Profils itinérants pour clients Windows sur un serveur Linux

Profils itinérants pour clients Windows sur un serveur Linux - Management du SI - Systèmes & Réseaux Pro

Marsh Posté le 04-01-2012 à 17:49:25    

Bonjour
 
Je souhaite mettre en place des profils itinérants pour des clients Windows 7 sur un serveur Ubuntu.
J'ai fait quelques recherches, mais je n'ai pas trouvé de documentation à ce sujet. A croire que ce n'est pas possible...
Pourriez-vous m'indiquer comment je dois m'y prendre ? Avez-vous des liens vers des ressources intéressantes ?
 
Merci d'avance pour votre aide.


---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 04-01-2012 à 17:49:25   

Reply

Marsh Posté le 04-01-2012 à 18:08:32    

Percise un peu ton environnement ...
Tu es en domaine ? AD ou SaMBa ?
 
Et si c'est possible.


---------------
www.google.fr  
Reply

Marsh Posté le 04-01-2012 à 22:10:47    

Merci de ta réponse  :)  
 
Non, pas de contrôleur de domaine, pas d'AD, pas de Samba, pas d'LDAP. Tout est à faire !
 
Je dispose d'un serveur (presque) vierge sous Ubuntu.


---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 05-01-2012 à 08:04:40    

Tu comptes mettre en place un domaine ou pas ? Sous AD ou SaMBa ?
Commence par le commencement, domaine / DNS puis ensuite tu gères tes users ...
Pourrais tu préciser l’intérêt, dans ta config, des profils itinérants ?
 


---------------
www.google.fr  
Reply

Marsh Posté le 05-01-2012 à 09:11:53    

Bonjour,
 
Oui, je vais mettre en place un domaine, mais pas d'AD car l'entreprise ne souhaite pas acheter de licence Windows Server.
Le but est que les utilisateurs puissent retrouver leurs documents, préférences, et marque-pages et ce, quel que soit l'ordinateur qu'ils utiliserons.


---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 05-01-2012 à 09:25:42    

Sont ils amené à bouger beaucoup ?
J'ai vu ( dans ma courte Xp professionnel) très peu de cas ou il était pratique et viable d'utiliser cette solution ...
Ca peut vite être très lourd au démarrage ( PST / Bureau et doc ) ..
 
Dans tous les cas, commence par le commencement : Domaine.


Message édité par boobaka le 05-01-2012 à 09:25:59

---------------
www.google.fr  
Reply

Marsh Posté le 05-01-2012 à 10:00:17    

Ils peuvent avoir besoin de se déplacer de temps en temps.
 
Même avec Windows 7 ?

Citation :

Le fait de recopier ou de télécharger tout le profil à partir du serveur pourrait être pénalisant pour réseau. En effet, si 500 utilisateurs ouvrent une session avec leurs comptes itinérant en même temps, votre bande passante réseau pourrait être rapidement diminuée. Cette situation pouvait se produire avec Windows 2000, mais pas avec Windows Server 2003 et Windows XP. En effet, Avec les dernières versions de Windows, le profil n'est plus téléchargé ou envoyé sur le serveur, mais synchronisé, un peu à la manière des fichiers hors-connexion. Ainsi, seul les fichiers qui ont été modifiés seront transféré de l'ordinateur vers le serveur. De cette manière les ouvertures/fermetures de session sont beaucoup plus rapide que dans les versions antérieures de Windows.
 
Source : http://www.labo-microsoft.org/arti [...] tas/0/#st5


---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 05-01-2012 à 10:15:48    

Oui mais si tu changes de postes, tu retelecharges tout ... et si tu ne changes pas de postes, ça ne sers pas à grand chose, amha.
Le problèmes n'est pas tant les petits fichiers que les PST ...
Tu es comment en messagerie ?
 
Monte d'abord ton domaine.
 


---------------
www.google.fr  
Reply

Marsh Posté le 06-01-2012 à 09:43:07    

Bonjour,
 
Ne serait-il pas intéressant d'utiliser la redirection de dossier pour les PST ?

Citation :

Vous pouvez également utiliser la redirection de dossier (voir chapitre 2) pour les dossiers susceptibles d'être gros, comme par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de dossier, le système de synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces dossiers, vos ouvertures de session seront beaucoup plus rapide.
 
Source : http://www.labo-microsoft.org/arti [...] tas/0/#st2


Pour la messagerie, elle est sur un autre serveur (Dovecot + Postfix + ClamAV + SpamAssassin), les utilisateurs se servent du client Microsoft Outlook 2010.
 
Petite précision, il n'y aura qu'une vingtaine de postes, le réseau est en gigabit et le serveur est un Bi-Xeon Quad Core X5570 en RAID 6 (300 Mo/s).
 
Je monterai le domaine lundi et ne manquerai pas de vous tenir au courant.


---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 06-01-2012 à 09:49:29    

Non les PST tu les ouvres pas depuis le réseau

Reply

Marsh Posté le 06-01-2012 à 09:49:29   

Reply

Marsh Posté le 06-01-2012 à 10:37:09    

Reply

Marsh Posté le 06-01-2012 à 10:45:00    

En substance : Perf, support MS, PST corrompu etc etc ... Bref ça ne se fait pas c'est tout. Maintenant libre a toi de tester par toi même.


---------------
www.google.fr  
Reply

Marsh Posté le 06-01-2012 à 10:52:00    

Quelle serait la solution dans ce cas  :??:


Message édité par Blaise18 le 06-01-2012 à 10:52:17

---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 06-01-2012 à 10:59:30    

les avoir en local

Reply

Marsh Posté le 06-01-2012 à 12:07:32    

Je@nb a écrit :

les avoir en local


+1...
Ecarte les pst des profils errants sinon tu risque d'avoir de gros soucis....


---------------
Ustea ez da jakitea
Reply

Marsh Posté le 06-01-2012 à 12:26:19    

Blaise18 a écrit :

Je dispose d'un serveur (presque) vierge sous Ubuntu.


Je note :
- presque
- Ubuntu
 
Donc déjà le presque il consiste en quoi ?
 
Ensuite pour Ubuntu tu l'as déjà bien utilisé ou non ? As-tu la possibilité de passer sur autre chose ?
 
Disposes-tu d'un LDAP ? déjà là c'est non, donc à faire. Voir notamment ici.
 
Une fois que tu disposes d'un LDAP, il est relativement simple de le faire sur Debian (exemple pour Etch, valable pour Lenny, pour squeeze quelques changements au niveau de samba)
 
Si tes clients sont en Windows 7, il y a quelques modifs à faire.
 
---------------------------------------------------
 
Pour la pratique : comme les autres, je ne suis pas sûr que cela te convienne. Autant une centralisation des logins est intéressante (voire obligé suivant les cas), autant les profils itinérants ne sont valables que si tu n'as que peu de données à transmettre à chaque fois.
S'il t'est possible :
- au niveau messagerie d'utiliser de l'Exchange ou de l'IMAP avec les données sur le serveur de messagerie
- au niveau données d'avoir un serveur dédié pour cela (en plus de celui qui contient les profils)
là ça peut être viable.
 
Au final, pour 20 postes, une faible itinérance des utilisateurs d'un poste à un autre, ce n'est pas très utile.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 26-01-2012 à 11:35:35    

Bonjour,
 
Tout d'abord, merci de vos réponses !
J'ai eu d'autres priorités ces derniers temps, mais me revoilà  :)  
 
En ce qui concerne Ubuntu, le serveur est déjà en production et je n'ai pas la possibilité de changer d'OS.
 
Le domaine et LDAP (+ Gosa pour la gestion de l'annuaire) sont installés. Par contre je galère avec smbldap-tools.
 
J'ai suivi le guide que bardiel m'a conseillé, mais j'ai un problème à l'étape "Installation et configuration de smbldap-tools"
Lorsque je tape net getlocalsid j’obtiens les erreurs suivantes :

[2012/01/26 11:02:38,  0] passdb/secrets.c:914(fetch_ldap_pw)
  fetch_ldap_pw: neither ldap secret retrieved!
[2012/01/26 11:02:38,  0] lib/smbldap.c:1046(smbldap_connect_system)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
[2012/01/26 11:02:39,  0] passdb/secrets.c:914(fetch_ldap_pw)
  fetch_ldap_pw: neither ldap secret retrieved!
[2012/01/26 11:02:39,  0] lib/smbldap.c:1046(smbldap_connect_system)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
[2012/01/26 11:02:40,  0] passdb/secrets.c:914(fetch_ldap_pw)
  fetch_ldap_pw: neither ldap secret retrieved!
[2012/01/26 11:02:40,  0] lib/smbldap.c:1046(smbldap_connect_system)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
[2012/01/26 11:02:41,  0] passdb/secrets.c:914(fetch_ldap_pw)
  fetch_ldap_pw: neither ldap secret retrieved!
[2012/01/26 11:02:41,  0] lib/smbldap.c:1046(smbldap_connect_system)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
^C


 
Je vous laisse mes fichiers de config.
 
/etc/ldap/slapd.conf :

Code :
  1. include         /etc/ldap/schema/core.schema
  2. include         /etc/ldap/schema/cosine.schema
  3. include         /etc/ldap/schema/inetorgperson.schema
  4. include         /etc/ldap/schema/nis.schema
  5. include         /etc/ldap/schema/samba3.schema
  6. include         /etc/ldap/schema/gosystem.schema
  7. include         /etc/ldap/schema/gofon.schema
  8. include         /etc/ldap/schema/goto.schema
  9. include         /etc/ldap/schema/goto-mime.schema
  10. # Note: before 2.6.5 this file was named gosa+samba3.schema
  11. include         /etc/ldap/schema/gosa-samba3.schema
  12. include         /etc/ldap/schema/gofax.schema
  13. include         /etc/ldap/schema/goserver.schema
  14. #schemacheck    on
  15. password-hash   {CRYPT}
  16. pidfile         /var/run/slapd/slapd.pid
  17. argsfile        /var/run/slapd/slapd.args
  18. loglevel        256
  19. modulepath      /usr/lib/ldap
  20. moduleload      back_bdb
  21. moduleload      back_monitor
  22. backend         bdb
  23. database        monitor
  24. access to dn.subtree=cn=Monitor
  25.          by * read
  26. access to dn.subtree=""
  27.          by dn.regex="cn=admin,dc=domaine,dc=com" read
  28. database        bdb
  29. cachesize       10000
  30. #checkpoint     512 720
  31. mode            0600
  32. suffix          "dc=domaine,dc=com"
  33. rootdn  "cn=admin,dc=domaine,dc=com"
  34. rootpw {SSHA}5PuANMbVhvCuo0lcnFmfHPTrkON5zXTo
  35. index   uid,mail                                eq
  36. index   gosaMailAlternateAddress                eq
  37. index   gosaMailForwardingAddress               eq
  38. index   cn,sn,givenName,ou                      pres,eq,sub
  39. index   objectClass                             pres,eq
  40. index   uidNumber,gidNumber,memberuid           eq
  41. index   gosaSubtreeACL,gosaObject,gosaUser      pres,eq
  42. index   sambaSID                                eq,sub
  43. index   sambaPrimaryGroupSID                    eq
  44. index   sambaDomainName                         eq
  45. directory       "/var/lib/ldap"
  46. lastmod off
  47. access to attrs=userPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPwdCanChange,shadowMax,shadowExpire
  48.          by dn="cn=admin,dc=domaine,dc=com" write
  49.          by dn="uid=samba,ou=DSA,dc=domaine,dc=com" write
  50.          by anonymous auth
  51.          by self write
  52.          by * none
  53. access to attrs=goImapPassword
  54.          by dn="cn=admin,dc=domaine,dc=com" write
  55.          by * none
  56. access to attrs=goKrbPassword
  57.          by dn="cn=admin,dc=domaine,dc=com" write
  58.          by * none
  59. access to attrs=goFaxPassword
  60.          by dn="cn=admin,dc=domaine,dc=com" write
  61.          by * none
  62. access to attrs=gotoLastUser
  63.          by * write
  64. access to attrs=sambaLmPassword,sambaNtPassword
  65.          by dn="cn=admin,dc=domaine,dc=com" write
  66.          by dn="uid=samba,ou=DSA,dc=domaine,dc=com" write
  67.          by anonymous auth
  68.          by self write
  69.          by * none
  70. access to dn.regex="ou=incoming,dc=domaine,dc=com"
  71.          by dn="cn=terminal-admin,dc=domaine,dc=com" write
  72.          by dn="cn=admin,dc=domaine,dc=com" write
  73. access to dn.sub="ou=incoming,dc=domaine,dc=com"
  74.          by dn.regex="cn=terminal-admin,dc=domaine,dc=com" write
  75.          by dn="cn=admin,dc=domaine,dc=com" write
  76. access to dn="ou=(people|groups|computers),dc=domaine,dc=com"
  77.          by dn="cn=admin,dc=domaine,dc=com" write
  78.          by dn="uid=samba,ou=DSA,dc=domaine,dc=com" write
  79.          by * read
  80. access to *
  81.          by dn="cn=admin,dc=domaine,dc=com" =wrscx
  82.          by * read
  83.          by anonymous auth


