Aller à : navigation, rechercher

SAMBA - Installation samba4 comme RODC

Préambule

Attention: Pour le support RODC, il est impératif d'utiliser au minimum une version Samba 4.7.1. Le support RODC est globalement fonctionnel mais il n'est pas complet! Bien vérifier l'ensemble de besoin avant de déployer

Installer le système d'exploitation

Installer une nouvelle machine avec Debian Stretch 64bit basique (i.e. installer uniquement le base système et le service ssh, vous ne devez pas installer d'environnement graphique qui risquerait d'installer NetworkManager ou avahi-daemon).

Préparer le Read-Only Domain Controllers samba4

Dans le doc suivante, on suppose:

  • Que le serveur existant s'appelle srvads que le niveau de la forêt et du domaine sont aux moins en 2008.
  • Le nouveau serveur en debian Wheezy que vous venez d'installer s'appelle srvrodc. Dans cette documentation, le domaine s'appelle mondomaine.lan

Dans les instructions décrites ci-dessous, vous remplacerez "mondomain.lan" avec votre propre nom de domaine et "srvrodc" avec le nom de machine de votre choix.

Configurer soigneusement les paramètres réseau

Modifier le fichier /etc/hostname pour qu'il contienne le nom FQDN (nom + suffixe DNS du réseau local) de la machine

srvrodc.mondomaine.lan

Modifier le fichier /etc/hosts pour qu'il contienne la résolution DNS du FQDN de la machine sur son ip, avec le nom long puis le nom court.

127.0.0.1      localhost
192.168.3.11   srvrodc.mondomaine.lan      srvrodc

Installer samba

  • Dans cette documentation nous allons utiliser les paquets DEB Samba Tranquil IT Systems, vous trouverez sur ce lien comment installé samba en dernier version sous Centos, ou comment compiler Samba


!! Nos paquets samba ne sont actuellement pas signés, il y aura donc une alerte lors de l'installation. !!

Ils sont actuellement validé uniquement pour Debian 9 Stretch 64 Bits

2 options sont possibles:

  • fixer le dépôts sur une version, exemple pour la version 4.7 :
echo "deb http://samba.tranquil.it/debian/samba-4.7   ./" > /etc/apt/sources.list.d/tissamba.list
export DEBIAN_FRONTEND=noninteractive
apt-get update
apt-get install samba winbind libnss-winbind krb5-user
unset DEBIAN_FRONTEND

Configurer le DNS

Dans le fichier /etc/resolv.conf renseigner soigneusement l'adresse IP de votre serveur DNS.

search mondomain.lan
nameserver 192.168.1.11

Configurer locale du kerberos

Ouvrir le fichier /etc/krb5.conf, supprimer tout ce qu'il y a dedans et rajouter

[libdefaults]
 dns_lookup_realm = true
 dns_lookup_kdc = true
 default_realm = MONDOMAINE.LAN

mise en place du service RODC

 samba-tool domain join mondomaine.lan RODC -U MONDOMAINE\\Administrator

Dans le fichier /usr/local/samba/etc/smb.conf, rajouter le forwarder DNS

dns forwarder = 8.8.8.8


Lancer le service SaMBa4

/usr/local/samba/sbin/samba

Modifier /etc/resolv.conf pour qu'il pointe sur lui-même

search mondomaine.lan
nameserver 127.0.0.1

Réplication d'un mot de passe utilisateur sur le serveur RODC

Sur srvads:

  • ajout de l'utilisateur en tant que membre du groupe "Allowed RODC Password Replication Group"

Sur le serveur RODC

samba-tool rodc preload utilisateur --server=srvads.mondomaine.lan

Si tout c'est bien passé:

Replicating DN CN=utilisateur,CN=Users,DC=mondomaine,DC=lan
Exop on[CN=utilisateur,CN=Users,DC=mondomaine,DC=lan] objects[1] linked_values[0]