« Installer et configurer un serveur Samba-AD » : différence entre les versions

De Adminsys
Aller à la navigation Aller à la recherche
← Modification précédenteModification suivante →
(Aucune différence)

Version du 19 avril 2020 à 12:02

Installer et configurer un serveur Samba-AD

Samba-AD Sous Debian

I. Préparation

  • Modifier le fichier /etc/hostname et y renseigner le nom FQDN du serveur,
 srvads.mydomain.lan
  • Modifier /etc/hosts, renseigner le nom FQDN et le nom court du serveur,
 # /etc/hosts du serveur Samba-AD
 10.0.0.10 srvads.mydomain.lan srvads
  • Modifier /etc/network/interfaces et définir une adresse IP statique :
 # /etc/network/interfaces
 auto eth0
 iface eth0 inet static
     address 192.168.0.11/24
     gateway 192.168.0.254
  • Reboot de la machine,
  • Configurer la langue du système en anglais afin de faciliter la recherche de problèmes dans les logs,
 apt install -y locales-all
 localectl set-locale LANG=en_US.utf8
 localectl status
  • désactiver avahi-daemon (protocol mdns / bonjour),
 systemctl stop avahi-daemon.service avahi-daemon.socket
 systemctl disable avahi-daemon.service avahi-daemon.socket
  • Mise à jour et installer les outils indispensables,
 apt update -y
 apt install -y wget screen nmap telnet tcpdump rsync net-tools dnsutils htop apt-transport-https vim

II. Installer et configurer Samba-AD

  • Installer les paquets,
 apt install -y samba winbind libnss-winbind krb5-user smbclient ldb-tools
Configurer Kerberos
  • Supprimer le fichier /etc/krb5.conf,
 rm /etc/krb5.conf
  • Editer /etc/krb5.conf en indiquant ceci,\\ :!: default_realm doit absolument être écrit en lettres MAJUSCULES !!
 [libdefaults]
     default_realm = MYDOMAIN.LAN
     dns_lookup_kdc = true
     dns_lookup_realm = false
Configurer Samba
  • Supprimer le fichier /etc/samba/smb.conf
 rm /etc/samba/smb.conf
  • Provisionner le domaine
 samba-tool domain provision  --use-rfc2307 --realm=MYDOMAIN.LAN --domain MYDOMAIN --server-role=dc
  • Modifier la ligne dns forwarder = xxx.xxx.xxx.xxx dans le fichier /etc/samba/smb.conf
 dns forwarder = 8.8.8.8
  • Dans le fichier /etc/resolv.conf, remplacer les lignes suivante,
 search mydomain.lan
 nameserver 127.0.0.1
  • Création d'un lien symbolique vers le fichier /etc/krb5.conf
 rm /var/lib/samba/private/krb5.conf
 ln -s /etc/krb5.conf /var/lib/samba/private/krb5.conf
  • activer Samba pour qu’il démarre automatiquement au prochain reboot,
 systemctl unmask samba-ad-dc
 systemctl enable samba-ad-dc
 systemctl disable samba winbind nmbd smbd
 systemctl mask samba winbind nmbd smbd
  • Reboot de la machine
  • Tester kerberos,
 kinit administrator
 klist
  • Tester les DNS,
 dig @localhost google.fr
 dig @localhost srvads.mydomain.lan
 dig -t SRV @localhost _ldap._tcp.mydomain.lan

III. Installer et configurer Bind-DLZ

  • Installer le paquet Bind
 # apt install bind9
  • Modifier le fichier /etc/bind/named.conf.options :
 forwarders {
               Ip_du_DNS à Forward;
               
        };
 
 dnssec-validation no;
 auth-nxdomain no;    # conform to RFC1035
 listen-on-v6 { any; };
 tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
 minimal-responses yes;
 allow-query {  XXX.XXX.XXX.XXX/24; 127.0.0.1; };  # Réseaux autorisés à utiliser le serveur dns
  • Vérifier votre version de Bind :
 # named -V
  • Ajouter au fichier /etc/bind/named.conf :
 include "/var/lib/samba/bind-dns/named.conf";
  • Décommenter dans le fichier /var/lib/samba/bind-dns/named.conf la ligne correspondant à votre version de named.
  • Désactiver l'IPv6 sur le réseau local, dans /etc/default/bind9 :
 # run resolvconf?
 RESOLVCONF=no
 
 # startup options for the server
 OPTIONS="-4 -u bind"
  • Dans le fichier /etc/samba/smb.conf, ajouter la ligne suivante et commenter la ligne dns forwarders :
 [global]
 ...
 server services = -dns
 # dns forwarder =
  • Si l’on veut bénéficier des mises à jour dynamiques :
 # mkdir /var/lib/samba/bind-dns
 # mkdir /var/lib/samba/bind-dns/dns
  • Configurer les mises à jour dynamiques des entrées DNS :
 # samba_upgradedns --dns-backend=BIND9_DLZ
  • Relancer les services samba et bind :
 # systemctl restart samba-ad-dc
 # systemctl restart bind9
  • Tester les DNS,
 dig @localhost google.fr
 dig @localhost srvads.mydomain.lan
 dig -t SRV @localhost _ldap._tcp.mydomain.lan

IV. Installer et configurer NTP

Installation
  • Installation des packets :
 # apt install ntp ntpdate
Configuration

le fichier de configuration se trouve est /etc/ntp.conf

  • Ajouter juste en debut de fichier juste sous **"driftfile"** :
 ntpsigndsocket /var/lib/samba/ntp_signd
  • Ajouter en fin de fichier :
 restrict default kod nomodify notrap nopeer mssntp
  • Ajout des serveurs ntp remplacer les pools par :
 server 0.fr.pool.ntp.org
 server 1.fr.pool.ntp.org
 server 2.fr.pool.ntp.org
 server 3.fr.pool.ntp.org
  • Paramétrage des droits sur le socket :
 # chown root:ntp /var/lib/samba/ntp_signd/
 # chmod 750 /var/lib/samba/ntp_signd/
 # systemctl restart ntp
  • Vérification du service :
 # netstat –tulpn | grep ntp
  • Si besoin, forcer une resynchronisation sur poste Windows :
 w32tm /resync /nowait
!: Pensez à configurer le serveur ntp avec le dhcp

Samba-AD secondaire

I. Installer et configurer un Samba-AD secondaire

Samba-AD RODC

I. Installer et configurer un Samba-AD RODC

Récupérée de "https://wiki.grau-olivier.fr/index.php?title=Installer_et_configurer_un_serveur_Samba-AD&oldid=21"