Aller à : navigation, rechercher

SAMBA - Centos - Installation d'un AD Samba pour un nouveau domaine


Pour accéder aux autres documentations Samba4, cliquez ici : Autres documentations Samba

Besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it

Prérequis

Cette documentation se base sur la distribution CentOS7

Les paquets Samba de la distribution Centos ne contient pas la partie Active Directory.

Dans les instructions décrites ci-dessous, on prendra le domaine mondomaine.lan qui sera à remplacer avec votre propre nom de domaine (éviter d'employer un suffixe en .com, .fr, etc ; nous suggérons .lan et ça marchera très bien).

Installer une CentOS7 de base

La première étape consiste à installer le système avec le strict minimum, donc uniquement avec le service SSH installé.

Il faut mettre la machine en ip fixe, sinon le fichier /etc/resolv.conf sera écrasé par le client dhcp lors de la mise à jour du bail.

Installation de SaMBa4

Préparer une configuration réseau propre

Modifier le fichier /etc/hostname pour qu'il contienne le nom FQDN (nom + suffixe DNS du réseau local) de la machine

 srvads.mondomaine.lan

Modifier le fichier /etc/hosts pour qu'il contienne la résolution DNS du FQDN de la machine sur son ip (ie pas 127.0.0.1), avec le nom long puis le nom court

 127.0.0.1      localhost
 192.168.1.11   srvads.mondomaine.lan      srvads

Rebooter la machine pour prendre en compte ce nouveau nom de machine (un hostname -F /etc/hostname n'a pas l'air de suffire pour le script samba qui récupère toujours l'ancien nom...)

 reboot

Installer samba

Dans cette documentation nous allons utiliser les paquets RPM Samba Tranquil IT Systems, vous trouverez sur ce lien comment installer samba en dernière version sous Centos, ou comment compiler Samba.

Prérequis

Pour simplifier l'installation et la configuration, nous allons désactiver SeLinux et la Firewall

  • Désactivation SeLinux, dans le fichier /etc/selinux/config, remplacer la ligne suivante puis rebooter
 SELINUX=disabled
  • Désactiver le firewall
 systemctl stop firewalld
 systemctl disable firewalld
  • Suppression de Avahi Daemon (protocol mdns / bonjour)
 systemctl stop avahi-daemon.service
 systemctl disable avahi-daemon.service
 systemctl stop avahi-daemon.socket
 systemctl disable avahi-daemon.socket

Installation des paquets

Nos rpm sont actuellement validés pour Centos 7 64 Bits.

 echo "[tis-samba]
 name=tis-samba
 baseurl=http://samba.tranquil.it/centos7/stable/
 gpgcheck=0" > /etc/yum.repos.d/tissamba.repo
 yum install samba samba-winbind samba-winbind-clients krb5-workstation

Créer un domaine Active Directory sous Samba

Configuration kerberos locale, modification du fichier /etc/krb5.conf, supprimer tout ce qu'il y a dedans et rajouter les lignes suivantes. Attention de bien mettre le nom du domaine en majuscule.

 [libdefaults]
  dns_lookup_realm = false
  dns_lookup_kdc = true
  default_realm = MONDOMAINE.LAN

Effacer le fichier smb.conf s'il a déjà été généré (il va être régénéré par la commande de provisionning samba-tool juste après)

 rm -f /etc/samba/smb.conf

Création du passage du Samba4 en DC. Dans la ligne qui suit, penser à changer à la fois le nom du "royaume" kerberos, ainsi que le nom court du domaine (nom netbios)

 samba-tool domain provision --realm='''MONDOMAINE.LAN''' --domain '''MONDOMAINE''' --server-role=dc

Ensuite ré-initialiser le mot de passe administrator

 samba-tool user setpassword administrator

Configurer le DNS pour pointer sur lui même dans le fichier /etc/resolv.conf en renseignant 127.0.0.1.

 search mondomaine.lan
 nameserver 127.0.0.1

Vérifier que les forwarders DNS ont bien été configurés dans le fichier /etc/samba/smb.conf

 [global] 
        workgroup = MONDOMAINE
        realm = MONDOMAINE.LAN
        netbios name = SRVADS
        server role = active directory domain controller
        '''dns forwarder = 8.8.8.8'''

Activation des services Samba pour le démarrage automatique au prochain reboot

 systemctl unmask samba
 systemctl enable samba

A l'installation des paquets, Samba est automatiquement démarré en tant que serveur de fichier, le plus simple est de reboot le serveur

 reboot

Tester que le kerberos est bien configuré, attention, l'administrateur par défaut est administrator en anglais (taper le mdp, si ça ne renvoie rien ou qu'il parle juste de l'expiration de mot de passe, c'est que ça marche)

 kinit administrator

Tester les DNS

 dig @localhost google.fr
 dig @localhost srvads.mondomaine.lan
 dig -t SRV @localhost _ldap._tcp.mondomaine.lan

Valider la nouvelle installation

  • joindre une machine au domaine
  • vérifier que l'on a bien l'accès aux partages système \\mondomaine.lan\sysvol et \\mondomaine.lan\netlogon

Pour gérer votre nouveau domaine, il faut installer les interfaces de management sur un poste Windows. Beaucoup de tâches d'administrateur peuvent être effectuées en ligne de commande, mais certaines nécessites l'utilisation des RSAT (Remote Server Administration Tools)

Une fois les interfaces installées, vous pouvez continuer vos tests

  • test de connexion au DNS à partir de la console "DNS Active directory"
  • test de connexion à partir de la console "Utilisateurs et ordinateurs active directory"

Avant de passer en production, il faut remplacer le DNS interne Samba par le module Bind DLZ. Pour cela suivre la documentation SAMBA - Integration avec bind9

Note : si vous avez des besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it