TP - Installation d’un serveur Samba4 en tant que Contrôleur de domaine AD
Philippe Sevre
V 3.2 - Mis à jour le 2016-05-11
Objectifs
- Installer un serveur Samba en tant que Contrôleur de domaine (DC) et effectuer le paramétrage de base
- Faire adhérer un poste de travail Windows à un domaine Windows AD
- Créer des utilisateurs et des groupes
- Créer des partages avec les droits associés
- Créer un script de connexion
Prérequis
- une machine Linux Debian Jessie
- une machine Windows Seven en tant que client
Installation de Samba
Couche réseau adressage fixe
- on mettra la machine en adressage fixe avec une passerelle et le DNS opérationnels.
- on appelle la machine samba4 (changer dans /etc/hosts et /etc/hostname)
- le fichier
/etc/hosts
doit être au format suivant :
127.0.0.1 localhost 192.168.1.1 samba4.domaine.lan samba4
Les prérequis
- on doit disposer des paquets : acl, xattr, cups, ntp
- pour ce faire, taper :
aptitude install acl python-xattr cups ntp
Installation de Samba4
- La version actuelle de Samba sur jessie est la 4.2.10
- pour le paramétrage Kerberos, on devra indiquer le serveur Kerberos du REALM (ici DOMAINE.LAN)
root@samba4:~# aptitude update root@samba4:~# aptitude install samba samba-doc winbind libnss-winbind smbclient krb5-user root@samba4:~# samba -V Version 4.2.10-Debian
- pour créer le domaine :
- on devra auparavant supprimer le ficher smb.conf avec la commande
rm /etc/samba/smb.conf
samba-tool domain provision --use-rfc2307 --realm=domaine.lan --domain DOMAINE --adminpass=xxxxxxx --server-role=dc
- relancer samba avec :
service samba restart
- pour tester :
$ smbclient -L localhost -U% Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.2.10) Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10] Server Comment --------- ------- Workgroup Master --------- -------
- Pour tester l'authentification
$ smbclient //localhost/netlogon -UAdministrator -c 'ls' Enter Administrator's password: pa$$w0rd Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10] . D 0 Sat Jul 5 08:40:00 2014 .. D 0 Sat Jul 5 08:40:00 2014 49386 blocks of size 524288. 42093 blocks available
Création d'utilisateur depuis la ligne de commande
root@samba4:~# samba-tool user create bob Azerty1+ User 'bob' created successfully root@samba4:~# samba-tool user create alice Azerty1+ User 'alice' created successfully root@samba4:~# samba-tool user list Administrator krbtgt alice Guest bob
Création d'un partage
- on veut créer le partage pub accessible en lecture/écriture à tout le monde
dans le fichier /etc/samba/smb.conf insérer :
[pub] path = /home/pub read only = No
- pour adapter les droits d'accès au partage, cf : https://wiki.samba.org/index.php/Shares_with_POSIX_ACLs
le DNS
Le DNS est indispensable au fonctionnement d'un contrôleur de domaine Microsoft. On peut choisir l'utilisation de Bind ou bien (c'est le cas ici) le serveur DNS interne proposé par Samba.
le fichier /etc/resolv.conf
le serveur DNS utilisé est le serveur lui-même
domain domaine.lan server 192.168.1.1
les tests DNS
On doit vérifier l'existence d'enregistrement SRV pour LDAP et Kerberos :
$ host -t SRV _ldap._tcp.domain.lan $ host -t SRV _kerberos._udp.domaine.lan. $ host -t A samba4.domaine.lan.
Adhésion d'un client au domaine
- avant toute chose, s'assurer que le client utilise le serveur Samba en tant que serveur DNS et que le nom de domaine DNS est bien domaine.lan
- faire adhérer le client Windows au domaine DOMAINE en utilisant le compte Administrator.
Installation de RSAT sur le client
- se connecter sur le client avec le compte de domaine Administrator
- une fois connecté, installer RSAT 32 ou 64 bits disponible ici : ftp://store/pub/divers/rsat/
- celui-ci installé, choisir Démarrer/Panneau de configuration/Programmes/Activer ou désactiver des fonctionnalités Windows
- on activera les éléments suivants :
- Outils d'administration de serveur distant/Outils d'administration de fonctionnalités/Outils de gestion des stratégies de groupe
- Outils d'administration de serveur distant/Outils d'administration de rôles/Outils du serveur DNS
- Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS : tout choisir
- Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS/Outils AD DS : tout choisir sauf Outils de Serveur pour NIS
Utilisation de RSAT
- les consoles MMC se trouvent dans Panneau de configuration/Système et sécurité/Outils d'administration
- on peut alors utiliser les différentes consoles MMC (gestion AD, DNS, GPO, …)
Mise en place de répertoire personnel
On souhaite que chaque utilisateur puisse disposer d'un répertoire personnel dans le partage home
- ajouter dans /etc/samba/smb.conf les lignes suivantes :
[home] path = /home/samba/home/ read only = No
- créer le répertoire avec :
mkdir -p /home/samba/home
- relancer samba avec :
smbcontrol all reload-config
Paramétrage du partage et des droits d'accès
- depuis le client WIndows, connecté dans le domaine avec un compte adapté (Admin…)
- choisir Ordinateur/Gérer/Action/Se connecter à un autre ordinateur
- choisir le serveur Samba
- puis Outils système/Dossiers partagés/Partages
- puis atteindre les propriétés du partage home, onglet Autorisations du partage
- donner les permissions Contrôle total pour :
- Utilisateurs authentifiés
- Domain Admins
- Système
- dans l'onglet Sécurité :
- cliquer sur le bouton “Avancé” puis le bouton “Modifier les autorisations” dans la fenêtre qui apparaît
- décliquer “Inclure les autorisations pouvant être héritées du parent de cet objet”
- fermer la fenêtre avec Ok
- cliquer le bouton Modifier pour obtenir les autorisations suivantes :
- Administrator : Full Control
- Utilisateurs authentifiés: Read & Execute, List Folder Contents, Read
- Créateur Propriétaire : Full Control
- Domain Admins : Full Control
- Système : Full Control
- pour interdire à un utilisateur d'accéder aux répertoires home des autres utilisateurs, cliquer sur le bouton “Avancé” puis sur le bouton “Modifier les autorisations” dans la fenêtre qui apparaît
- sélectionner “Utilisateurs authentifiés”, cliquer sur le bouton “Modifier”, changer “s'applique à” pour mettre “ce répertoire uniquement”
Définir le répertoire de base dans les propriétés de compte
- connecté en tant qu'administrateur, lancer “Open Active Directory Users and Computer” (ADUC).
- sur un compte existant ou nouvellement créé, choisir l'onglet Profil
- choisir une unité logique (u:, …) pour la connexion
- dans le champ à , indiquer \\srv\home\%USERNAME%, ce qui permettra de créer automatiquement le répertoire utilisateur
- cliquer sur “Ok” pour valider
- on peut vérifier avec les propriétés du partage dans la console
La redirection des répertoire de base avec les stratégies de groupes (GPO)
Créer la GPO redirection de répertoire de base
- en tant qu'administrateur, lancer la console Group Policy Management
- créer une nouvelle GPO ou bien en choisir une qui s'applique à l'OU souhaitée
- cliquer avec le bouton droit puis “Modifier”
- aller dans “User Configuration / Policies / Windows Settings / Folder Redirection”
Les liens
cf :
- et bien sûr le site Samba : https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO