Migrer de Samba3-NT4 à Samba-AD

Cette documentation sert à migrer un Samba PDC NT4 vers un Samba Active Directory.

Le type de domaine NT4, aussi appelé classic dans les documentations Samba fait référence à l’ancien mode de fonctionnement qui émulait un contrôleur de domaine NT4.

On peut avoir un Samba 4.x en mode NT4. Pour ce cas de figure, le mode de migration est le même.

Préparer l’Active Directory Samba-AD

Installez votre nouvelle machine avec Debian Stretch 64bit basique en suivant cette documentation.

Note

Dans cette documentation, on suppose :

• Que le contrôleur de domaine Samba3-NT4 utilise OpenLDAP comme backend.

• Que le serveur existant Samba3-NT4 s’appelle samba3.

• Que le nouveau serveur en Debian Stretch 64bit que vous venez d’installer en ayant bien suivi la documentation d’installation de Samba-AD s’appelle srvads et que le niveau visé de la forêt et du domaine est 2008R2.

• Que le domaine s’appelle mydomain.lan.

Dans les instructions décrites ci-dessous, vous remplacerez mydomain.lan avec votre propre nom de domaine et srvads avec le nom de machine de votre choix.

Installer les librairies logicielles complémentaires pour la migration

apt-get install python-ldap libldap2-dev

Migrer la base utilisateurs Samba-NT4

Transférer les données du Samba3-NT4 vers le Samba-AD

• Créer le fichier /root/samba3 sur srvads :

  mkdir /root/samba3
  

• Arrêter le service samba sur samba3 et transférer le contenu de l’annuaire du samba3 vers srvads :

  /etc/init.d/samba stop
  rsync -aP /var/lib/samba/private/secrets.tdb root@IPsrvads:/root/samba3/
  rsync -aP /etc/samba/smb.conf root@IPsrvads:/root/samba3/
  

  où IPsrvads est l’adresse IP de votre nouveau serveur Samba-AD.

• Sur srvads, éditer le fichier /root/samba3/smb.conf et remplacer si besoin le nom du serveur :

  netbios name = <srvads>
  

Migrer de Samba3-NT4 à Samba-AD

• Aspirer les comptes machines et les comptes utilisateurs :

samba-tool domain samba3upgrade --dbdir=/root/samba3/ --realm='''MYDOMAIN.LAN''' /root/samba3/smb.conf

Indication

Erreurs possibles lors de l’aspiration :

• Impossible de se connecter à la ldap. Dans /root/samba3/smb.conf, si l’IP de connexion ldap pointe vers 127.0.0.1, remettre l’IP du samba3.

• SID dupliqués .

• Impossible de récupérer l”UID. Vérifier que l’utilisateur en question a bien ses propriétés Posix et corriger l’entrée si besoin (manuellement ou par script).

• Vieille référence à un contrôleur de domaine BDC qui n’existe plus : supprimer l’entrée.

• Groupe et utilisateur avec le même nom : supprimer ou renommer l’un des deux.

Ajuster la post-configuration

• Sur srvads, rajouter le forwarder DNS dans le fichier /etc/samba/smb.conf :

  dns forwarder = 8.8.8.8
  

• Sur srvads, supprimer la ligne suivante du fichier /etc/samba/smb.conf :

  idmap_ldb:use rfc2307 = yes
  

• A l’installation des paquets, le service Samba est automatiquement démarré en tant que serveur de fichiers, le plus simple est de redémarrer le serveur avec un reboot :

  reboot
  

• Modifier /etc/resolv.conf pour qu’il pointe sur lui-même :

  search mydomain.lan
  nameserver 127.0.0.1
  

• Vérifier que les entrées DNS sont bien renseignées :

  dig @127.0.0.1 srvads.mydomain.lan
  dig -t SRV @127.0.0.1 _ldap._tcp.mydomain.lan #(doit renvoyer la machine srvads.mydomain.lan)
  dig @127.0.0.1 google.fr
  

• Puis configurer le service NTP ;

• Reconfigurer les /etc/nsswitch.conf des serveurs utilisant nss_ldap pour utiliser nss_winbind ;

• Aajouter les entrées forward et reverse de tous les serveurs du parc ;

Liens utiles

• https://wiki.samba.org/index.php/Samba4/samba-tool/domain/classicupgrade/HOWTO