DOMAINE ACTIVE DIRECTORY SAMBA 4 DEBIAN

Contexte

Plan

Etape 1 – Prérequis logiciels

Etape 2 – Ajout du dépôt de Tranquil IT

Etape 3 – Installation de SAMBA 4

Etape 4 – Promotion d’un nouveau domaine SAMBA 4

Etape 5 – Test et intégration au domaine

Etape 1 – Prérequis logiciels

Comme pour tout serveur, il faut mettre son adressage IP en statique :

root@deb09:~# vi /etc/network/interfaces
# The primary network interface
auto ens33
iface ens33 inet static
  address 172.16.10.1/16

Modifier le fichier de résolution de noms. Petit conseil, mettez le serveur DNS plus proche de vous (dans mon cas l’adresse privée de ma box) :

root@cd01:~# vi /etc/resolv.conf
domain office.local
search office.local
nameserver 127.0.0.1

Changer le nom de la machine avec l’identifiant FQDN (important) :

root@deb09:~# vi /etc/hostname
cd01.office.local

Modifier le fichier hosts :

127.0.0.1       localhost
172.16.10.1     cd01.office.local       cd01

Redémarrer le serveur pour appliquer les paramètres :

root@deb09:~# reboot

Etape 2 – Ajout du dépôt de Tranquil IT

root@cd01:~# wget -O - http://samba.tranquil.it/tissamba-pubkey.gpg  | apt-key add -
--2018-02-04 18:52:23--  http://samba.tranquil.it/tissamba-pubkey.gpg
Résolution de samba.tranquil.it (samba.tranquil.it)… 185.16.48.42
Connexion à samba.tranquil.it (samba.tranquil.it)|185.16.48.42|:80… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : 1194 (1,2K)
Sauvegarde en : « STDOUT »

-                         100%[===================================>]   1,17K  --.-KB/s    in 0s

2018-02-04 18:52:23 (176 MB/s) — envoi vers sortie standard [1194/1194]

OK

Ajouter le dépôt samba au fichier de sources de Debian :

root@cd01:~# echo "deb http://samba.tranquil.it/debian/samba-4.7 stretch main" > /etc/apt/sources.list.d/tissamba.list

Désactiver la stratégie de sécurité de Debian (Les dépôts de Tranquil IT ne sont pas signés) :

root@cd01:~# export DEBIAN_FRONTEND=noninteractive

Mettre à jour la liste des paquets :

root@cd01:~# apt-get update
…
Réception de:2 http://samba.tranquil.it/debian/samba-4.7 stretch InRelease [1 356 B]
…
Réception de:5 http://samba.tranquil.it/debian/samba-4.7 stretch/main amd64 Packages [23,7 kB]

Etape 3 – Installation de SAMBA 4

Pour installer Samba 4, il nous faudra les paquets suivants :

  • Samba
  • Winbind
  • libnss-winbind
  • krb5-user
root@cd01:~# apt-get install samba winbind libnss-winbind krb5-user

Remettre la stratégie de sécurité de Debian par défaut

root@cd01:~# unset DEBIAN_FRONTEND

Faire une sauvegarde du fichier de configuration de krb5

root@cd01:~# cp /etc/krb5.conf /etc/krb5.conf.old

Supprimer tout le contenu du fichier de configuration et y mettre que le nécessaire: Attention: mettre le nom de domaine en majuscules.

root@cd01:~# vi /etc/krb5.conf
[libdefaults]
 dns_lookup_realm = false
 dns_lookup_kdc = true
 default_realm = OFFICE.LOCAL

Supprimer le fichier de configuration de samba, il sera reconstruit dans le contexte de la promotion du nom de domaine :

root@cd01:~# rm -f /etc/samba/smb.conf

Etape 4 – Promotion d’un nouveau domaine SAMBA 4

Attention : a cette étape il est très important d’avoir bien respecté les prérequis, si vous avez bien respecter les étapes précédentes.

root@cd01:~# samba-tool domain provision
Realm [OFFICE.LOCAL]:
 Domain [OFFICE]:
 Server Role (dc, member, standalone) [dc]: dc
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.254]:
Administrator password:
Retype password:
....
Server Role:           active directory domain controller
Hostname:              cd01
NetBIOS Domain:        OFFICE
DNS Domain:            office.local
DOMAIN SID:            S-1-5-21-1030112857-211204569-331052549

Voilà, notre serveur est a présent serveur de domaine et serveur de noms (DNS), il faut donc mettre l’adresse de loopback (127.0.0.1) en tant qu’adresse de DNS :

root@cd01:~# vi /etc/resolv.conf
domain office.local
search office.local
nameserver 127.0.0.1

On peut vérifier le fichier de configuration de samba pour voir si les informations sont bien remontées :

root@cd01:~# cat /etc/samba/smb.conf
# Global parameters
[global]
        netbios name = CD01
        realm = OFFICE.LOCAL
        workgroup = OFFICE
        dns forwarder = 192.168.1.254
        server role = active directory domain controller
....

Faire en sorte que Debian utilise maintenant samba-ad-dc par défaut plutôt que le service samba (4 commandes) :

root@cd01:~# systemctl unmask samba-ad-dc
Removed /etc/systemd/system/samba-ad-dc.service.

root@cd01:~# systemctl enable samba-ad-dc
…

root@cd01:~# systemctl disable samba winbind nmbd smbd
…

root@cd01:~# systemctl mask samba winbind nmbd smbd
…

Redémarrer le serveur pour appliquer les modifications :

root@cd01:~# reboot

Tester que l’authentification kerberos est bien configuré, attention, l’administrateur par défaut est administrator en anglais (taper le mot de passe, si ça ne renvoie rien ou qu’il parle juste de l’expiration de mot de passe, c’est que ça marche)

root@cd01:~# kinit administrator
Password for administrator@OFFICE.LOCAL:
Warning: Your password will expire in 41 days on dim. 18 mars 2018 19:13:29 CET

Soumettre un commentaireSoyez poli.

Votre commentaire