Comment installer et configurer Samba sur Linux : un guide technique complet

Samba est une implémentation open-source du protocole SMB/CIFS (Server Message Block / Common Internet File System) qui permet aux serveurs Linux et Unix de partager des fichiers, des imprimantes et d’autres ressources avec des clients Windows — et avec d’autres machines Linux. Il agit comme un pont entre les systèmes d’exploitation, en faisant le standard de facto pour le partage de fichiers réseau multiplateforme dans les environnements mixtes.

Pour une réponse concise à la question principale : l’installation de Samba sur Linux nécessite l’installation du package `samba` via le gestionnaire de packages de votre distribution, la définition de blocs de partage dans `/etc/samba/smb.conf`, la création d’identifiants utilisateur spécifiques à Samba avec `smbpasswd`, et l’ouverture des ports 137–139 et 445 dans votre pare-feu. Les sections ci-dessous couvrent chaque couche de ce processus avec des détails techniques précis.

Ce que Samba fait réellement en coulisses

Samba s’exécute en tant qu’ensemble de démons. Comprendre quel démon fait quoi permet d’éviter une catégorie importante d’erreurs de mauvaise configuration :

• `smbd` — gère le partage de fichiers et d’imprimantes, l’authentification et le verrouillage des ressources sur les ports TCP 445 et 139.
• `nmbd` — gère la résolution de noms NetBIOS sur les ports UDP 137 et 138. Requis pour la navigation réseau Windows (Voisinage réseau / « Réseau » dans l’Explorateur de fichiers).
• `winbindd` — intègre Samba avec Active Directory ou les domaines NT4, permettant l’authentification des utilisateurs du domaine sur l’hôte Linux. Non requis pour le partage de fichiers autonome.

Lorsqu’un client Windows ouvre `servershare`, il résout d’abord le nom du serveur via DNS ou NetBIOS (nmbd), puis établit une session SMB avec smbd sur le port 445. Samba négocie le dialecte SMB mutuellement supporté le plus élevé — SMB 3.1.1 sur les systèmes modernes — et mappe le partage distant vers une lettre de lecteur ou un chemin UNC sur le client.

Prérequis

Avant de continuer, confirmez les éléments suivants :

• Un serveur Linux exécutant Ubuntu 20.04/22.04/24.04, Debian 11/12, CentOS Stream 8/9, RHEL 8/9, ou Fedora 38+.
• Accès root ou `sudo`.
• Une adresse IP privée statique assignée au serveur (critique pour un montage de partage stable).
• Familiarité de base avec les opérations en terminal et les permissions de fichiers.
• Accès au pare-feu (UFW, firewalld, ou iptables) pour ouvrir les ports nécessaires.

Si vous déployez Samba sur un serveur cloud ou virtuel, un environnement VPS Hosting vous donne l’accès root complet et le contrôle réseau nécessaires pour gérer les démons, les règles de pare-feu et les montages persistants sans les restrictions des environnements partagés.

Étape 1 : Installer Samba

Utilisez le gestionnaire de packages approprié à votre distribution. Mettez toujours à jour l’index des packages en premier pour éviter d’installer des versions obsolètes.

Debian / Ubuntu :

“`bash

sudo apt-get update

sudo apt-get install samba samba-common-bin

“`

CentOS Stream / RHEL :

“`bash

sudo dnf install samba samba-client samba-common

“`

Fedora :

“`bash

sudo dnf install samba samba-client samba-common

“`

Arch Linux :

“`bash

sudo pacman -S samba

“`

Après l’installation, vérifiez la version installée :

“`bash

smbd –version

“`

Sur les systèmes basés sur RHEL, installez également `samba-client` pour obtenir l’utilitaire de diagnostic `smbclient`, que vous utiliserez dans les étapes ultérieures pour les tests de connexion.

