire de ce document: E:\000_DocPourRF232_general\RF-232_NethServer-301\RF-232_Cours_NethServer-301-04_Partage_Jonctions-Stations_2019-12-26_17h24.odt.

Historique des modifications:

<html><hr style=“width:50%; margin: 0 auto;”></html>

Ce document est uniquement destiné à informer. Les informations, ainsi que les contenus et fonctionnalités de ce do­cument sont fournis sans engagement et peuvent être modifiés à tout moment. RF‑232 n'offre aucune garantie quant à l'actualité, la conformité, l'exhaustivité, la qualité et la durabilité des informations, contenus et fonctionnalités de ce document. L'accès et l'utilisation de ce document se font sous la seule responsabilité du lecteur ou de l'utilisateur.

RF‑232 ne peut être tenu pour responsable de dommages de quelque nature que ce soit, y compris des dommages di­rects ou indirects, ainsi que des dommages consécutifs résultant de l'accès ou de l'utilisation de ce document ou de son contenu.

Chaque internaute doit prendre toutes les mesures appropriées (mettre à jour régulièrement son logiciel antivirus, ne pas ouvrir des documents suspects de source douteuse ou non connue) de façon à protéger le contenu de son ordina­teur de la contamination d'éventuels virus circulant sur la Toile.

Toute reproduction interdite Vous reconnaissez et acceptez que tout le contenu de ce document, incluant mais sans s’y limiter, le texte et les images, sont protégés par le droit d’auteur, les marques de commerce, les marques de service, les brevets, les secrets industriels et les autres droits de propriété intellectuelle. Sauf autorisation expresse de RF-232, vous acceptez de ne pas vendre, délivrer une licence, louer, modifier, distribuer, copier, reproduire, transmettre, afficher publiquement, exécuter en public, publier, adapter, éditer ou créer d’oeuvres dérivées de ce document et de son contenu.

Bien que nous utilisions ici un vocabulaire issu des techniques informatiques, nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine.