Si vous utilisez un serveur « dorsal » Linux pour le stockage et l'accès aux fichiers ZENworks, configurez-le (avant ou après l'installation du serveur ZENworks Desktop Management) de sorte que ZENworks puisse accéder par la suite aux fichiers stockés à cet emplacement.
REMARQUE :La configuration du serveur Linux pour l'accès aux fichiers est facultative. Il est possible de configurer un serveur NetWare® ou Windows afin d'accéder aux fichiers tout en utilisant le serveur « dorsal » Linux.
Cette section fournit les informations relatives à la configuration des serveurs SUSE® Linux Enterprise Server (SLES), en lieu et place des serveurs Novell Open Enterprise Server (OES), pour accéder aux fichiers ZENworks. OES Linux contient déjà Novell eDirectory™ et permet d'accéder à son système de fichiers à l'aide de Novell Storage Services (NSS). Ainsi, il suffit de spécifier le chemin d'accès de type UNC (à savoir \\nom_serveur_OES/sys/public/....) pour les fichiers de stratégie ou d'application stockés sur le serveur Linux OES, toute autre configuration pour l'accès aux fichiers ZENworks devenant superflue.
Pour accéder aux fichiers sur un serveur SLES, configurez le logiciel du serveur Samba de manière à obtenir les informations d'authentification à partir du domaine Active Directory* ou de l'arborescence eDirectory, puis créez un ou plusieurs partages Samba sur le serveur SLES. Cette configuration permet à l'annuaire de gérer le partage.
Cette section présente une méthode de base pour procéder à l'authentification requise. Il existe plusieurs façons de configurer Samba. Pour plus d'informations, reportez-vous à la collection de manuels sur Samba.
Cette section comprend les informations suivantes :
Pour utiliser Active Directory sur le serveur SLES 9 ou SLES 10 sur lequel vous voulez installer ZENworks Management Server, autorisez l'accès CIFS basé sur annuaire aux applications et aux autres fichiers que vous souhaitez stocker sur ce serveur afin que ZENworks puisse les utiliser.
IMPORTANT :Bien que ce ne soit pas recommandé, si les utilisateurs accèdent à un serveur OES ou à un partage Samba à partir d'un poste de travail Windows sur lequel le client Novell™ est installé, Samba doit être configuré de manière à fournir un nom netBIOS autre que celui du serveur OES.
Cette section présente les informations suivantes :
Suivez les étapes ci-dessous pour configurer le serveur SLES 9 afin qu'il utilise Kerberos* pour l'authentification :
Modifiez le fichier de configuration de Kerberos (heimdal-lib version 0.6 ou supérieur) pour indiquer le nom du domaine Active Directory auquel vous désirez accéder.
Avec un éditeur de texte, ouvrez /etc/krb5.conf sur le serveur Linux.
Dans ce fichier, recherchez les lignes suivantes :
[libdefaults]
default_realm = YOUR.KERBEROS.REALM
[realms]
YOUR.KERBEROS.REALMS = {
kdc = your.kerberos.server
}
Modifiez ces lignes comme suit :
[libdefaults]
default_realm = DOMAIN_NAME
[realms]
DOMAIN_NAME = {
kdc = wins_name
admin_server = wins_name
kpasswd_server = wins_name
}
La valeur DOMAIN_NAME contenue dans l'exemple correspond au nom complet du domaine Active Directory que vous voulez joindre (par exemple, RECHERCHER.MONEMPLACEMENT.MASOCIÉTÉ.COM). Assurez-vous que vous avez bien entré ce nom en majuscules.
La valeur wins_name, utilisée sur la ligne kdc modifiée et les lignes admin_server et kpasswd_server qui ont été ajoutées, représente le contrôleur de domaine principal ou tout autre contrôleur présent dans le domaine (par exemple, DC1).
Modifiez le fichier de configuration du serveur Samba pour de spécifier l'utilisation de Kerberos pour l'authentification des utilisateurs accédant au domaine Active Directory.
Avec un éditeur de texte, ouvrez /etc/samba/smb.conf sur le serveur Linux.
Recherchez la ligne suivante dans la section Global du fichier :
security = user
Modifiez cette ligne et ajoutez-en d'autres en procédant comme suit :
security = ADS realm = YOUR.KERBEROS.REALM encrypt passwords = yes netbios name = advertised_name
La valeur YOUR.KERBEROS.REALM contenue dans l'exemple correspond au nom de domaine spécifié dans le fichier krb5.conf (reportez-vous à l'Étape 1.c).
La valeur advertised_name, sur la ligne contenant le nom netbios, correspond au nom réseau affiché pour votre serveur Samba et à son nom dans Active Directory (par exemple, monserveur_smb).
Placez le nom du serveur dans un conteneur Active Directory :
Sur la ligne de commande du serveur Linux, saisissez la commande suivante :
kinit administrator@YOUR.KERBEROS.REALM
La valeur YOUR.KERBEROS.REALM contenue dans l'exemple correspond au nom de domaine spécifié dans le fichier krb5.conf.
Sur la ligne de commande du serveur Linux, saisissez la commande suivante :
net ads join
Vous devez créer un partage Samba afin que les postes de travail Windows puissent accéder aux fichiers présents sur le serveur SLES 9 ou SLES 10.
Avec un éditeur de texte, ouvrez le fichier /etc/samba/smb.conf sur le serveur Linux et ajoutez-y les lignes suivantes :
[sharename] path = local_directory guest ok = no read only = no
La valeur sharename de la première ligne correspond au nom réseau affiché pour le partage Samba (par exemple, fichierszen).
La valeur local_directory, sur la deuxième ligne, correspond au répertoire local du serveur sur lequel le partage doit résider.
Assignez tous les utilisateurs censés accéder au partage à un seul compte Linux.
Sur la ligne de commande du serveur Linux, saisissez la commande suivante :
/usr/sbin/useradd new_account_name
Le paramètre new_account_name correspond au compte Linux qui est en cours de création (par exemple, utilisateursmb).
Recherchez le fichier /etc/samba/smbusers sur le serveur Linux.
Ajoutez la ligne suivante dans le fichier :
new_account_name = *
La valeur new_account_name, sur cette ligne, correspond au nom de compte que vous avez créé à l'Étape 2.a.
Sur la ligne de commande du serveur Linux, saisissez les commandes suivantes afin de modifier la propriété du chemin d'accès au partage :
mkdir -p directory_name
chown -R Linux_account_name directory_name
chmod 755 directory_name
La valeur directory_name est le chemin d'accès au répertoire local que vous avez spécifié à l'Étape 1.
La valeur Linux_account_name correspond au nom du nouveau compte que vous avez affecté à l'Étape 2.a.
Sur la ligne de commande du serveur Linux, saisissez la commande suivante afin de redémarrer le serveur Samba pour exécuter le fichier de configuration avec ses nouveaux paramètres :
/etc/init.d/smb restart
Pour utiliser eDirectory sur le serveur SLES 9 ou SLES 10 sur lequel vous voulez installer ZENworks Management Server, autorisez l'accès CIFS basé sur annuaire aux applications et aux autres fichiers que vous souhaitez stocker sur ce serveur afin que ZENworks puisse les utiliser.
Cette section présente les informations indispensables à la configuration du serveur SLES 9 ou SLES 10 en vue de l'utilisation de ZENworks Desktop Management dans un environnement eDirectory, notamment :
Cette section présente la procédure à suivre pour configurer un serveur SLES 9 ou SLES 10 (en tant que client LDAP) et Novell eDirectory (en tant que serveur LDAP) afin de permettre la redirection de l'authentification vers Novell eDirectory via LDAP. Son contenu suppose que Novell eDirectory 8.7.3 (ou ultérieur) est déjà installé sur le serveur SLES 9 ou SLES 10.
Une fois le serveur configuré, chaque utilisateur peut saisir ses références eDirectory afin de se loguer au serveur SLES 9 ou SLES 10.
Utilisez les procédures suivantes dans l'ordre indiqué ci-dessous :
La configuration du serveur SLES 9 ou SLES 10 pour l'authentification eDirectory requiert l'extension du schéma eDirectory existant (celui qui se trouve sur le serveur OES étant déjà étendu par l'installation de ZENworks).
L'extension de ce schéma peut s'effectuer à l'aide des utilitaires ndsschema ou ICE, présents sur le serveur SLES 9 ou SLES 10. La syntaxe de ligne de commande de ces deux utilitaires est fournie dans la présente section.
IMPORTANT :Avant d'exécuter l'utilitaire ICE, vérifiez dans ConsoleOne les propriétés de l'objet Groupe LDAP présent dans l'arborescence eDirectory que vous envisagez d'utiliser.
Cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP, cliquez sur , puis sur et désactivez l'option .
Le schéma spécifié pour l'authentification des comptes Linux est défini dans la RFC 2307. Novell contient des fichiers de schémas importés au format eDirectory classique et au format LDIF (Lightweight Data Interchange Format) utilisables pour l'extension du schéma Novell eDirectory.
Suivez les étapes ci-dessous pour étendre le schéma eDirectory dans votre environnement :
Loguez-vous en tant qu'utilisateur root sur le serveur Linux exécutant Novell eDirectory.
À l'invite bash, saisissez cd /usr/lib/nds-schema.
Exécutez un utilitaire pour étendre le schéma.
méthode « ndsschema » : À l'invite bash, saisissez la commande suivante pour étendre le schéma :
ndssch cn=admin_name.o=admin_container_name rfc2307-usergroup.sch
Méthode « ICE » : À l'invite bash, saisissez la commande suivante pour étendre le schéma :
ice -S LDIF -f rfc2307-usergroup.ldif -D LDAP -s localhost -d cn=admin_name,o=admin_container_name -W
À l'invite bash, saisissez la commande suivante :
cd /usr/share/doc/packages/samba/examples/LDAP
Cet emplacement est fourni par le paquetage RPM samba-doc. Vous pouvez aussi utiliser la commande suivante pour rechercher le fichier schema dans le paquetage RPM samba-client :
cd /usr/share/samba/LDAP
Saisissez la commande suivante pour étendre le schéma Samba à l'aide de l'utilitaire « ICE » :
ice -S LDIF -f samba-nds.schema -D LDAP -s localhost -d cn=admin_name,o=admin_container_name -W
Suivez les étapes ci-dessous afin de configurer un utilisateur proxy dans eDirectory destiné aux liaisons anonymes :
Dans ConsoleOne, créez un compte utilisateur et affectez au mot de passe la valeur nulle. Ne cliquez pas sur lorsque vous y êtes invité. Cliquez plutôt sur afin de générer les clés publique/privée.
Cliquez avec le bouton droit de la souris sur le nouvel objet Utilisateur, cliquez sur , puis sur et désélectionnez .
Cliquez avec le bouton droit de la souris sur l'objet Racine de l'arborescence, sélectionnez , puis octroyez au nouvel utilisateur les droits d'entrée Parcourir et les droits de propriété Lire et Comparer sur les attributs suivants :
Lors de la configuration de chaque attribut, vérifiez que la propriété est bien sélectionnée.
Supprimez de la liste d'attributs de cet objet Utilisateur.
Cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP, cliquez sur , puis sur et définissez ce nouvel utilisateur comme utilisateur proxy.
INDICATION :Vous ne pouvez pas accéder à l'onglet à partir de la version de ConsoleOne incluse sur le CD compagnon 1 ZENworks 7. Pour utiliser ZENworks Desktop Management correctement, vous devez télécharger les snap-ins ZENworks 7 Desktop Management pour ConsoleOne 1.3.6 sur le site Web Novell Downloads.
Suivez les instructions fournies sur le site pour installer les snap-ins.
Cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP, cliquez sur , puis sur , ensuite sélectionnez .
Lancez le Centre de contrôle YaST2.
Exécutez /sbin/yast2
Affichez le menu.
Dans le menu, sélectionnez , , puis .
À la place des étapes 1 et 2 ci-dessus, vous pouvez exécuter /sbin/yast2 ldap à partir de la ligne de commande pour ouvrir la fenêtre de configuration du client LDAP.
Ajoutez le serveur LDAP dans le champ réservé au serveur et dans la base de recherche contenant les utilisateurs. Par exemple :
Base DN : ou=utilisateurs, ou=novell
Adresses des serveurs LDAP : 127.0.0.1
Sélectionnez , puis cliquez sur pour enregistrer vos modifications.
Suivez les étapes ci-dessous pour ajouter une classe auxiliaire posixAccount dans un compte utilisateur et pour renseigner les champs obligatoires :
Dans ConsoleOne, sélectionnez un compte utilisateur et cliquez sur le bouton droit de la souris.
Sélectionnez .
Cliquez sur .
Dans la liste, sélectionnez , puis cliquez sur .
Dans la boîte de dialogue Édition générique, cliquez sur .
Renseignez les champs de la boîte de dialogue de création d'un nouveau posixAccount. Le tableau suivant présente les noms des champs, leur fonction et un exemple des données que vous pouvez y saisir.
Les attributs suivants sont requis et peuvent être ajoutés dans la page Autre de l'objet Utilisateur :
Cliquez sur pour enregistrer les modifications.
Les références Samba de chaque utilisateur géré et les références Linux standard sont conservées séparément. Suivez les étapes ci-dessous pour ajouter les références Samba d'un compte utilisateur.
