TP - Installation d’un serveur Samba4 en tant que Contrôleur de domaine AD

Philippe Sevre

V 3.2 - Mis à jour le 2016-05-11

• Installer un serveur Samba en tant que Contrôleur de domaine (DC) et effectuer le paramétrage de base
• Faire adhérer un poste de travail Windows à un domaine Windows AD
• Créer des utilisateurs et des groupes
• Créer des partages avec les droits associés
• Créer un script de connexion

• une machine Linux Debian Jessie
• une machine Windows Seven en tant que client

• on mettra la machine en adressage fixe avec une passerelle et le DNS opérationnels.
• on appelle la machine samba4 (changer dans /etc/hosts et /etc/hostname)
• le fichier /etc/hosts doit être au format suivant :

127.0.0.1      localhost
192.168.1.1   samba4.domaine.lan      samba4

• on doit disposer des paquets : acl, xattr, cups, ntp
• pour ce faire, taper : aptitude install acl python-xattr cups ntp

• La version actuelle de Samba sur jessie est la 4.2.10
• pour le paramétrage Kerberos, on devra indiquer le serveur Kerberos du REALM (ici DOMAINE.LAN)

root@samba4:~# aptitude update
root@samba4:~# aptitude install samba samba-doc winbind libnss-winbind smbclient krb5-user
root@samba4:~# samba -V 
Version 4.2.10-Debian

• pour créer le domaine :
• on devra auparavant supprimer le ficher smb.conf avec la commande rm /etc/samba/smb.conf

  samba-tool domain provision --use-rfc2307 --realm=domaine.lan --domain DOMAINE --adminpass=xxxxxxx --server-role=dc

• relancer samba avec : service samba restart
• pour tester :

$ smbclient -L localhost -U%
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk      
        sysvol          Disk      
        IPC$            IPC       IPC Service (Samba 4.2.10)
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

• Pour tester l'authentification

$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password: pa$$w0rd
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
 .                                   D        0  Sat Jul  5 08:40:00 2014
 ..                                  D        0  Sat Jul  5 08:40:00 2014

               49386 blocks of size 524288. 42093 blocks available

root@samba4:~# samba-tool user create bob Azerty1+
User 'bob' created successfully
root@samba4:~# samba-tool user create alice Azerty1+
User 'alice' created successfully

root@samba4:~# samba-tool user list
Administrator
krbtgt
alice
Guest
bob

• on veut créer le partage pub accessible en lecture/écriture à tout le monde

dans le fichier /etc/samba/smb.conf insérer :

[pub]
	path = /home/pub
	read only = No

• pour adapter les droits d'accès au partage, cf : https://wiki.samba.org/index.php/Shares_with_POSIX_ACLs
• ou bien https://wiki.samba.org/index.php/Shares_with_Windows_ACLs

Le DNS est indispensable au fonctionnement d'un contrôleur de domaine Microsoft. On peut choisir l'utilisation de Bind ou bien (c'est le cas ici) le serveur DNS interne proposé par Samba.

le serveur DNS utilisé est le serveur lui-même

domain domaine.lan
server 192.168.1.1

On doit vérifier l'existence d'enregistrement SRV pour LDAP et Kerberos :

$ host -t SRV _ldap._tcp.domain.lan

$ host -t SRV _kerberos._udp.domaine.lan.

$ host -t A samba4.domaine.lan.

• avant toute chose, s'assurer que le client utilise le serveur Samba en tant que serveur DNS et que le nom de domaine DNS est bien domaine.lan
• faire adhérer le client Windows au domaine DOMAINE en utilisant le compte Administrator.

• se connecter sur le client avec le compte de domaine Administrator
• une fois connecté, installer RSAT 32 ou 64 bits disponible ici : ftp://store/pub/divers/rsat/
• celui-ci installé, choisir Démarrer/Panneau de configuration/Programmes/Activer ou désactiver des fonctionnalités Windows
• on activera les éléments suivants :
  • Outils d'administration de serveur distant/Outils d'administration de fonctionnalités/Outils de gestion des stratégies de groupe
  • Outils d'administration de serveur distant/Outils d'administration de rôles/Outils du serveur DNS
  • Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS : tout choisir
  • Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS/Outils AD DS : tout choisir sauf Outils de Serveur pour NIS

• les consoles MMC se trouvent dans Panneau de configuration/Système et sécurité/Outils d'administration
• on peut alors utiliser les différentes consoles MMC (gestion AD, DNS, GPO, …)

On souhaite que chaque utilisateur puisse disposer d'un répertoire personnel dans le partage home

• ajouter dans /etc/samba/smb.conf les lignes suivantes :

[home]
         path = /home/samba/home/
         read only = No

• créer le répertoire avec : mkdir -p /home/samba/home
• relancer samba avec : smbcontrol all reload-config

• depuis le client WIndows, connecté dans le domaine avec un compte adapté (Admin…)
• choisir Ordinateur/Gérer/Action/Se connecter à un autre ordinateur
• choisir le serveur Samba
• puis Outils système/Dossiers partagés/Partages
• puis atteindre les propriétés du partage home, onglet Autorisations du partage
• donner les permissions Contrôle total pour :
  • Utilisateurs authentifiés
  • Domain Admins
  • Système
• dans l'onglet Sécurité :
  • cliquer sur le bouton “Avancé” puis le bouton “Modifier les autorisations” dans la fenêtre qui apparaît
  • décliquer “Inclure les autorisations pouvant être héritées du parent de cet objet”
  • fermer la fenêtre avec Ok
  • cliquer le bouton Modifier pour obtenir les autorisations suivantes :
    • Administrator : Full Control
    • Utilisateurs authentifiés: Read & Execute, List Folder Contents, Read
    • Créateur Propriétaire : Full Control
    • Domain Admins : Full Control
    • Système : Full Control
  • pour interdire à un utilisateur d'accéder aux répertoires home des autres utilisateurs, cliquer sur le bouton “Avancé” puis sur le bouton “Modifier les autorisations” dans la fenêtre qui apparaît
  • sélectionner “Utilisateurs authentifiés”, cliquer sur le bouton “Modifier”, changer “s'applique à” pour mettre “ce répertoire uniquement”

• connecté en tant qu'administrateur, lancer “Open Active Directory Users and Computer” (ADUC).
• sur un compte existant ou nouvellement créé, choisir l'onglet Profil
• choisir une unité logique (u:, …) pour la connexion
• dans le champ à , indiquer \\srv\home\%USERNAME%, ce qui permettra de créer automatiquement le répertoire utilisateur
• cliquer sur “Ok” pour valider
• on peut vérifier avec les propriétés du partage dans la console

• en tant qu'administrateur, lancer la console Group Policy Management
• créer une nouvelle GPO ou bien en choisir une qui s'applique à l'OU souhaitée
• cliquer avec le bouton droit puis “Modifier”
• aller dans “User Configuration / Policies / Windows Settings / Folder Redirection”

cf :

• http://dev.tranquil.it/wiki/SAMBA_-_Installation_d%27un_AD_Samba4_pour_un_nouveau_domaine
• http://dev.tranquil.it/wiki/SAMBA_-_Installation_des_outils_de_gestion_RSAT
• https://www.ordinoscope.net/index.php/Informatique/Softwares/Samba/Samba_4.x_-_comme_DC
• http://www.opensourceforu.com/2013/03/introducing-samba-4-now-even-more-awesomeness/
• et bien sûr le site Samba : https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
• https://wiki.samba.org/index.php/User_Home_Folders