Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Contoleur de domaine Samba

neowdj

bonjour

j'ai créer un controleur de domaine samba et je voudrait savoir si il existe un backoffice d'administration en php par ex

Aiolizator

Salut, tu peux essayer SWAT.

neowdj

impossible de le demarer

# default: off
# description: SWAT is the Samba Web Admin Tool. Use swat \
#              to configure your Samba server. To use SWAT, \
#              connect to port 901 with your favorite web browser.
service swat
{
        port            = 901
        socket_type     = stream
        wait            = no
      only_from       = 127.0.0.1
        user            = root
        server          = /usr/sbin/swat
        log_on_failure  += USERID
        disable         = yes
}

j'ai bien démarer xinetd masi le port 901 ne fonctionne pas

es ce que ca vient de mes iptables ?

neowdj

d'apres ce que je vois c'est la meme chose que dans le webmin, je me trompe ?

moi je voudrai configurer les autorisations de chaque post client (operateur de sauvegarde, controleur de domaine...) comme un AD sous windobe

eponyme

salut
Tu as le disable a true. Donc ca ne peut pas fonctionner. Il ne faut pas toucher à ca a la main.
En tapant :

# service swat start

ce flag passera à false.
Le service xinetd doit aussi tourner.
De plus il te faut effectivement le port 901 ouvert. (ouvre le via system-config-firewall).

Il y a aussi system-config-samba qui existe, mais personnellement je préfère SWAT.