Étape 2 : Sauvegarder et modifier le fichier de configuration principal

Toute la configuration de Samba se trouve dans `/etc/samba/smb.conf`. Ce fichier unique contrôle le comportement global du serveur, le modèle de sécurité, les définitions de partage et la journalisation. Avant de le modifier, créez une sauvegarde horodatée :

“`bash

sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.backup.$(date +%F)

“`

Ouvrez le fichier pour l’éditer :

“`bash

sudo nano /etc/samba/smb.conf

“`

Le fichier est divisé en sections. La section `[global]` définit les paramètres à l’échelle du serveur. Les sections de partage individuelles (par exemple, `[sambashare]`) définissent des ressources partagées spécifiques.

Paramètres globaux critiques à examiner

Dans la section `[global]`, portez attention à ces paramètres :

“`ini

[global]

workgroup = WORKGROUP

server string = Samba Server %v

netbios name = MYSERVER

security = user

map to guest = bad user

dns proxy = no

log file = /var/log/samba/log.%m

max log size = 1000

logging = file

panic action = /usr/share/samba/panic-action %d

server role = standalone server

obey pam restrictions = yes

unix password sync = yes

passwd program = /usr/bin/passwd %u

passwd chat = *Entersnews*spassword:* %nn *Retypesnews*spassword:* %nn *passwordsupdatedssuccessfully* .

pam password change = yes

min protocol = SMB2

max protocol = SMB3

“`

Point clé : La directive `min protocol = SMB2` désactive explicitement SMB1, qui est déprécié depuis 2014 et constitue le vecteur d’exploits comme EternalBlue (MS17-010). Ne laissez jamais SMB1 activé sur un serveur de production. Les versions modernes de Windows 10/11 et tous les clients Linux CIFS actuels supportent nativement SMB2 et SMB3.

Étape 3 : Créer et préparer le répertoire partagé

Créez le répertoire qui sera exposé sur le réseau :

“`bash

sudo mkdir -p /srv/sambashare

“`

Définissez la propriété et les permissions. L’approche correcte dépend de si vous souhaitez un accès invité ou un accès authentifié uniquement.

Pour l’accès utilisateur authentifié (recommandé pour la production) :

“`bash

sudo chown root:sambashare /srv/sambashare

sudo chmod 2770 /srv/sambashare

“`

La permission `2770` se décompose comme suit :

• `2` — bit setgid : les nouveaux fichiers héritent du groupe du répertoire, évitant la fragmentation de propriété dans les partages multi-utilisateurs.
• `7` — le propriétaire (root) a les droits lecture, écriture, exécution.
• `7` — le groupe (sambashare) a les droits lecture, écriture, exécution.
• `0` — les autres n’ont aucun accès.

Pour l’accès invité/public (laboratoire domestique ou LAN interne uniquement) :

“`bash

sudo chown nobody:nogroup /srv/sambashare

sudo chmod 0777 /srv/sambashare

“`

N’utilisez pas `0777` sur des serveurs exposés à Internet. Les partages invités avec des permissions d’écriture universelle ne sont appropriés que sur des réseaux isolés et de confiance.

Étape 4 : Créer le groupe système et l’utilisateur

Pour les partages authentifiés, créez un groupe Linux dédié qui correspond à votre partage Samba :

“`bash

sudo groupadd sambashare

“`

Ajoutez l’utilisateur Linux qui accédera au partage :

“`bash

sudo useradd -M -s /sbin/nologin sambauser

sudo usermod -aG sambashare sambauser

“`

Le flag `-M` ignore la création d’un répertoire personnel (il s’agit d’un compte de service, pas d’un utilisateur interactif). Le flag `-s /sbin/nologin` empêche le compte d’être utilisé pour les connexions SSH ou console — une étape critique de renforcement de la sécurité que la plupart des tutoriels omettent.

Enregistrez maintenant l’utilisateur dans la propre base de données de mots de passe de Samba (séparée de `/etc/shadow`) :

“`bash

sudo smbpasswd -a sambauser

sudo smbpasswd -e sambauser

“`

Le flag `-a` ajoute l’utilisateur ; le flag `-e` active le compte. Samba maintient son propre magasin d’identifiants à `/var/lib/samba/private/passdb.tdb` (ou fichier `smbpasswd` selon le paramètre `passdb backend`). Un utilisateur peut exister dans Linux sans être dans la base de données de Samba, et vice versa — il doit être enregistré dans les deux.

Étape 5 : Définir le partage dans smb.conf

Ajoutez le bloc suivant à la fin de `/etc/samba/smb.conf`. Deux configurations sont présentées : une pour l’accès authentifié, une pour l’accès invité.

Partage authentifié (recommandé pour la production)

“`ini

[sambashare]

path = /srv/sambashare

comment = Authenticated Network Share

browsable = yes

writable = yes

read only = no

guest ok = no

valid users = @sambashare

create mask = 0660

directory mask = 2770

force group = sambashare

“`

Détail des paramètres :

• `valid users = @sambashare` — le préfixe `@` signifie « tout membre du groupe Linux nommé sambashare. » C’est plus évolutif que de lister des noms d’utilisateurs individuels.
• `create mask = 0660` — les nouveaux fichiers sont créés avec les permissions rw-rw—-, empêchant les fichiers lisibles par tous.
• `directory mask = 2770` — les nouveaux sous-répertoires héritent du bit setgid et des permissions de groupe.
• `force group = sambashare` — force toutes les opérations de fichiers à utiliser le groupe sambashare, quel que soit le groupe principal de l’utilisateur connecté.

Partage invité (laboratoire domestique / LAN interne)

“`ini

[public]

path = /srv/sambashare

comment = Public Network Share

browsable = yes

writable = yes

read only = no

guest ok = yes

guest account = nobody

create mask = 0664

directory mask = 0775

“`

Étape 6 : Valider la configuration

Avant de redémarrer un service, exécutez l’analyseur de configuration intégré :

“`bash

testparm

“`

`testparm` lit `smb.conf`, signale les erreurs de syntaxe et affiche la configuration effective après application des valeurs par défaut. Portez attention aux lignes `WARNING` — elles indiquent souvent des paramètres dépréciés ou des mauvaises configurations de sécurité. Une sortie propre se termine par :

“`

Loaded services file OK.

Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

“`

Si `testparm` signale des erreurs, corrigez-les avant de continuer. Redémarrer smbd avec un fichier de configuration cassé provoque l’échec silencieux du service ou son retour aux valeurs par défaut.

Étape 7 : Redémarrer et activer les démons Samba

Debian / Ubuntu :

“`bash

sudo systemctl restart smbd nmbd

sudo systemctl enable smbd nmbd

“`

CentOS / RHEL / Fedora :

“`bash

sudo systemctl restart smb nmb

sudo systemctl enable smb nmb

“`

Vérifiez que les deux démons sont en cours d’exécution :

“`bash

sudo systemctl status smbd nmbd # Debian/Ubuntu

sudo systemctl status smb nmb # RHEL/Fedora

“`

Vérifiez que les démons écoutent sur les ports corrects :

“`bash

sudo ss -tlnp | grep -E '(smbd|nmbd|445|139)'

“`

La sortie attendue devrait montrer `smbd` lié aux ports 445 et 139.

Étape 8 : Configurer les règles de pare-feu

Samba nécessite l’ouverture des ports suivants :

UFW (Debian/Ubuntu) :

“`bash

sudo ufw allow 'Samba'

sudo ufw status

“`

firewalld (CentOS/RHEL/Fedora) :

“`bash

sudo firewall-cmd –permanent –add-service=samba

sudo firewall-cmd –reload

sudo firewall-cmd –list-services

“`

iptables (manuel) :

“`bash

sudo iptables -A INPUT -p tcp –dport 445 -j ACCEPT

sudo iptables -A INPUT -p tcp –dport 139 -j ACCEPT

sudo iptables -A INPUT -p udp –dport 137:138 -j ACCEPT

“`

Note de sécurité : Si votre serveur Samba est accessible depuis Internet (non recommandé pour le partage de fichiers standard), restreignez ces règles à des plages d’IP sources spécifiques en utilisant `-s 192.168.1.0/24` ou équivalent. Exposer les ports SMB à l’Internet public est un risque de sécurité grave.

