Contexte
Plan
Etape 1 – Prérequis logiciels
Etape 2 – Ajout du dépôt de Tranquil IT
Etape 3 – Installation de SAMBA 4
Etape 4 – Promotion d’un nouveau domaine SAMBA 4
Etape 5 – Test et intégration au domaine
Etape 1 – Prérequis logiciels
Comme pour tout serveur, il faut mettre son adressage IP en statique :
root@deb09:~# vi /etc/network/interfaces # The primary network interface auto ens33 iface ens33 inet static address 172.16.10.1/16
Modifier le fichier de résolution de noms. Petit conseil, mettez le serveur DNS plus proche de vous (dans mon cas l’adresse privée de ma box) :
root@cd01:~# vi /etc/resolv.conf domain office.local search office.local nameserver 127.0.0.1
Changer le nom de la machine avec l’identifiant FQDN (important) :
root@deb09:~# vi /etc/hostname cd01.office.local
Modifier le fichier hosts :
127.0.0.1 localhost 172.16.10.1 cd01.office.local cd01
Redémarrer le serveur pour appliquer les paramètres :
root@deb09:~# reboot
Etape 2 – Ajout du dépôt de Tranquil IT
root@cd01:~# wget -O - http://samba.tranquil.it/tissamba-pubkey.gpg | apt-key add - --2018-02-04 18:52:23-- http://samba.tranquil.it/tissamba-pubkey.gpg Résolution de samba.tranquil.it (samba.tranquil.it)… 185.16.48.42 Connexion à samba.tranquil.it (samba.tranquil.it)|185.16.48.42|:80… connecté. requête HTTP transmise, en attente de la réponse… 200 OK Taille : 1194 (1,2K) Sauvegarde en : « STDOUT » - 100%[===================================>] 1,17K --.-KB/s in 0s 2018-02-04 18:52:23 (176 MB/s) — envoi vers sortie standard [1194/1194] OK
Ajouter le dépôt samba au fichier de sources de Debian :
root@cd01:~# echo "deb http://samba.tranquil.it/debian/samba-4.7 stretch main" > /etc/apt/sources.list.d/tissamba.list
Désactiver la stratégie de sécurité de Debian (Les dépôts de Tranquil IT ne sont pas signés) :
root@cd01:~# export DEBIAN_FRONTEND=noninteractive
Mettre à jour la liste des paquets :
root@cd01:~# apt-get update … Réception de:2 http://samba.tranquil.it/debian/samba-4.7 stretch InRelease [1 356 B] … Réception de:5 http://samba.tranquil.it/debian/samba-4.7 stretch/main amd64 Packages [23,7 kB]
Etape 3 – Installation de SAMBA 4
Pour installer Samba 4, il nous faudra les paquets suivants :
- Samba
- Winbind
- libnss-winbind
- krb5-user
root@cd01:~# apt-get install samba winbind libnss-winbind krb5-user
Remettre la stratégie de sécurité de Debian par défaut
root@cd01:~# unset DEBIAN_FRONTEND
Faire une sauvegarde du fichier de configuration de krb5
root@cd01:~# cp /etc/krb5.conf /etc/krb5.conf.old
Supprimer tout le contenu du fichier de configuration et y mettre que le nécessaire: Attention: mettre le nom de domaine en majuscules.
root@cd01:~# vi /etc/krb5.conf [libdefaults] dns_lookup_realm = false dns_lookup_kdc = true default_realm = OFFICE.LOCAL
Supprimer le fichier de configuration de samba, il sera reconstruit dans le contexte de la promotion du nom de domaine :
root@cd01:~# rm -f /etc/samba/smb.conf
Etape 4 – Promotion d’un nouveau domaine SAMBA 4
Attention : a cette étape il est très important d’avoir bien respecté les prérequis, si vous avez bien respecter les étapes précédentes.
root@cd01:~# samba-tool domain provision Realm [OFFICE.LOCAL]: Domain [OFFICE]: Server Role (dc, member, standalone) [dc]: dc DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.254]: Administrator password: Retype password: .... Server Role: active directory domain controller Hostname: cd01 NetBIOS Domain: OFFICE DNS Domain: office.local DOMAIN SID: S-1-5-21-1030112857-211204569-331052549
Voilà, notre serveur est a présent serveur de domaine et serveur de noms (DNS), il faut donc mettre l’adresse de loopback (127.0.0.1) en tant qu’adresse de DNS :
root@cd01:~# vi /etc/resolv.conf domain office.local search office.local nameserver 127.0.0.1
On peut vérifier le fichier de configuration de samba pour voir si les informations sont bien remontées :
root@cd01:~# cat /etc/samba/smb.conf # Global parameters [global] netbios name = CD01 realm = OFFICE.LOCAL workgroup = OFFICE dns forwarder = 192.168.1.254 server role = active directory domain controller ....
Faire en sorte que Debian utilise maintenant samba-ad-dc par défaut plutôt que le service samba (4 commandes) :
root@cd01:~# systemctl unmask samba-ad-dc Removed /etc/systemd/system/samba-ad-dc.service. root@cd01:~# systemctl enable samba-ad-dc … root@cd01:~# systemctl disable samba winbind nmbd smbd … root@cd01:~# systemctl mask samba winbind nmbd smbd …
Redémarrer le serveur pour appliquer les modifications :
root@cd01:~# reboot
Tester que l’authentification kerberos est bien configuré, attention, l’administrateur par défaut est administrator en anglais (taper le mot de passe, si ça ne renvoie rien ou qu’il parle juste de l’expiration de mot de passe, c’est que ça marche)
root@cd01:~# kinit administrator Password for [email protected]: Warning: Your password will expire in 41 days on dim. 18 mars 2018 19:13:29 CET
0 commentaire