Afficher la pageAnciennes révisionsLiens de retourHaut de page Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur. ====== TP - Installation d’un serveur Samba4 en tant que Contrôleur de domaine AD ====== **//Philippe Sevre//** //V 3.2 - Mis à jour le 2016-05-11// ===== Objectifs ===== * Installer un serveur Samba en tant que Contrôleur de domaine (DC) et effectuer le paramétrage de base * Faire adhérer un poste de travail Windows à un domaine Windows AD * Créer des utilisateurs et des groupes * Créer des partages avec les droits associés * Créer un script de connexion ===== Prérequis ===== * une machine **Linux Debian Jessie** * une machine **Windows Seven** en tant que client ===== Installation de Samba ===== === Couche réseau adressage fixe === * on mettra la machine en adressage fixe avec une passerelle et le DNS opérationnels. * on appelle la machine **samba4** (changer dans /etc/hosts et /etc/hostname) * le fichier ''/etc/hosts'' doit être au format suivant : <code> 127.0.0.1 localhost 192.168.1.1 samba4.domaine.lan samba4 </code> === Les prérequis === * on doit disposer des paquets : **acl, xattr, cups, ntp** * pour ce faire, taper : '' aptitude install acl python-xattr cups ntp'' === Installation de Samba4 === * La version actuelle de Samba sur jessie est la 4.2.10 * pour le paramétrage Kerberos, on devra indiquer le serveur Kerberos du REALM (ici DOMAINE.LAN) <code> root@samba4:~# aptitude update root@samba4:~# aptitude install samba samba-doc winbind libnss-winbind smbclient krb5-user root@samba4:~# samba -V Version 4.2.10-Debian </code> * pour créer le domaine : * on devra auparavant supprimer le ficher **smb.conf** avec la commande ''rm /etc/samba/smb.conf'' <code> samba-tool domain provision --use-rfc2307 --realm=domaine.lan --domain DOMAINE --adminpass=xxxxxxx --server-role=dc </code> * relancer **samba** avec : ''service samba restart'' * pour tester : <code> $ smbclient -L localhost -U% Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.2.10) Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10] Server Comment --------- ------- Workgroup Master --------- ------- </code> * Pour tester l'authentification <code> $ smbclient //localhost/netlogon -UAdministrator -c 'ls' Enter Administrator's password: pa$$w0rd Domain=[DOMAINE] OS=[Unix] Server=[Samba 4.2.10] . D 0 Sat Jul 5 08:40:00 2014 .. D 0 Sat Jul 5 08:40:00 2014 49386 blocks of size 524288. 42093 blocks available </code> ==== Création d'utilisateur depuis la ligne de commande ==== <code> root@samba4:~# samba-tool user create bob Azerty1+ User 'bob' created successfully root@samba4:~# samba-tool user create alice Azerty1+ User 'alice' created successfully root@samba4:~# samba-tool user list Administrator krbtgt alice Guest bob </code> ==== Création d'un partage ==== * on veut créer le partage **pub** accessible en lecture/écriture à tout le monde dans le fichier /etc/samba/smb.conf insérer : <code> [pub] path = /home/pub read only = No </code> * pour adapter les droits d'accès au partage, cf : https://wiki.samba.org/index.php/Shares_with_POSIX_ACLs * ou bien https://wiki.samba.org/index.php/Shares_with_Windows_ACLs ===== le DNS ===== Le DNS est indispensable au fonctionnement d'un contrôleur de domaine Microsoft. On peut choisir l'utilisation de Bind ou bien (c'est le cas ici) le serveur DNS interne proposé par Samba. === le fichier /etc/resolv.conf === le serveur DNS utilisé est le serveur lui-même <code> domain domaine.lan server 192.168.1.1 </code> === les tests DNS === On doit vérifier l'existence d'enregistrement **SRV** pour LDAP et Kerberos : <code> $ host -t SRV _ldap._tcp.domain.lan $ host -t SRV _kerberos._udp.domaine.lan. $ host -t A samba4.domaine.lan. </code> ===== Adhésion d'un client au domaine ===== * avant toute chose, s'assurer que le client utilise le serveur Samba en tant que serveur DNS et que le nom de domaine DNS est bien **domaine.lan** * faire adhérer le client Windows au domaine **DOMAINE** en utilisant le compte **Administrator**. ===== Installation de RSAT sur le client ===== * se connecter sur le client avec le compte de domaine **Administrator** * une fois connecté, installer **RSAT** 32 ou 64 bits disponible ici : ftp://store/pub/divers/rsat/ * celui-ci installé, choisir //Démarrer/Panneau de configuration/Programmes/Activer ou désactiver des fonctionnalités Windows// * on activera les éléments suivants : * //Outils d'administration de serveur distant/Outils d'administration de fonctionnalités/Outils de gestion des stratégies de groupe// * //Outils d'administration de serveur distant/Outils d'administration de rôles/Outils du serveur DNS// * //Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS// : tout choisir * //Outils d'administration de serveur distant/Outils d'administration de rôles/Outils AD DS et AD LDS/Outils AD DS// : tout choisir sauf //Outils de Serveur pour NIS// ==== Utilisation de RSAT ==== * les consoles **MMC** se trouvent dans //Panneau de configuration/Système et sécurité/Outils d'administration// * on peut alors utiliser les différentes consoles MMC (gestion AD, DNS, GPO, ...) ==== Mise en place de répertoire personnel ==== On souhaite que chaque utilisateur puisse disposer d'un répertoire personnel dans le partage **home** * ajouter dans **/etc/samba/smb.conf** les lignes suivantes : <code> [home] path = /home/samba/home/ read only = No </code> * créer le répertoire avec : ''mkdir -p /home/samba/home'' * relancer samba avec : ''smbcontrol all reload-config'' ==== Paramétrage du partage et des droits d'accès ==== * depuis le client WIndows, connecté dans le domaine avec un compte adapté (Admin...) * choisir //Ordinateur/Gérer/Action/Se connecter à un autre ordinateur// * choisir le serveur Samba * puis //Outils système/Dossiers partagés/Partages// * puis atteindre les propriétés du partage **home**, onglet **Autorisations du partage** * donner les permissions //Contrôle total// pour : * //Utilisateurs authentifiés// * //Domain Admins// * //Système// * dans l'onglet **Sécurité** : * cliquer sur le bouton //"Avancé"// puis le bouton //"Modifier les autorisations"// dans la fenêtre qui apparaît * décliquer //"Inclure les autorisations pouvant être héritées du parent de cet objet"// * fermer la fenêtre avec **Ok** * cliquer le bouton **Modifier** pour obtenir les autorisations suivantes : * //Administrator : Full Control// * //Utilisateurs authentifiés: Read & Execute, List Folder Contents, Read// * //Créateur Propriétaire : Full Control// * //Domain Admins : Full Control// * //Système : Full Control// * pour interdire à un utilisateur d'accéder aux répertoires home des autres utilisateurs, cliquer sur le bouton //"Avancé"// puis sur le bouton //"Modifier les autorisations"// dans la fenêtre qui apparaît * sélectionner //"Utilisateurs authentifiés"//, cliquer sur le bouton //"Modifier"//, changer //"s'applique à"// pour mettre //"ce répertoire uniquement"// ==== Définir le répertoire de base dans les propriétés de compte ==== * connecté en tant qu'administrateur, lancer **"Open Active Directory Users and Computer"** (ADUC). * sur un compte existant ou nouvellement créé, choisir l'onglet **Profil** * choisir une unité logique (**u:**, ...) pour la connexion * dans le champ **à** , indiquer **\\srv\home\%USERNAME%**, ce qui permettra de créer automatiquement le répertoire utilisateur * cliquer sur //"Ok"// pour valider * on peut vérifier avec les propriétés du partage dans la console ==== La redirection des répertoire de base avec les stratégies de groupes (GPO) ==== === Créer la GPO redirection de répertoire de base === * en tant qu'administrateur, lancer la console **Group Policy Management** * créer une nouvelle GPO ou bien en choisir une qui s'applique à l'OU souhaitée * cliquer avec le bouton droit puis //"Modifier"// * aller dans //"User Configuration / Policies / Windows Settings / Folder Redirection"// * ==== Les liens ==== cf : * http://dev.tranquil.it/wiki/SAMBA_-_Installation_d%27un_AD_Samba4_pour_un_nouveau_domaine * http://dev.tranquil.it/wiki/SAMBA_-_Installation_des_outils_de_gestion_RSAT * https://www.ordinoscope.net/index.php/Informatique/Softwares/Samba/Samba_4.x_-_comme_DC * http://www.opensourceforu.com/2013/03/introducing-samba-4-now-even-more-awesomeness/ * et bien sûr le site Samba : https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO * https://wiki.samba.org/index.php/User_Home_Folders tp_samba4.txt Dernière modification : 2017/05/16 13:47de 127.0.0.1