Étape 9 : Considérations SELinux (RHEL/CentOS/Fedora)

Sur les systèmes avec SELinux en mode enforcing, Samba nécessite des étiquettes de contexte supplémentaires sur les répertoires partagés. Sans celles-ci, smbd sera bloqué pour accéder au chemin même si les permissions Linux sont correctes.

“`bash

sudo setsebool -P samba_enable_home_dirs on

sudo setsebool -P samba_export_all_rw on

sudo semanage fcontext -a -t samba_share_t "/srv/sambashare(/.*)?"

sudo restorecon -Rv /srv/sambashare

“`

Vérifiez que le contexte a été appliqué :

“`bash

ls -lZ /srv/sambashare

“`

La sortie devrait afficher `system_u:object_r:samba_share_t:s0` comme contexte SELinux. Ignorer cette étape est la raison la plus courante pour laquelle les partages Samba échouent sur les systèmes de la famille RHEL — le service semble démarrer correctement, mais les clients reçoivent des erreurs « Accès refusé ».

Étape 10 : Accéder au partage depuis Windows

Sur un client Windows :

1. Ouvrez l’Explorateur de fichiers.
2. Dans la barre d’adresse, tapez : `<server-ip>sambashare` et appuyez sur Entrée.
3. Lorsque vous y êtes invité, entrez le nom d’utilisateur et le mot de passe Samba.
4. Pour rendre la connexion persistante, faites un clic droit sur le partage et sélectionnez Connecter un lecteur réseau.

Pour les déploiements scriptés ou d’entreprise, mappez le lecteur depuis la ligne de commande :

“`cmd

net use Z: 192.168.1.100sambashare /user:sambauser /persistent:yes

“`

Étape 11 : Accéder au partage depuis Linux

Utilisation de smbclient (interactif, pour les tests) :

“`bash

smbclient //192.168.1.100/sambashare -U sambauser

“`

Cela ouvre un shell interactif similaire à FTP. Utilisez `ls`, `get`, `put` et `exit` pour naviguer et transférer des fichiers.

Montage persistant du partage avec CIFS :

Installez d’abord le package d’utilitaires CIFS :

“`bash

sudo apt-get install cifs-utils # Debian/Ubuntu

sudo dnf install cifs-utils # RHEL/Fedora

“`

Créez un point de montage et un fichier d’identifiants (ne mettez jamais les mots de passe dans `/etc/fstab` en texte clair) :

“`bash

sudo mkdir -p /mnt/sambashare

sudo nano /etc/samba/credentials

“`

Dans le fichier d’identifiants :

“`

username=sambauser

password=yourpassword

domain=WORKGROUP

“`

Sécurisez le fichier d’identifiants :

“`bash

sudo chmod 600 /etc/samba/credentials

sudo chown root:root /etc/samba/credentials

“`

Ajoutez le montage à `/etc/fstab` pour la persistance après les redémarrages :

“`

//192.168.1.100/sambashare /mnt/sambashare cifs credentials=/etc/samba/credentials,uid=1000,gid=1000,iocharset=utf8,vers=3.0,_netdev 0 0

“`

L’option `_netdev` indique au système d’attendre la disponibilité du réseau avant de tenter le montage — essentiel sur les serveurs qui montent des partages réseau au démarrage. L’option `vers=3.0` force SMB3, évitant le repli vers des dialectes plus anciens.

Testez l’entrée fstab sans redémarrer :

“`bash

sudo mount -a

“`

Comparaison des versions du protocole SMB

Choisir le bon dialecte SMB affecte les performances, la sécurité et la compatibilité. Le tableau suivant résume les différences clés :

Définissez toujours `min protocol = SMB2` dans `[global]` et préférez `SMB3` lorsque tous les clients le supportent. SMB3.1.1 avec chiffrement (`smb encrypt = required`) est le choix correct pour tout partage contenant des données sensibles.

Samba vs. NFS : Choisir le bon protocole

Samba (SMB/CIFS) et NFS sont tous deux largement utilisés pour le partage de fichiers réseau basé sur Linux, mais ils servent des cas d’utilisation différents :

Si votre infrastructure est exclusivement Linux — par exemple, un cluster de Serveurs Dédiés exécutant des charges de travail conteneurisées — NFS peut offrir une latence plus faible. Pour tout environnement avec des clients Windows ou des utilisateurs macOS, Samba est le choix correct.

Pièges courants et dépannage

Le partage est visible mais renvoie « Accès refusé »

• Sur les systèmes SELinux : Vérifiez et appliquez le contexte `samba_share_t` comme décrit à l’étape 9.
• Vérifiez les permissions Linux : L’utilisateur connecté (ou le compte `nobody` pour les partages invités) doit avoir un accès en lecture/écriture au niveau du système de fichiers vers le chemin, indépendamment des ACL propres à Samba.
• Vérifiez smbpasswd : L’utilisateur doit être ajouté avec `smbpasswd -a` et activé avec `smbpasswd -e`.

Le partage n’est pas visible lors de la navigation réseau

• Confirmez que `nmbd` est en cours d’exécution : `sudo systemctl status nmbd`.
• Assurez-vous que `browsable = yes` est défini dans la définition du partage.
• Windows 10/11 a désactivé le service « Explorateur d’ordinateurs » dépendant de SMB1. Utilisez des chemins UNC directs (`ipshare`) au lieu de vous fier à la découverte réseau.

Vitesses de transfert lentes

• Forcez SMB3 avec `vers=3.0` ou `vers=3.1.1` dans les options de montage.
• Activez le grand MTU : ajoutez `socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072` à `[global]`.
• Vérifiez si le multicanal SMB est disponible : `smbstatus –verbose`.

Journaux et diagnostics

“`bash

sudo tail -f /var/log/samba/log.smbd

sudo smbstatus

sudo pdbedit -L -v # List all Samba users

“`

Samba en production : Considérations d’architecture

Pour les déploiements en production au-delà d’un simple partage de fichiers, considérez les éléments suivants :

Intégration Active Directory : Samba 4 peut fonctionner comme un contrôleur de domaine Active Directory complet, supportant LDAP, Kerberos, DNS et les stratégies de groupe. Il s’agit d’une étape architecturale significative au-delà du partage de fichiers autonome et nécessite le provisionnement `samba-ad-dc`.

Partages de répertoires personnels : Le méta-service `[homes]` dans `smb.conf` crée automatiquement un partage personnel pour chaque utilisateur authentifié, mappé vers son répertoire personnel Linux. Cela élimine le besoin de définir des blocs de partage individuels par utilisateur.

Partage d’imprimantes : Samba s’intègre avec CUPS pour partager des imprimantes sur le réseau. Les définitions de partage `[printers]` et `[print$]` gèrent cela, bien que le partage d’imprimantes soit devenu moins courant avec l’essor des services d’impression cloud.

Quotas : Samba respecte les quotas du système de fichiers Linux. Implémentez les quotas au niveau du système de fichiers en utilisant les outils `quota`, et Samba les appliquera de manière transparente.

Pour les équipes exécutant des applications web aux côtés de partages de fichiers, combiner Samba avec un VPS avec cPanel vous donne un panneau de contrôle géré pour l’hébergement web tout en conservant un accès SSH complet pour l’administration de Samba. Pour les environnements nécessitant plusieurs services d’hébergement sous un même toit, consulter les Panneaux de contrôle VPS disponibles aide à identifier la bonne couche de gestion pour votre stack.

Si votre serveur Samba héberge également du contenu web ou des données d’application, le sécuriser avec un Certificat SSL pour tous les services web associés garantit que l’ensemble du stack répond aux normes de sécurité modernes.

Liste de contrôle des points clés techniques

Utilisez cette liste de contrôle avant de considérer votre déploiement Samba prêt pour la production :

• [ ] SMB1 explicitement désactivé via `min protocol = SMB2` dans `[global]`
• [ ] Utilisateurs Samba créés avec `smbpasswd -a` et activés avec `smbpasswd -e`
• [ ] Les comptes de service utilisent `-s /sbin/nologin` pour bloquer l’accès au shell
• [ ] Les répertoires de partage utilisent le bit setgid (`chmod 2770`) pour une propriété de groupe cohérente
• [ ] `testparm` s’exécute proprement sans avertissements ni erreurs
• [ ] `smbd` et `nmbd` sont activés et en cours d’exécution
• [ ] Les règles de pare-feu restreignent les ports SMB (445, 139, 137-138) aux IP sources de confiance uniquement
• [ ] Contexte SELinux (`samba_share_t`) appliqué sur les systèmes RHEL/CentOS/Fedora
• [ ] Le fichier d’identifiants pour les montages CIFS est `chmod 600` et appartient à root
• [ ] Les entrées `/etc/fstab` utilisent l’option `_netdev` pour les montages dépendants du réseau
• [ ] Journaux Samba examinés à `/var/log/samba/` après le déploiement initial
• [ ] `smbstatus` confirme les sessions actives et les fichiers verrouillés après le déploiement

FAQ

Quels ports Samba utilise-t-il et tous doivent-ils être ouverts ?

Samba utilise TCP 445 (SMB direct, requis), TCP 139 (SMB sur NetBIOS, nécessaire pour les clients hérités) et UDP 137-138 (résolution de noms NetBIOS, nécessaire pour la navigation réseau). Pour les environnements modernes avec des clients Windows 10/11 ou Linux utilisant des chemins UNC directs, seul TCP 445 est strictement requis. UDP 137-138 et TCP 139 peuvent être bloqués si la résolution de noms NetBIOS n’est pas nécessaire.

Pourquoi mon partage Samba fonctionne-t-il depuis Linux mais renvoie « Accès refusé » depuis Windows ?

Il s’agit presque toujours d’un problème de mise en cache des identifiants côté Windows. Windows met en cache les identifiants SMB par session. Ouvrez le Gestionnaire d’identifiants (Panneau de configuration > Gestionnaire d’identifiants > Informations d’identification Windows), supprimez toutes les entrées mises en cache pour l’IP du serveur, puis reconnectez-vous. Si le problème persiste, vérifiez que l’utilisateur est activé dans la base de données de Samba avec `sudo pdbedit -L -v`.

Quelle est la différence entre `security = user` et `security = share` dans smb.conf ?

`security = share` (sécurité au niveau du partage) est déprécié et supprimé dans Samba 4. `security = user` (sécurité au niveau de l’utilisateur) est le seul mode supporté dans Samba moderne — chaque connexion est authentifiée par rapport à un nom d’utilisateur et un mot de passe spécifiques. L’accès invité est géré séparément via les directives `guest ok` et `map to guest`, et non via le paramètre `security`.

Samba peut-il coexister avec NFS sur le même serveur ?

Oui. Samba et NFS opèrent sur des ports et des protocoles entièrement différents et n’entrent pas en conflit au niveau réseau. Cependant, partager le même répertoire simultanément via les deux protocoles peut provoquer des conflits de verrouillage de fichiers, en particulier avec les opérations d’écriture. Si vous devez partager les mêmes données via les deux protocoles, utilisez un gestionnaire de verrous distribués (DLM) ou restreignez un protocole à l’accès en lecture seule.

Comment ajouter plusieurs utilisateurs à un seul partage Samba ?

Utilisez un groupe Linux. Créez le groupe (`groupadd teamshare`), ajoutez-y des utilisateurs (`usermod -aG teamshare user1`), définissez la propriété de groupe du répertoire de partage (`chown root:teamshare /srv/share`) et référencez le groupe dans `smb.conf` avec `valid users = @teamshare`. Cette approche est évolutive — ajouter un utilisateur au partage nécessite uniquement une commande `usermod` et un enregistrement `smbpasswd -a`, sans aucune modification de `smb.conf`.