Pour accéder aux autres documentations Samba4, cliquez ici : Autres documentations Samba

Besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it

Sommaire

1 Prérequis
- 1.1 Installer une Debian Stretch de base
2 Installation de SaMBa4
- 2.1 Préparer une configuration réseau propre
- 2.2 Installer samba
3 Créer un domaine Active Directory sous Samba
4 Valider la nouvelle installation

Prérequis

Cette documentation se base sur la distribution debian Stretch

La distribution Stretch contient un paquet Samba 4.5.8, mais celui ci ne bénéficie pas des dernières évolutions du projet Samba qui avance très vite au niveau du contrôleur de domaine. Il reste donc préférable pour l'instant de recompiler son samba soi-même à partir des sources officielles (rien de bien méchant, nous allons voir).

Dans les instructions décrites ci-dessous, on prendra le domaine mondomaine.lan qui sera à remplacer avec votre propre nom de domaine (éviter d'employer un suffixe en .com, .fr, etc ; nous suggérons .lan et ça marchera très bien).

Installer une Debian Stretch de base

La première étape consiste à installer le système avec le strict minimum, donc uniquement avec le service SSH installé.

Il faut mettre la machine en ip fixe, sinon le fichier /etc/resolv.conf sera écrasé par le client dhcp lors de la mise à jour du bail.

Installation de SaMBa4

Préparer une configuration réseau propre

Modifier le fichier /etc/hostname pour qu'il contienne le nom FQDN (nom + suffixe DNS du réseau local) de la machine

 srvads.mondomaine.lan

Modifier le fichier /etc/hosts pour qu'il contienne la résolution DNS du FQDN de la machine sur son ip (ie pas 127.0.0.1), avec le nom long puis le nom court

 127.0.0.1      localhost
 192.168.1.11   srvads.mondomaine.lan      srvads

Rebooter la machine pour prendre en compte ce nouveau nom de machine (un hostname -F /etc/hostname n'a pas l'air de suffire pour le script samba qui récupère toujours l'ancien nom...)

 reboot

Installer samba

Dans cette documentation nous allons utiliser les paquets DEB Samba Tranquil IT Systems, vous trouverez sur ce lien comment installer samba en dernière version sous Centos, ou comment compiler Samba.

!! Nos paquets samba ne sont actuellement pas signés, il y aura donc une alerte lors de l'installation. !!

Ils sont actuellement validés uniquement pour Debian 9 Stretch 64 Bits

 wget -O - http://samba.tranquil.it/tissamba-pubkey.gpg  | apt-key add -
 echo "deb http://samba.tranquil.it/debian/stable stretch main" > /etc/apt/sources.list.d/tissamba.list

export DEBIAN_FRONTEND=noninteractive
apt-get update
apt-get install samba winbind libnss-winbind krb5-user
unset DEBIAN_FRONTEND

Créer un domaine Active Directory sous Samba

Configuration kerberos locale, modification du fichier /etc/krb5.conf, supprimer tout ce qu'il y a dedans et rajouter les lignes suivantes. Attention de bien mettre le nom du domaine en majuscule.

[libdefaults]
  dns_lookup_realm = false
  dns_lookup_kdc = true
  default_realm = MONDOMAINE.LAN

Effacer le fichier smb.conf s'il a déjà été généré (il va être régénéré par la commande de provisionning samba-tool juste après)

 rm -f /etc/samba/smb.conf

Création du passage du Samba4 en DC. Dans la ligne qui suit, penser à changer à la fois le nom du "royaume" kerberos, ainsi que le nom court du domaine (nom netbios)

 samba-tool domain provision --realm='''MONDOMAINE.LAN''' --domain '''MONDOMAINE''' --server-role=dc

Ensuite ré-initialiser le mot de passe administrator

 samba-tool user setpassword administrator

Configurer le DNS pour pointer sur lui même dans le fichier /etc/resolv.conf en renseignant 127.0.0.1.

 search mondomaine.lan
 nameserver 127.0.0.1

Vérifier que les forwarders DNS ont bien été configurés dans le fichier /etc/samba/smb.conf

 [global] 
        workgroup = MONDOMAINE
        realm = MONDOMAINE.LAN
        netbios name = SRVADS
        server role = active directory domain controller
        '''dns forwarder = 8.8.8.8'''

Par défaut, sous Debian le paquet samba utilise le service samba-ad-dc et non plus le service samba.

 systemctl unmask samba-ad-dc
 systemctl enable samba-ad-dc
 systemctl disable samba winbind nmbd smbd
 systemctl mask samba winbind nmbd smbd

A l'installation des paquets, Samba est automatiquement démarré en tant que serveur de fichier, le plus simple est de reboot le serveur

 reboot

Tester que le kerberos est bien configuré, attention, l'administrateur par défaut est administrator en anglais (taper le mdp, si ça ne renvoie rien ou qu'il parle juste de l'expiration de mot de passe, c'est que ça marche)

 kinit administrator

Tester les DNS

 dig @localhost google.fr
 dig @localhost srvads.mondomaine.lan
 dig -t SRV @localhost _ldap._tcp.mondomaine.lan

Valider la nouvelle installation

joindre une machine au domaine
vérifier que l'on a bien l'accès aux partages système \\mondomaine.lan\sysvol et \\mondomaine.lan\netlogon

Pour gérer votre nouveau domaine, il faut installer les interfaces de management sur un poste Windows. Beaucoup de tâches d'administrateur peuvent être effectuées en ligne de commande, mais certaines nécessites l'utilisation des RSAT (Remote Server Administration Tools)

sur Win7 : installer les outils RSAT, voir la page SAMBA - Installation des outils de gestion RSAT

Une fois les interfaces installées, vous pouvez continuer vos tests

test de connexion au DNS à partir de la console "DNS Active directory"
test de connexion à partir de la console "Utilisateurs et ordinateurs active directory"

Avant de passer en production, il faut remplacer le DNS interne Samba par le module Bind DLZ. Pour cela suivre la documentation SAMBA - Integration avec bind9

Note : si vous avez des besoins d'accompagnement, n'hésitez pas à nous contacter chez http://www.tranquil.it

SAMBA - Debian - Installation d'un AD Samba pour un nouveau domaine