====== TP - Installation d’un serveur Samba4 en tant que Contrôleur de domaine AD ======
**//Philippe Sevre//**
//V 3.2 - Mis à jour le 2016-05-11//
===== Objectifs =====
* Installer un serveur Samba en tant que Contrôleur de domaine (DC) et effectuer le paramétrage de base
* Faire adhérer un poste de travail Windows à un domaine Windows AD
* Créer des utilisateurs et des groupes
* Créer des partages avec les droits associés
* Créer un script de connexion
===== Prérequis =====
* une machine **Linux Debian Jessie**
* une machine **Windows Seven** en tant que client
===== Installation de Samba =====
=== Couche réseau adressage fixe ===
* on mettra la machine en adressage fixe avec une passerelle et le DNS opérationnels.
* on appelle la machine **samba4** (changer dans /etc/hosts et /etc/hostname)
* le fichier ''/etc/hosts'' doit être au format suivant :
127.0.0.1 localhost
192.168.1.1 samba4.domaine.lan samba4
=== Les prérequis ===
* on doit disposer des paquets : **acl, xattr, cups, ntp**
* pour ce faire, taper : '' aptitude install acl python-xattr cups ntp''
=== Installation de Samba4 ===
* La version actuelle de Samba sur jessie est la 4.2.10
* pour le paramétrage Kerberos, on devra indiquer le serveur Kerberos du REALM (ici DOMAINE.LAN)
root@samba4:~# aptitude update
root@samba4:~# aptitude install samba samba-doc winbind libnss-winbind smbclient krb5-user
root@samba4:~# samba -V
Version 4.2.10-Debian
* pour créer le domaine :
* on devra auparavant supprimer le ficher **smb.conf** avec la commande ''rm /etc/samba/smb.conf''
samba-tool domain provision --use-rfc2307 --realm=domaine.lan --domain DOMAINE --adminpass=xxxxxxx --server-role=dc
* relancer **samba** avec : ''service samba restart''
* pour tester :
$ smbclient -L localhost -U%
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.2.10)
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
Server Comment
--------- -------
Workgroup Master
--------- -------
* Pour tester l'authentification
$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password: pa$$w0rd
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
. D 0 Sat Jul 5 08:40:00 2014
.. D 0 Sat Jul 5 08:40:00 2014
49386 blocks of size 524288. 42093 blocks available
==== Création d'utilisateur depuis la ligne de commande ====
root@samba4:~# samba-tool user create bob Azerty1+
User 'bob' created successfully
root@samba4:~# samba-tool user create alice Azerty1+
User 'alice' created successfully
root@samba4:~# samba-tool user list
Administrator
krbtgt
alice
Guest
bob
==== Création d'un partage ====
* on veut créer le partage **pub** accessible en lecture/écriture à tout le monde
dans le fichier /etc/samba/smb.conf insérer :
[pub]
path = /home/pub
read only = No
* pour adapter les droits d'accès au partage, cf : https://wiki.samba.org/index.php/Shares_with_POSIX_ACLs
* ou bien https://wiki.samba.org/index.php/Shares_with_Windows_ACLs
===== le DNS =====
Le DNS est indispensable au fonctionnement d'un contrôleur de domaine Microsoft.
On peut choisir l'utilisation de Bind ou bien (c'est le cas ici) le serveur DNS interne proposé par Samba.
=== le fichier /etc/resolv.conf ===
le serveur DNS utilisé est le serveur lui-même
domain domaine.lan
server 192.168.1.1
=== les tests DNS ===
On doit vérifier l'existence d'enregistrement **SRV** pour LDAP et Kerberos :
$ host -t SRV _ldap._tcp.domain.lan
$ host -t SRV _kerberos._udp.domaine.lan.
$ host -t A samba4.domaine.lan.
===== Adhésion d'un client au domaine =====
* avant toute chose, s'assurer que le client utilise le serveur Samba en tant que serveur DNS et que le nom de domaine DNS est bien **domaine.lan**
* faire adhérer le client Windows au domaine **DOMAINE** en utilisant le compte **Administrator**.
