Aller à : navigation, rechercher

SAMBA - Installation d'un AD Samba pour un nouveau domaine


Pour accéder aux autres documentations Samba4, cliquez ici : Autres documentations Samba

Besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it

Prérequis

Cette documentation se base sur la distribution debian Stretch

La distribution Stretch contient un paquet Samba 4.5.8, mais celui ci ne bénéficie pas des dernières évolutions du projet Samba qui avance très vite au niveau du contrôleur de domaine. Il reste donc préférable pour l'instant de recompiler son samba soi-même à partir des sources officielles (rien de bien méchant, nous allons voir).

Dans les instructions décrites ci-dessous, on prendra le domaine mondomaine.lan qui sera à remplacer avec votre propre nom de domaine (éviter d'employer un suffixe en .com, .fr, etc ; nous suggérons .lan et ça marchera très bien).

Installer une Debian Stretch de base

La première étape consiste à installer le système avec le strict minimum, donc uniquement avec le service SSH installé.

Il faut mettre la machine en ip fixe, sinon le fichier /etc/resolv.conf sera écrasé par le client dhcp lors de la mise à jour du bail.

Installation de SaMBa4

Préparer une configuration réseau propre

Modifier le fichier /etc/hostname pour qu'il contienne le nom FQDN (nom + suffixe DNS du réseau local) de la machine

srvads.mondomaine.lan

Modifier le fichier /etc/hosts pour qu'il contienne la résolution DNS du FQDN de la machine sur son ip (ie pas 127.0.0.1), avec le nom long puis le nom court

127.0.0.1      localhost
192.168.1.11   srvads.mondomaine.lan      srvads

Rebooter la machine pour prendre en compte ce nouveau nom de machine (un hostname -F /etc/hostname n'a pas l'air de suffire pour le script samba qui récupère toujours l'ancien nom...)

reboot

Installer samba

  • Dans cette documentation nous allons utiliser les paquets DEB Samba Tranquil IT Systems, vous trouverez sur ce lien comment installer samba en dernière version sous Centos, ou comment compiler Samba.


!! Nos paquets samba ne sont actuellement pas signés, il y aura donc une alerte lors de l'installation. !!

Ils sont actuellement validés uniquement pour Debian 9 Stretch 64 Bits

2 options sont possibles:

  • fixer le dépôts sur une version, exemple pour la version 4.6.7:
echo "deb http://samba.tranquil.it/stretch64/samba-4.6.7/   ./" > /etc/apt/sources.list.d/tissamba.list
  • utiliser la version actuellement "stable" que nous installons lors de nos prestations Samba4:
echo "deb http://samba.tranquil.it/strech64/stable/   ./" > /etc/apt/sources.list.d/tissamba.list
export DEBIAN_FRONTEND=noninteractive
apt-get update
apt-get install samba winbind libnss-winbind krb5-user
unset DEBIAN_FRONTEND

Créer un domaine Active Directory sous Samba

Configuration kerberos locale, modification du fichier /etc/krb5.conf, supprimer tout ce qu'il y a dedans et rajouter les lignes suivantes. Attention de bien mettre le nom du domaine en majuscule.

[libdefaults]
 dns_lookup_realm = false
 dns_lookup_kdc = true
 default_realm = MONDOMAINE.LAN

Effacer le fichier smb.conf s'il a déjà été généré (il va être régénéré par la commande de provisionning samba-tool juste après)

rm -f /etc/samba/smb.conf

Création du passage du Samba4 en DC (note : le mot de passe xxxxxxx doit respecter un certain niveau de complexité, ie >=8 caractères avec des chiffres et caractères spéciaux). Dans la ligne qui suit, penser à changer à la fois le nom du "royaume" kerberos, ainsi que le nom court du domaine (nom netbios)

samba-tool domain provision --realm=MONDOMAINE.LAN --domain MONDOMAINE --adminpass xxxxxxx --server-role=dc

Configurer le DNS pour pointer sur lui même dans le fichier /etc/resolv.conf en renseignant 127.0.0.1.

search mondomaine.lan
nameserver 127.0.0.1

Vérifier que les forwarders DNS ont bien été configurés dans le fichier /etc/samba/smb.conf

[global] 
       workgroup = MONDOMAINE
       realm = MONDOMAINE.LAN
       netbios name = SRVADS
       server role = active directory domain controller
       dns forwarder = 8.8.8.8
....

Par défaut, sous Debian le paquet samba utilise le service samba-ad-dc et non plus le service samba.

systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
systemctl disable samba winbind nmbd smbd
systemctl mask samba winbind nmbd smbd

A l'installation des paquets, Samba est automatiquement démarré en tant que serveur de fichier, le plus simple est de reboot le serveur

reboot

Tester que le kerberos est bien configuré, attention, l'administrateur par défaut est administrator en anglais (taper le mdp, si ça ne renvoie rien ou qu'il parle juste de l'expiration de mot de passe, c'est que ça marche)

kinit administrator

Tester les DNS

dig @localhost google.fr
dig @localhost srvads.mondomaine.lan
dig -t SRV @localhost _ldap._tcp.mondomaine.lan

Valider la nouvelle installation

  • joindre une machine au domaine
  • vérifier que l'on a bien l'accès aux partages système \\mondomaine.lan\sysvol et \\mondomaine.lan\netlogon

Pour gérer votre nouveau domaine, il faut installer les interfaces de management sur un poste Windows. Beaucoup de tâches d'administrateur peuvent être effectuées en ligne de commande, mais certaines nécessites l'utilisation des RSAT (Remote Server Administration Tools)

Une fois les interfaces installées, vous pouvez continuer vos tests

  • test de connexion au DNS à partir de la console "DNS Active directory"
  • test de connexion à partir de la console "Utilisateurs et ordinateurs active directory"

Avant de passer en production, il faut remplacer le DNS interne Samba par le module Bind DLZ. Pour cela suivre la documentation SAMBA - Integration avec bind9

Note : si vous avez des besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it