epo

neowdj

[root@CERBER ~]# service swat start
swat: service non reconnu

neowdj

c'est les config par default, j'ai rien changé

ps : je suis sur un serveur avec SSH

# Generated by iptables-save v1.3.5 on Thu Jan 10 18:37:40 2002
*nat
:PREROUTING ACCEPT [4931:917585]
:POSTROUTING ACCEPT [47:7006]
:OUTPUT ACCEPT [71:8556]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.3 
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.3 
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 10001 -j DNAT --to-destination 192.168.1.3 
-A PREROUTING -i ppp0 -p udp -m udp --dport 10001 -j DNAT --to-destination 192.168.1.3 
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4662 -j DNAT --to-destination 192.168.1.3 
-A PREROUTING -i ppp0 -p udp -m udp --dport 4672 -j DNAT --to-destination 192.168.1.3 
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Thu Jan 10 18:37:41 2002
# Generated by iptables-save v1.3.5 on Thu Jan 10 18:37:41 2002
*mangle
:PREROUTING ACCEPT [3299903:3152507293]
:INPUT ACCEPT [36362:12272393]
:FORWARD ACCEPT [26199068:25108427939]
:OUTPUT ACCEPT [7002:947446]
:POSTROUTING ACCEPT [26218227:25113463780]
COMMIT
# Completed on Thu Jan 10 18:37:41 2002
# Generated by iptables-save v1.3.5 on Thu Jan 10 18:37:41 2002
*filter
:INPUT DROP [42:3253]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:1044]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -j bad_packets 
-A INPUT -d 224.0.0.1 -j DROP 
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -j ACCEPT 
-A INPUT -d 192.168.1.255 -i eth0 -j ACCEPT 
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT 
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i ppp0 -p tcp -j tcp_inbound 
-A INPUT -i ppp0 -p udp -j udp_inbound 
-A INPUT -i ppp0 -p icmp -j icmp_packets 
-A INPUT -m pkttype --pkt-type broadcast -j DROP 
-A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP " 
-A FORWARD -j bad_packets 
-A FORWARD -i eth0 -p tcp -j tcp_outbound 
-A FORWARD -i eth0 -p udp -j udp_outbound 
-A FORWARD -i eth0 -j ACCEPT 
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -d 192.168.1.3 -i ppp0 -p udp -m udp --dport 4672 -j ACCEPT 
-A FORWARD -d 192.168.1.3 -i ppp0 -p tcp -m tcp --dport 110 -j ACCEPT 
-A FORWARD -d 192.168.1.3 -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT 
-A FORWARD -d 192.168.1.3 -i ppp0 -p tcp -m tcp --dport 10001 -j ACCEPT 
-A FORWARD -d 192.168.1.3 -i ppp0 -p udp -m udp --dport 10001 -j ACCEPT 
-A FORWARD -d 192.168.1.3 -i ppp0 -p tcp -m tcp --dport 4662 -j ACCEPT 
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP " 
-A OUTPUT -p icmp -m state --state INVALID -j DROP 
-A OUTPUT -s 127.0.0.1 -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -s 192.168.1.2 -j ACCEPT 
-A OUTPUT -o eth0 -j ACCEPT 
-A OUTPUT -o ppp0 -j ACCEPT 
-A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP " 
-A bad_packets -s 192.168.1.0/255.255.255.0 -i ppp0 -j LOG --log-prefix "fp=bad_packets:2 a=DROP " 
-A bad_packets -s 192.168.1.0/255.255.255.0 -i ppp0 -j DROP 
-A bad_packets -m state --state INVALID -j LOG --log-prefix "fp=bad_packets:1 a=DROP " 
-A bad_packets -m state --state INVALID -j DROP 
-A bad_packets -p tcp -j bad_tcp_packets 
-A bad_packets -j RETURN 
-A bad_tcp_packets -i eth0 -p tcp -j RETURN 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP " 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A bad_tcp_packets -p tcp -j RETURN 
-A icmp_packets -p icmp -f -j LOG --log-prefix "fp=icmp_packets:1 a=DROP " 
-A icmp_packets -p icmp -f -j DROP 
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP 
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT 
-A icmp_packets -p icmp -j RETURN 
-A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT 
-A tcp_inbound -p tcp -m tcp --dport 443 -j ACCEPT 
-A tcp_inbound -p tcp -m tcp --dport 22 -j ACCEPT 
-A tcp_inbound -p tcp -m tcp --dport 6891:6900 -j ACCEPT 
-A tcp_inbound -p tcp -m tcp --dport 4662 -j ACCEPT 
-A tcp_inbound -p tcp -j RETURN 
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT 
-A tcp_inbound -p tcp -m tcp --dport 10001 -j ACCEPT 
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT 
-A tcp_outbound -p tcp -j ACCEPT 
-A udp_inbound -p udp -m udp --dport 137 -j DROP 
-A udp_inbound -p udp -m udp --dport 138 -j DROP 
-A udp_inbound -p udp -m udp --sport 67 --dport 68 -j ACCEPT 
-A udp_inbound -p udp -j RETURN 
-A udp_inbound -p udp -m udp --dport 4672 -j ACCEPT 
-A udp_inbound -p udp -m udp --dport 10001 -j ACCEPT 
-A udp_outbound -p udp -j ACCEPT 
COMMIT
# Completed on Thu Jan 10 18:37:41 2002

eponyme

neowdj wrote:

[root@CERBER ~]# service swat start
swat: service non reconnu

au temps pour moi :

chkconfig swat on

Cela activera le service.

Pour la config du parefeu, meme avec ssh tu peux utiliser les outils Fedora. Soit system-config-firewall via X forwarding, soit avec le system-config-firewall-tui.

epo

neowdj

toujours mais d'apres ce que je vois c'est la meme chose que dans le webmin, je me trompe ?

moi je voudrai configurer les autorisations de chaque post client (operateur de sauvegarde, controleur de domaine...) comme un AD sous windobe

MikeBrant

bonsoir,
faudrait peut-être enlever le paramètre 'disable=yes':

service swat
{
  port = 901
  socket_type = stream
  wait = no
  only_from = 127.0.0.1
  user = root
  server = /usr/sbin/swat
  log_on_failure += USERID
} swat

et il faut rajouter dans le fichier /etc/services cette ligne:( si elle ne l'est déjà pas)

swat 901/tcp

et ca devrait peut-être marcher?

neowdj

résolue merci