viewtopic.php?f=98&p=55942#p55942
Autant sur les version antérieures de nas4free la mise en place restait plutot ardue, la version 10.1.0.2.1665 et suivantes permettent aujourd hui de configurer très facilement un controleur de domaine avec samba 4 et ce à partir du WebGui. A ce jour la version SAMBA AD est livrée avec:
- Un annuaire LDAP Active Directory
- Un serveur d’authentification Kerberos KDC
- Un serveur DNS dynamique sécurisé
- Le support de la version 3.0 du protocole SMB
- Un serveur RPC (Remote Procedure Call)
- La prise en charge des GPO
- Le support de configuration via le service RSAT depuis un client Windows.
- L’administration du domaine en ligne de commande se fait grâce à l’utilitaire samba-tool
Avec le précédent support de domaine NT4, Samba était capable de déléguer le traitement de ces fonctions à des services externes tels que BIND, OpenLDAP, et le MIT ou Heimdal Kerberos. À l'exception de BIND pour le DNS, la possibilité d'utiliser du code tiers dans ces rôles n'existe plus.
Une pratique courante avec les domaines NT4 Samba était d'utiliser le ldapsam back-end pour gérer les comptes de sécurité du domaine (SAM) en s'appuyant sur une source de données (DSA) OpenLDAP Voir le tuto précédent. Cette capacité n'existe plus. Le service LDAP utilisé dans Samba est maintenant le service LDAP Samba (intégré). Les sites utilisant OpenLDAP doivent, pour migrer vers Active Directory, migrer au moins leur base SAM vers le serveur intégré LDAP Samba.
Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs.
Quoiqu'il en soit le but de ce tuto va nous permettre d'intégrer des machines au domain samba4 et d'authentifier les utilisateurs du domaine sur cette machine. Cela pourra tout aussi bien être un autre nas4free, windows, ubuntu et autres..
Si vous avez besoin d'aide, merci de poster sur le [Topic unique] Samba Active Directory Domain Controller !!
Prérequis
- une partition UFS crée en suivant ce Tuto
- Désactiver CIFS/SMB
- Une IP statique dans LAN interface
- Activer NTP
- Utiliser un hostname et domain name comme indiquer ci dessous en adaptant avec les votres.


Configuration Samba Active Directory Domain Controller
Pour créer un AD CD il faut au préalable procéder à l'initialisation :
Exemple de paramètres utilisés
Hostname: nas4free-oc1
DNS fowrder: 8.8.8.8
DNS domain: mydomain.local
NetBIOS domain: MYDOMAIN

Pour DNS forwarder, utiliser les DNS de votre Fai Serveurs DNS des principaux FAI et si vous ne les trouvez pas, utilisez les DNS de google 8.8.8.8. Adapter le "Path" avec le chemin de la partition UFS crée précédemment. Vous pouvez également cocher "user shares" si vous souhaitez créer des partages dans CIFS/SMB. Au besoin, vous aurez la possibilité de changer les DNS et les partages une fois l'initialisation terminée.

Le mot de passe par defaut est un mot de passe "dit" complexe avec au moins une majuscule, une minusculte, lettre et chiffre. Si vous ne précisez pas de mot de passe, il vous en propose un par defaut. Vous avec egalement la possibilité de le changer en utilisant les outils samba-tool que nous verrons en detail plus loin
Code: Select all
samba-tool user setpassword administrator
Il faut maintenant relancer le serveur et ensuite activer Samba AD

Joindre un client Windows à AD CD
Compléter avec l' IP statique de N4F comme indiquer ci dessous :

Rentrer ensuite le nom de domaine

Si tout s'est déroulé normalement vous avez maintenant rejoint le domaine de samba. Relancer windows et connecter vous avec le compte administrator et le mot de passe défini plus haut.

Joindre un client Ubuntu à AD CD
Je vous laisse travailler un peu

Samba AD DC - Intégration de machines au domaine
Administration du domaine
2 possibilités
- RSAT à installer sur un poste windows du domaine

Installation RSAT pour Windows
Modifier la langue pour l'avoir en francais. Le lien vous donne également les instructions pour l'installation
- 2ème possibilité, les outils samba-tool qui permettent d'administrer le domaine en ligne de commande
Pour créer un utilisateur
Pour supprimer un utilisateursamba-tool user add USERNAME
Pour créer un groupesamba-tool user delete USERNAME
Pour supprimer un groupesamba-tool group add GROUP
LA SUITE ICIsamba-tool group delete GROUP
Quelques tests pour vérifier le bon fonctionnement de Samba Active Directory Domain Controller
$ smbclient -L localhost -U%
Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.x.y]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.x.y)
Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.x.y]
Server Comment
--------- -------
Workgroup Master
--------- -------
Tests des DNSsmbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password: passw0rd
Domain=[DOMAIN] OS=[Unix] Server=[Samba 4.x.y]
. D 0 Sat Jul 5 08:40:00 2014
.. D 0 Sat Jul 5 08:40:00 2014
49386 blocks of size 524288. 42093 blocks available
Adaptez le hostname et le domain name avec vos paramètres
$ host -t SRV _ldap._tcp.mydomain.local
_ldap._tcp.mydomain.local has SRV record 0 100 389 nas4free-oc1.mydomain.local.
$ host -t SRV _kerberos._udp.mydomain.local
_kerberos._udp.mydomain.local has SRV record 0 100 88 nas4free-oc1.mydomain.local.
Test de Kerberos$ host -t A dc1.nas4free-oc1.mydomain.local
nas4free-oc1.mydomain.local has address 172.18.0.169
Pour vérifier que Kerberos fonctionne et que vous avez recu un ticket, tapez# kinit administrator@SAMDOM.EXAMPLE.COM
Password for administrator@SAMDOM.EXAMPLE.COM:
Warning: Your password will expire in 41 days on Sat Aug 16 21:41:28 2014
Voilà pour l'instant ce que je peux vous faire partager sur un sujet qui est très vaste en terme de possibilités et je suis loin d en avoir fait le tour. Tout ce que vous pourrez apporter de nouveau sur le sujet sera bienvenue et intégré dans le tuto.# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@SAMDOM.EXAMPLE.COM
Valid starting Expires Service principal
07/05/14 23:20:17 07/06/14 09:20:17 krbtgt/SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM
renew until 07/06/14 23:20:15
A approfondir :
Est ce que cette option est activée d'office dans nas4free au moment de l'approvisionnement de la foret ?L’option –use-rfc2307 active les attributs posix de l’AD de Samba. Cela crée aussi les informations NIS dans l’AD, ce qui vous permet d’administrer les UIDs/GIDs et autres paramètres UNIX (dans la table “Unix attributes” de l’ADUC…Active Directory Users and Computers). Il est plus simple de l’activer durant cette préparation (Provisioning), plutôt que par la suite. De plus, même si vous n’en avez pas (encore) besoin, ça n’impacte pas votre installation.
A verifier!!!
Enjoy it