 
/etc/samba/smb.conf :

Code :
  1. [global]
  2.   workgroup = domaine
  3.   server string = %h server (Samba, Ubuntu)
  4.   dns proxy = no
  5.   log file = /var/log/samba/log.%m
  6.   max log size = 1000
  7.   syslog = 0
  8.   panic action = /usr/share/samba/panic-action %d
  9.   security = user
  10.   encrypt passwords = true
  11.   passdb backend = ldapsam:ldap://127.0.0.1/
  12.   obey pam restrictions = yes
  13.   unix password sync = yes
  14.   passwd program = /usr/bin/passwd %u
  15.   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
  16.   pam password change = yes
  17.   map to guest = bad user
  18.   logon path =
  19.   logon home =
  20.   add user script = /usr/sbin/smbldap-useradd -m "%u"
  21.   delete user script = /usr/sbin/smbldap-userdel "%u"
  22.   add machine script = /usr/sbin/smbldap-useradd -w "%u"
  23.   add group script = /usr/sbin/smbldap-groupadd -p "%g"
  24.   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
  25.   usershare allow guests = yes
  26.   ldap passwd sync = Yes
  27.   ldap admin dn = "cn=admin"
  28.   ldap suffix = dc=domaine,dc=com
  29.   ldap group suffix = ou=Group
  30.   ldap user suffix = ou=People
  31.   ldap machine suffix = ou=Computers
  32.   ldap delete dn = Yes
  33.   add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
  34.   delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
  35.   set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
  36.   case sensitive = No
  37.   default case = lower
  38.   preserve case = yes
  39.   short preserve case = Yes
  40.   socket options = TCP_NODELAY
  41.   ldap ssl = off
  42. [printers]
  43.   comment = All Printers
  44.   browseable = no
  45.   path = /var/spool/samba
  46.   printable = yes
  47.   guest ok = no
  48.   read only = yes
  49.   create mask = 0700
  50. [print$]
  51.   comment = Printer Drivers
  52.   path = /var/lib/samba/printers
  53.   browseable = yes
  54.   read only = yes
  55.   guest ok = no
  56. [samba]
  57.   path = /Samba
  58.   browseable = yes
  59.   writable = yes
  60.   valid users = %S


 
Merci pour votre aide.


---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Marsh Posté le 26-01-2012 à 12:05:28    

Quelques précisions :
 
Si je ne mets pas la ligne ldap ssl = off, j'obtiens l'erreur suivante :

root@TOOSRV-01:/etc/smbldap-tools# net getlocalsid
[2012/01/26 11:57:00,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Protocol error
[2012/01/26 11:57:01,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Protocol error
[2012/01/26 11:57:02,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Protocol error
[2012/01/26 11:57:03,  0] lib/smbldap_util.c:310(smbldap_search_domain_info)
  smbldap_search_domain_info: Adding domain info for TOOSRV-01 failed with NT_STATUS_UNSUCCESSFUL
SID for domain TOOSRV-01 is: S-1-5-21-790591876-262173494-314407547


Par contre, dans tous les cas, lorsque je lance la commande ldapsearch -x -b "dc=domaine,dc=com", tout le contenu de mon LDAP est listé.


Message édité par Blaise18 le 26-01-2012 à 12:06:38

---------------
http://blaisephoto.fr | La MX Revolution disséquée
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed