Contexte

Plan

Etape 1 – Prérequis logiciels

Etape 2 – Ajout du dépôt de Tranquil IT

Etape 3 – Installation de SAMBA 4

Etape 4 – Promotion d’un nouveau domaine SAMBA 4

Etape 5 – Test et intégration au domaine

Etape 1 – Prérequis logiciels

Comme pour tout serveur, il faut mettre son adressage IP en statique :

[email protected]:~# vi /etc/network/interfaces
# The primary network interface
auto ens33
iface ens33 inet static
  address 172.16.10.1/16

Modifier le fichier de résolution de noms. Petit conseil, mettez le serveur DNS plus proche de vous (dans mon cas l’adresse privée de ma box) :

[email protected]:~# vi /etc/resolv.conf
domain office.local
search office.local
nameserver 127.0.0.1

Changer le nom de la machine avec l’identifiant FQDN (important) :

[email protected]:~# vi /etc/hostname
cd01.office.local

Modifier le fichier hosts :

127.0.0.1       localhost
172.16.10.1     cd01.office.local       cd01

Redémarrer le serveur pour appliquer les paramètres :

[email protected]:~# reboot

Etape 2 – Ajout du dépôt de Tranquil IT

[email protected]:~# wget -O - http://samba.tranquil.it/tissamba-pubkey.gpg  | apt-key add -
--2018-02-04 18:52:23--  http://samba.tranquil.it/tissamba-pubkey.gpg
Résolution de samba.tranquil.it (samba.tranquil.it)… 185.16.48.42
Connexion à samba.tranquil.it (samba.tranquil.it)|185.16.48.42|:80… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : 1194 (1,2K)
Sauvegarde en : « STDOUT »

-                         100%[===================================>]   1,17K  --.-KB/s    in 0s

2018-02-04 18:52:23 (176 MB/s) — envoi vers sortie standard [1194/1194]

OK

Ajouter le dépôt samba au fichier de sources de Debian :

[email protected]:~# echo "deb http://samba.tranquil.it/debian/samba-4.7 stretch main" > /etc/apt/sources.list.d/tissamba.list

Désactiver la stratégie de sécurité de Debian (Les dépôts de Tranquil IT ne sont pas signés) :

[email protected]:~# export DEBIAN_FRONTEND=noninteractive

Mettre à jour la liste des paquets :

[email protected]:~# apt-get update
…
Réception de:2 http://samba.tranquil.it/debian/samba-4.7 stretch InRelease [1 356 B]
…
Réception de:5 http://samba.tranquil.it/debian/samba-4.7 stretch/main amd64 Packages [23,7 kB]

Etape 3 – Installation de SAMBA 4

Pour installer Samba 4, il nous faudra les paquets suivants :

  • Samba
  • Winbind
  • libnss-winbind
  • krb5-user
[email protected]:~# apt-get install samba winbind libnss-winbind krb5-user

Remettre la stratégie de sécurité de Debian par défaut

[email protected]:~# unset DEBIAN_FRONTEND

Faire une sauvegarde du fichier de configuration de krb5

[email protected]:~# cp /etc/krb5.conf /etc/krb5.conf.old

Supprimer tout le contenu du fichier de configuration et y mettre que le nécessaire: Attention: mettre le nom de domaine en majuscules.

[email protected]:~# vi /etc/krb5.conf
[libdefaults]
 dns_lookup_realm = false
 dns_lookup_kdc = true
 default_realm = OFFICE.LOCAL

Supprimer le fichier de configuration de samba, il sera reconstruit dans le contexte de la promotion du nom de domaine :

[email protected]:~# rm -f /etc/samba/smb.conf

Etape 4 – Promotion d’un nouveau domaine SAMBA 4

Attention : a cette étape il est très important d’avoir bien respecté les prérequis, si vous avez bien respecter les étapes précédentes.

[email protected]:~# samba-tool domain provision
Realm [OFFICE.LOCAL]:
 Domain [OFFICE]:
 Server Role (dc, member, standalone) [dc]: dc
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.254]:
Administrator password:
Retype password:
....
Server Role:           active directory domain controller
Hostname:              cd01
NetBIOS Domain:        OFFICE
DNS Domain:            office.local
DOMAIN SID:            S-1-5-21-1030112857-211204569-331052549

Voilà, notre serveur est a présent serveur de domaine et serveur de noms (DNS), il faut donc mettre l’adresse de loopback (127.0.0.1) en tant qu’adresse de DNS :

[email protected]:~# vi /etc/resolv.conf
domain office.local
search office.local
nameserver 127.0.0.1

On peut vérifier le fichier de configuration de samba pour voir si les informations sont bien remontées :

[email protected]:~# cat /etc/samba/smb.conf
# Global parameters
[global]
        netbios name = CD01
        realm = OFFICE.LOCAL
        workgroup = OFFICE
        dns forwarder = 192.168.1.254
        server role = active directory domain controller
....

Faire en sorte que Debian utilise maintenant samba-ad-dc par défaut plutôt que le service samba (4 commandes) :

[email protected]:~# systemctl unmask samba-ad-dc
Removed /etc/systemd/system/samba-ad-dc.service.

[email protected]1:~# systemctl enable samba-ad-dc
…

[email protected]:~# systemctl disable samba winbind nmbd smbd
…

[email protected]:~# systemctl mask samba winbind nmbd smbd
…

Redémarrer le serveur pour appliquer les modifications :

[email protected]:~# reboot

Tester que l’authentification kerberos est bien configuré, attention, l’administrateur par défaut est administrator en anglais (taper le mot de passe, si ça ne renvoie rien ou qu’il parle juste de l’expiration de mot de passe, c’est que ça marche)

[email protected]:~# kinit administrator
Password for [email protected]:
Warning: Your password will expire in 41 days on dim. 18 mars 2018 19:13:29 CET

Rejoignez-nous sur mon tout nouveau serveur Discord, pour échanger entre passionnés !

Catégories : UNIX/Linux

0 commentaire

Laisser un commentaire

Avatar placeholder

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

%d blogueurs aiment cette page :