TP - Installation d’un serveur Samba4 en tant que Contrôleur de domaine AD
Philippe Sevre
V 3.2 - Mis à jour le 2016-05-11
Objectifs
Installer un serveur Samba en tant que Contrôleur de domaine (DC) et effectuer le paramétrage de base
Faire adhérer un poste de travail Windows à un domaine Windows AD
Créer des utilisateurs et des groupes
Créer des partages avec les droits associés
Créer un script de connexion
Prérequis
Installation de Samba
Couche réseau adressage fixe
127.0.0.1 localhost
192.168.1.1 samba4.domaine.lan samba4
Les prérequis
on doit disposer des paquets : acl, xattr, cups, ntp
pour ce faire, taper : aptitude install acl python-xattr cups ntp
Installation de Samba4
root@samba4:~# aptitude update
root@samba4:~# aptitude install samba samba-doc winbind libnss-winbind smbclient krb5-user
root@samba4:~# samba -V
Version 4.2.10-Debian
samba-tool domain provision --use-rfc2307 --realm=domaine.lan --domain DOMAINE --adminpass=xxxxxxx --server-role=dc
$ smbclient -L localhost -U%
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.2.10)
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
Server Comment
--------- -------
Workgroup Master
--------- -------
$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password: pa$$w0rd
Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10]
. D 0 Sat Jul 5 08:40:00 2014
.. D 0 Sat Jul 5 08:40:00 2014
49386 blocks of size 524288. 42093 blocks available
Création d'utilisateur depuis la ligne de commande
root@samba4:~# samba-tool user create bob Azerty1+
User 'bob' created successfully
root@samba4:~# samba-tool user create alice Azerty1+
User 'alice' created successfully
root@samba4:~# samba-tool user list
Administrator
krbtgt
alice
Guest
bob
Création d'un partage
dans le fichier /etc/samba/smb.conf insérer :
[pub]
path = /home/pub
read only = No
le DNS
Le DNS est indispensable au fonctionnement d'un contrôleur de domaine Microsoft.
On peut choisir l'utilisation de Bind ou bien (c'est le cas ici) le serveur DNS interne proposé par Samba.
le fichier /etc/resolv.conf
le serveur DNS utilisé est le serveur lui-même
domain domaine.lan
server 192.168.1.1
les tests DNS
On doit vérifier l'existence d'enregistrement SRV pour LDAP et Kerberos :
$ host -t SRV _ldap._tcp.domain.lan
$ host -t SRV _kerberos._udp.domaine.lan.
$ host -t A samba4.domaine.lan.
Adhésion d'un client au domaine
Installation de RSAT sur le client
se connecter sur le client avec le compte de domaine Administrator
-
celui-ci installé, choisir Démarrer/Panneau de configuration/Programmes/Activer ou désactiver des fonctionnalités Windows
on activera les éléments suivants :
Outils d'administration de serveur distant/Outils d'administration de fonctionnalités/Outils de gestion des stratégies de groupe
Outils d'administration de serveur distant/Outils d'administration de rôles/Outils du serveur DNS
Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS : tout choisir
Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS/Outils AD DS : tout choisir sauf Outils de Serveur pour NIS
Utilisation de RSAT
Mise en place de répertoire personnel
On souhaite que chaque utilisateur puisse disposer d'un répertoire personnel dans le partage home
[home]
path = /home/samba/home/
read only = No
Paramétrage du partage et des droits d'accès
depuis le client WIndows, connecté dans le domaine avec un compte adapté (Admin…)
choisir Ordinateur/Gérer/Action/Se connecter à un autre ordinateur
choisir le serveur Samba
puis Outils système/Dossiers partagés/Partages
puis atteindre les propriétés du partage home, onglet Autorisations du partage
donner les permissions Contrôle total pour :
dans l'onglet Sécurité :
cliquer sur le bouton “Avancé” puis le bouton “Modifier les autorisations” dans la fenêtre qui apparaît
décliquer “Inclure les autorisations pouvant être héritées du parent de cet objet”
fermer la fenêtre avec Ok
cliquer le bouton Modifier pour obtenir les autorisations suivantes :
Administrator : Full Control
Utilisateurs authentifiés: Read & Execute, List Folder Contents, Read
Créateur Propriétaire : Full Control
Domain Admins : Full Control
Système : Full Control
pour interdire à un utilisateur d'accéder aux répertoires home des autres utilisateurs, cliquer sur le bouton “Avancé” puis sur le bouton “Modifier les autorisations” dans la fenêtre qui apparaît
sélectionner “Utilisateurs authentifiés”, cliquer sur le bouton “Modifier”, changer “s'applique à” pour mettre “ce répertoire uniquement”
Définir le répertoire de base dans les propriétés de compte
connecté en tant qu'administrateur, lancer “Open Active Directory Users and Computer” (ADUC).
sur un compte existant ou nouvellement créé, choisir l'onglet Profil
choisir une unité logique (u:, …) pour la connexion
dans le champ
à , indiquer
\\srv\home\%USERNAME%, ce qui permettra de créer automatiquement le répertoire utilisateur
cliquer sur “Ok” pour valider
on peut vérifier avec les propriétés du partage dans la console
La redirection des répertoire de base avec les stratégies de groupes (GPO)
Créer la GPO redirection de répertoire de base
en tant qu'administrateur, lancer la console Group Policy Management
créer une nouvelle GPO ou bien en choisir une qui s'applique à l'OU souhaitée
cliquer avec le bouton droit puis “Modifier”
aller dans “User Configuration / Policies / Windows Settings / Folder Redirection”
Les liens