===== Installation de RSAT sur le client =====
* se connecter sur le client avec le compte de domaine **Administrator**
* une fois connecté, installer **RSAT** 32 ou 64 bits disponible ici : ftp://store/pub/divers/rsat/
* celui-ci installé, choisir //Démarrer/Panneau de configuration/Programmes/Activer ou désactiver des fonctionnalités Windows//
* on activera les éléments suivants :
* //Outils d'administration de serveur distant/Outils d'administration de fonctionnalités/Outils de gestion des stratégies de groupe//
* //Outils d'administration de serveur distant/Outils d'administration de rôles/Outils du serveur DNS//
* //Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS// : tout choisir
* //Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS/Outils AD DS// : tout choisir sauf //Outils de Serveur pour NIS//
==== Utilisation de RSAT ====
* les consoles **MMC** se trouvent dans //Panneau de configuration/Système et sécurité/Outils d'administration//
* on peut alors utiliser les différentes consoles MMC (gestion AD, DNS, GPO, ...)
==== Mise en place de répertoire personnel ====
On souhaite que chaque utilisateur puisse disposer d'un répertoire personnel dans le partage **home**
* ajouter dans **/etc/samba/smb.conf** les lignes suivantes :
[home]
path = /home/samba/home/
read only = No
* créer le répertoire avec : ''mkdir -p /home/samba/home''
* relancer samba avec : ''smbcontrol all reload-config''
==== Paramétrage du partage et des droits d'accès ====
* depuis le client WIndows, connecté dans le domaine avec un compte adapté (Admin...)
* choisir //Ordinateur/Gérer/Action/Se connecter à un autre ordinateur//
* choisir le serveur Samba
* puis //Outils système/Dossiers partagés/Partages//
* puis atteindre les propriétés du partage **home**, onglet **Autorisations du partage**
* donner les permissions //Contrôle total// pour :
* //Utilisateurs authentifiés//
* //Domain Admins//
* //Système//
* dans l'onglet **Sécurité** :
* cliquer sur le bouton //"Avancé"// puis le bouton //"Modifier les autorisations"// dans la fenêtre qui apparaît
* décliquer //"Inclure les autorisations pouvant être héritées du parent de cet objet"//
* fermer la fenêtre avec **Ok**
* cliquer le bouton **Modifier** pour obtenir les autorisations suivantes :
* //Administrator : Full Control//
* //Utilisateurs authentifiés: Read & Execute, List Folder Contents, Read//
* //Créateur Propriétaire : Full Control//
* //Domain Admins : Full Control//
* //Système : Full Control//
* pour interdire à un utilisateur d'accéder aux répertoires home des autres utilisateurs, cliquer sur le bouton //"Avancé"// puis sur le bouton //"Modifier les autorisations"// dans la fenêtre qui apparaît
* sélectionner //"Utilisateurs authentifiés"//, cliquer sur le bouton //"Modifier"//, changer //"s'applique à"// pour mettre //"ce répertoire uniquement"//
==== Définir le répertoire de base dans les propriétés de compte ====
* connecté en tant qu'administrateur, lancer **"Open Active Directory Users and Computer"** (ADUC).
* sur un compte existant ou nouvellement créé, choisir l'onglet **Profil**
* choisir une unité logique (**u:**, ...) pour la connexion
* dans le champ **à** , indiquer **\\srv\home\%USERNAME%**, ce qui permettra de créer automatiquement le répertoire utilisateur
* cliquer sur //"Ok"// pour valider
* on peut vérifier avec les propriétés du partage dans la console
==== La redirection des répertoire de base avec les stratégies de groupes (GPO) ====
=== Créer la GPO redirection de répertoire de base ===
* en tant qu'administrateur, lancer la console **Group Policy Management**
* créer une nouvelle GPO ou bien en choisir une qui s'applique à l'OU souhaitée
* cliquer avec le bouton droit puis //"Modifier"//
* aller dans //"User Configuration / Policies / Windows Settings / Folder Redirection"//
*
==== Les liens ====
cf :
* http://dev.tranquil.it/wiki/SAMBA_-_Installation_d%27un_AD_Samba4_pour_un_nouveau_domaine
* http://dev.tranquil.it/wiki/SAMBA_-_Installation_des_outils_de_gestion_RSAT
* https://www.ordinoscope.net/index.php/Informatique/Softwares/Samba/Samba_4.x_-_comme_DC
* http://www.opensourceforu.com/2013/03/introducing-samba-4-now-even-more-awesomeness/
* et bien sûr le site Samba : https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
* https://wiki.samba.org/index.php/User_Home_Folders