OpenBSD : Introduction à Samba

Article publié, le 13 Octobre 2018 et modifié le 2 Mai 2023
9 minutes de lecture

Cet article contient 1847 mots.
Source brute de l'article :
Commit version : 37c457a

Description

La suite Samba est un ensemble de programmes qui implémentent un serveur pour les protocoles de partage de fichiers, d’imprimantes Windows (SMB /CIFS ) ainsi que de contrôleur de domaine compatible avec Active Directory.

Site web : https://www.samba.org/
OS : *OpenBSD ~~6.3~~ ⇒ 7.3
Version installée :
- 4.16.6
- 6.6, 6.7, 6.8 : 4.9.18
- 6.4, 6.5 : 4.8.5p1, 4.8.11p0

Installation

Installez le paquet samba !

Modification système

Il va être nécessaire de créer le répertoire /var/run/samba et d’attribuer les droits systèmes 0755 sur les répertoires /var/samba et /var/cache/samba.

Gestion des utilisateurs

Il faut créer un premier utilisateur qui sera autorisé :

# pdbedit -a -u $user

La commande pdbedit est utile pour gérer, non seulement les utilisateurs mais aussi pour vérifier certaines choses, grâce au jeu des options :

-a ou --create : pour créer un nouvel utilisateur ; il est nécessaire d’ajouter l’option -u avant de spécifier le nom de l’utilisateur
-L ou --list liste les différents utilisateurs gérés, dans un format simple, abrégé.
-L -v affiche toutes les informations liées aux différentes informations utilisateurs, de manière complète. La version contractée -Lv est fonctionnelle.
-c ou --account-control permet de spécifier les propriétés du compte utilisateur… plusieurs drapeaux définissent le contrôle
-D ou --drive permet de définir la lettre de mappage du lecteur réseau à utiliser, tel que -D "H: "
-h ou --homedir permet de redéfinir le chemin réseau du répertoire personnel d’un utilisateur
-l ou --log-basename=/repertoire_des_logs spécifie le répertoire du fichier journal
-s ou --configfile=nom_de_fichier_config spécifie le fichier de configuration.
-v ou --verbose est le mode verbeux
-x ou --delete pour supprimer un utilisateur…

Bien sûr, il existe d’autres options intéressantes ; lisez le manpage, installé en même temps que le logiciel samba.

Astuce

Faites coïncider les noms utilisateurs Samba avec ceux sur votre système en veillant à utiliser les mêmes mots de passe ; ça vous facilitera la vie.

Configuration

Contrairement à ce qu’on pense, la configuration n’est pas compliquée - un peu longue, mais pas compliquée ;)

Attention

Il semble que le service WINS ne soit pas supporté sous OpenBSD, donc cela ne sert à rien de modifier les options wins:* - laissez-les commenter !

Tout se fait principalement dans le fichier /etc/samba/smb.conf :

# This is the main Samba configuration file. You should read the
# smb.conf(5) manual page in order to understand the options listed
# here. Samba has a huge number of configurable options (perhaps too
# many!) most of which are not shown in this example
#
# For a step to step guide on installing, configuring and using samba, 
# read the Samba-HOWTO-Collection. This may be obtained from:
#  http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
#
# Many working examples of smb.conf files can be found in the 
# Samba-Guide which is generated daily and can be downloaded from: 
#  http://www.samba.org/samba/docs/Samba-Guide.pdf
#
# Any line which starts with a ; (semi-colon) or a # (hash) 
# is a comment and is ignored. In this example we will use a #
# for commentry and a ; for parts of the config file that you
# may wish to enable
#
# NOTE: Whenever you modify this file you should run the command "testparm"
# to check that you have not made any basic syntactic errors. 
#
#======================= Global Settings =====================================
[global]

# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH
   workgroup = Workgroup

# server string is the equivalent of the NT Description field
   server string = Samba Server

# Server role. Defines in which mode Samba will operate. Possible
# values are "standalone server", "member server", "classic primary
# domain controller", "classic backup domain controller", "active
# directory domain controller".
#
# Most people will want "standalone server" or "member server".
# Running as "active directory domain controller" will require first
# running "samba-tool domain provision" to wipe databases and create a
# new domain.
   server role = standalone server

# This option is important for security. It allows you to restrict
# connections to machines which are on your local network. The
# following example restricts access to two C class networks and
# the "loopback" interface. For more examples of the syntax see
# the smb.conf man page
;   hosts allow = 192.168.1. 192.168.2. 127.

# Uncomment this if you want a guest account, you must add this to /etc/passwd
# otherwise the user "nobody" is used
;  guest account = pcguest

# this tells Samba to use a separate log file for each machine
# that connects
   log file = /var/log/samba/smbd.%m

# Put a capping on the size of the log files (in Kb).
   max log size = 50

# Specifies the Kerberos or Active Directory realm the host is part of
;   realm = MY_REALM

# Backend to store user information in. New installations should 
# use either tdbsam or ldapsam. smbpasswd is available for backwards 
# compatibility. tdbsam requires no further configuration.
;   passdb backend = tdbsam

# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting.
# Note: Consider carefully the location in the configuration file of
#       this line.  The included file is read at that point.
;   include = /usr/local/samba/lib/smb.conf.%m

# Configure Samba to use multiple interfaces
# If you have multiple network interfaces then you must list them
# here. See the man page for details.
;   interfaces = 192.168.12.2/24 192.168.13.2/24 

# Where to store roving profiles (only for Win95 and WinNT)
#        %L substitutes for this servers netbios name, %U is username
#        You must uncomment the [Profiles] share below
;   logon path = \\%L\Profiles\%U

# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable it's WINS Server
;   wins support = yes

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
#       Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
;   wins server = w.x.y.z

# WINS Proxy - Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client, for this to work there must be
# at least one  WINS Server on the network. The default is NO.
;   wins proxy = yes

# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The default is NO.
   dns proxy = no 

# These scripts are used on a domain controller or stand-alone 
# machine to add or delete corresponding unix accounts
;  add user script = /usr/sbin/useradd %u
;  add group script = /usr/sbin/groupadd %g
;  add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
;  delete user script = /usr/sbin/userdel %u
;  delete user from group script = /usr/sbin/deluser %u %g
;  delete group script = /usr/sbin/groupdel %g


#============================ Share Definitions ==============================
[homes]
   comment = Home Directories
   browseable = no
;   follow symlinks = yes
;   wide links = yes
   writable = yes

(…)

Les options importantes en terme de sécurité sont :

hosts allow permet de restreindre l’accès à un réseau local, une adresse IP précise, et empêchera tout autre hôte à se connecter.
interfaces permet de cibler sur quelle interface réseau les services de Samba seront diffusés et autorisés.
valid users permet de spécifier quels utilisateurs ou groupe d’utilisateurs ont le droit d’accéder aux différents partages, ou services fournis.

Attention

Garder à l’esprit que le fichier de configuration est, de base, minimaliste, et dans l’état n’offre aucune sécurité !

J’attire votre attention sur le manpage très long de smb.conf(5), disponible de par l’installation du paquet samba.

Pour les besoins de test de fonctionnement, ne pas toucher au reste de la configuration…

Test

La commande testparm est utile pour vérifier que le configuration du fichier soit correcte.

À exécuter AVANT de démarrer le service, et APRÈS toute modification…

Weak crypto allowed

Si testparm se plaint du message suivant : Weak crypto is allowed
Sachez qu’il n’est rien possible de faire, à moins d’utiliser le mode FIPS seulement.

Cela ne signifie pas que Samba utilise une cryptographie faible, ou qu’elle est permise. Dans les faits, Samba utilise GnuTLS, qui dans des contextes de compatibilité, basculera sur de faibles algorithmes cryptographiques autorisés par GnuTLS.

Et, oui, le message n’est pas clair !

Pour plus d’informations:

lire la MR #12537
le thread “weak crypto is allowed” et suivre les messages.

Limites systèmes

Il est nécessaire de reconfigurer les limites systèmes en ajoutant :

le fichier /etc/login.conf.d/samba pour y ajouter le bloc suivant :

samba:\
    :openfiles-max=16384:\
    :tc=daemon:

le fichier /etc/sysctl.conf pour modifier de manière permanente kern.maxfiles :
kern.maxfiles=16384

Ces modifications systèmes nécessitent au plus simple de redémarrer votre machine !

PF

Les règles pour le pare-feu PF sont très simples à paramétrer :

# lan: IPv4
lan="192.168.1.0/24"
# adress IPv4 of my host
myhost="192.168.1.1" 

smb_ports_tcp = "{ 135 137 139 445 }"
smb_ports_udp = "{ 135 137 138 445 }"
(...)
pass in quick on egress  proto tcp from $lan  to $myhost   port $smb_ports_tcp flags S/SA modulate state
pass in quick on egress  proto udp from $lan  to $myhost   port $smb_ports_udp allow-opts
pass in quick on egress inet  proto udp from $myhost  to $lan  port 138 allow-opts

pass out quick on egress  proto tcp from $myhost to $lan  port $smb_ports_tcp flags S/SA modulate state
pass out quick on egress  proto udp from $myhost to $lan  port $smb_ports_udp allow-opts

Elles sont à configurer et sur le serveur Samba, et sur votre station.

Bien sûr, ces règles sont un exemple ; il faut les adapter à vos besoins.

Astuce

Faire de même pour la pile IPv6 - afin de différencier facilement les règles relatives aux deux couches réseau - même si PF sait très bien gérer, avec une règle simple…

Dépannage

6.5: smbd(timeouts)

Sous OpenBSD 6.5, il y a un problème avec le lancement de Samba, créant des timeouts.

J’explique sur le forum de la communauté française “OpenBSD Pour Tous” la raison et le fait qu’il est nécessaire de lancer à nouveau le service samba ; pas de le relancer, juste le démarrer !

# rcctl start samba
smbd(timeout)

# rcctl check samba
smbd(ok)
nmbd(failed)

# rcctl start samba
nmbd(ok)

#rcctl check samba
smbd(ok)
nmbd(ok)

Il est possible de vérifier que les processus soient bien lancés :
$ ps auxw | grep mbd
(faites le après le timeout et après la deuxième exécution du start, vous comprendrez !)

Documentations

Manpages

man 8 pdbedit, man 5 smb.conf

Samba

Ainsi que le met en exergue le manpage de smb.conf, il est fortement conseillé de lire les deux guides suivants, fournis par le projet :

Sur le wiki officiel
le Guide Samba-HOWTO-Collection à-propos des différentes étapes d’installation, de configuration et d’usage de Samba.
le Guide Samba qui fournit beaucoup d’exemples…

Ces guides sont basés sur Samba v3. Et, même si nous utilisons une version supérieure, il y a toujours quelque chose de bon à en tirer, à en apprendre…

Localement sur le système, retrouvez les fichiers de :

pkg-readme : /usr/local/share/doc/pkg-readmes/samba
et d’exemple : /usr/local/share/examples/samba/smb.conf.default

Enjoy-ID
Enjoy-IT!