Loguez-vous en tant que Root sur le serveur SLES 9 ou SLES 10 puis, à l'invite bash, saisissez la commande suivante :
smbpasswd -a username
Cette configuration invite les utilisateurs se loguant au serveur à saisir le mot de passe Samba pour accéder à celui-ci. Dans cette syntaxe, username est le nom eDirectory de l'utilisateur. Les utilisateurs doivent se placer dans le contexte défini comme DN de base lorsqu'ils configurent leurs identifiants sur un client LDAP. Pour plus d'informations, reportez-vous à Configuration du serveur SLES 9 ou SLES 10 (client LDAP).
REMARQUE :Cette procédure est une méthode de base pour la création d'un compte Samba. Il existe plusieurs utilitaires et méthodes permettant de gérer les mots de passe Linux et Samba à l'aide d'une seule commande. Pour plus d'informations, reportez-vous à la collection de manuels sur Samba.
Vous devez créer un partage Samba afin que les postes de travail Windows puissent accéder aux fichiers présents sur le serveur SLES 9 ou SLES 10.
Avec un éditeur de texte, ouvrez le fichier /etc/samba/smb.conf sur le serveur Linux et ajoutez-y les lignes suivantes :
[sharename] path = local_directory guest ok = no read only = no
La valeur sharename de la première ligne correspond au nom réseau affiché pour le partage Samba (par exemple, fichierszen).
La valeur local_directory, sur la deuxième ligne, correspond au répertoire local du serveur sur lequel le partage doit résider.
Sur la ligne de commande du serveur Linux, saisissez les commandes suivantes afin de modifier la propriété du chemin d'accès au partage :
mkdir -p directory_name
chown -R admin_user_name
chmod 755 directory_name
La valeur admin_user_name correspond au nom d'utilisateur avec lequel vous créez des stratégies et des applications dans ZENworks. Utilisez ce nom pour accéder au partage Samba.
La valeur directory_name représente le chemin d'accès au répertoire local que vous avez spécifié à l'Étape 1.
Sur la ligne de commande du serveur Linux, saisissez la commande suivante afin de redémarrer le serveur Samba pour exécuter le fichier de configuration avec ses nouveaux paramètres :
/etc/init.d/smb restart
Pour accéder à des fichiers d'application et de stratégie associés à un poste de travail sur un serveur SLES 9 à l'aide de eDirectory, vous devez marquer le partage Samba pour autoriser l'accès Guest. Pour le marquer, suivez les étapes ci-dessous.
Avec un éditeur de texte, ouvrez /etc/samba/smb.conf sur le serveur.
Recherchez la ligne suivante dans la section [sharename] du fichier :
guest ok = no
La valeur sharename correspond au nom réseau affiché pour le partage Samba (par exemple, fichierszen).
Modifiez cette ligne comme suit :
guest ok = yes
Si vous utilisez un serveur Middle Tier Windows pour accéder à des fichiers de stratégie et d'application associés à des postes de travail sur un serveur SLES 9 ou SLES 10 en utilisant la méthode eDirectory, il n'est pas nécessaire d'affecter la mention « World-read » au partage Samba (reportez-vous à l'Étape 3 ci-dessus) pour autoriser l'accès Guest. Utilisez les étapes suivantes pour autoriser l'accès aux fichiers :
Veillez à saisir les références de partage du serveur Middle Tier Windows lors de sa création pendant l'installation. Vous pouvez également les configurer sur le serveur Middle Tier à l'aide de l'utilitaire NSAdmin (références LMAUTH).
Vérifiez que le serveur Middle Tier possède les mêmes références localement.
Le serveur Middle Tier peut accéder aux fichiers ZENworks pour le compte du poste de travail, même si vous avez installé un pare-feu.
Vous pouvez modifier le fichier smb.conf afin de définir les utilisateurs dont vous souhaitez restreindre les droits de modification de fichiers. Suivez les étapes ci-dessous pour définir les utilisateurs ayant des droits d'accès restreints.
Avec un éditeur de texte, ouvrez /etc/samba/smb.conf sur le serveur.
Recherchez la ligne suivante dans la section [sharename] du fichier :
read only = no
La valeur sharename correspond au nom réseau affiché pour le partage Samba (par exemple, fichierszen).
Modifiez cette ligne comme suit :
read only = yes
À l'invite bash, saisissez la commande suivante :
write list = admin_user_name
REMARQUE :La valeur admin_user_name correspond au nom d'utilisateur (ou à une liste de noms d'utilisateurs séparés par des virgules) auquel seuls des droits Lire sont octroyés pour les fichiers du partage Samba.