12 octobre 2021

TUTO Installer Samba 4 AD sous Debian 11

Tout d’abord, je vous invite à désactiver votre bloqueur de pubs pour Infotrucs.fr. Je vous rassure vous ne serez pas inondé ! Et ça récompense mon travail 🙂

Samba 4 est un logiciel pour Linux qui permet de faire du simple partage de fichiers mais aussi de créer un contrôleur de domaine entièrement compatible avec Active Directory de Microsoft. Vous trouverez ici un gros dossier pour vous aider à monter un Contrôleur de domaine Samba Active Directory à partir de zéro.

Nous allons voir comment configurer un contrôleur de domaine Samba Active Directory sous Debian 11 Bullseye (11.1) sans interface graphique avec Samba 4, et intégrer un client Windows 10 Pro au domaine.

Si vous avez besoin d’installer SAMBA sur un Debian 9, suivez plutôt cette version du tuto : www.infotrucs.fr/tuto-configurer-samba-4-sous-debian-9/

Nous configurerons ensuite les outils RSAT, sur le client Windows 10, qui permettront d’administrer à distance les services de Samba 4 avec des outils graphiques.

->Préparez vous donc un Windows 10 Pro en parallèle car il servira également pour tester la bonne fonction du serveur DNS en cours de route.

Nous allons donc partir sur une configuration simple mais qui permettra de pratiquer la base de l’implémentation de Samba 4.

Ce document est réalisé sur des machines virtuelles dans un environnement VMWare Workstation.

Le niveau fonctionnel de Samba par défaut sera 2008_R2, ce qui veut dire que vous pourrez n’intégrer que des Windows server 2008_R2, ou n’intégrer votre Samba que dans une forêt au niveau 2008_R2. Ce niveau n’empêche pas d’intégrer des clients Windows 10 Pro ou n’importe quelle version compatible AD. Dans ce document, le serveur Samba 4 est le seul et unique contrôleur de domaine du réseau.

->Dans une configuration simple, le serveur nommé ici DCSRV fournira les service Active Directory ainsi qu’un service DNS intégré à Samba. Il n’est nul besoin d’installer un serveur DNS tiers. 

->Le serveur DCSRV ne possède qu’une seule interface réseau.

->Partez d’une installation vierge, aucun service Samba ne doit être installé. Installez seulement le serveur SSH pour pouvoir prendre la main et éventuellement copier/coller les commandes, et les Utilitaires usuels du sytème. N’installez pas d’interface graphique !!!

->N’installez pas le paquet resolvconf et assurez-vous qu’il ne soit pas installé et en fonction.

–>Pensez à désactiver le lecteur de CD dans le fichier /etc/apt/sources.list.

Sommaire

->Configuration du réseau sur le serveur
->Installation de Samba et dépendances
->Promotion en contrôleur de domaine
->Le fichier krb5.conf
->Paramètres DNS du serveur
->Gérer le service samba
->Test du serveur DNS et création de zone inversée
->Test d’authentification Kerberos
->Configuration d’un poste d’administration Windows 10
->Installer RSAT
->Integrer le poste au domaine
->Se loguer en admin du domaine, test du DNS, test de RSAT
->Les outils RSAT
->Gestion d’utilisateurs
->Test d’une GPO

Aller, on commence par configurer le réseau au niveau du serveur. Page suivante.

Pages: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Share

You may also like...

29 Responses

  1. christian couvrat dit :

    Bonjour,
    Tout d’abord super tuto, mais j’ai un soucis, je n’arrive pas à integrer mon client win10 PRO au domaine via mondomaine.fr il ne le trouve pas mais, si je met « mondomaine » alors il me demande les identifiants, je les rentre et il ne trouve plus le serveur, tout votre tuto a été suivi à la lettre et sans erreur, je suis sous debian 11
    Merci pour votre aide,

    Cordialement

    • ben dit :

      Avez-vous testé de faire des requetes nslookup vers le serveur DNS depuis le client ? Vous vous assurerez de cette façon que le serveur répond et qu’il fonctionne.

      • christian couvrat dit :

        Bonsoir Ben,
        Pour répondre, nslookup ne m’a rien retourné, ensuite les commande DNS fonctionne bien, je le ping avec un autre pc sur le réseau, mais ce que je n’explique pas c’est le fait de lui rentrer le domaine « XXXXXX.YY » et qu’il me dise qu’il ne le trouve pas puis quand je lui rentre mon domaine en XXXXXX beh la il veux mes id et quand je lui donne beh il ne le trouve plus… j’ai tenté avec n mot de passe erroné et pareil même pas d’erreur… pour le moment j’ai tout viré et reinstallé DEBIAN 11 a neuf et SSH…

        • ben dit :

          Nslookup permet des commandes DNS, quand vous dites que les commandes DNS fonctionnent c’est à partir de quelle machine et avec quelles commandes ? Avant de tenter de rentrer le PC dans le domaine il faut d’abord être sûr que le client ping le serveur, et que nslookup requête bien le serveur DNS depuis le client Windows.

    • beent dit :

      vous avez bien mis le dns du serveur dans la carte reseau de votre client winsows ? sinon ce ne marchera pas,

      • ben dit :

        Tout à fait ! Mais j’ose espérer que oui XD

      • Anonyme dit :

        moi sa marche bien, faut juste bien se connecter sur le client windows avec une session du domain, sinon un tuto pour intégrer bind9 avec samba4 dans le futur ?

        • ben dit :

          Bonne question ! Je ne suis pas sûr que ce soit une bonne pratique d’ailleurs. S’il existe déjà un DNS sur le réseau c’est probablement parce qu’il a un autre rôle à jouer à la base. Vaudrait peut-être mieux mettre en relation les deux DNS, ou je ne sais pas. Quand j’aurais du temps je me pencherais sur la question !

  2. beent dit :

    un tuto pour intégrer bind9 dans le futur ?

  3. christian couvrat dit :

    Bonsoir,

    Donc, je me suis remis a la mise en place d’un contrôleur de domaine en suivant cette article, et cette fois ci je viens avec une réponse à mon problème qui m’a bouffé du temps… en faite une fois la manip terminée, lorsque du pc client je lançais un nslookup, j’avais un unknown suis d’une adresse ipv6! et mon domaine était donc introuvable, j’ai donc dans un premier temps désactivé l’ipv6 coté server, mais rien, alors j’ai fais de même mais coté client, et là… eureka !!! ça fonctionne nickel. Il faut donc penser à désactiver l’ipv6 de la carte réseau sinon ça ne fonctionne pas 🙂

    • ben dit :

      Merci de ta contribution. Je n’ai pas eu de problème de ce côté là personnellement et je ne me suis pas occupé de IPv6. C’est assez étonnant, surtout si tu pingue et que ça répond sans avoir encore désactivé IPv6. J’avoue que je reste perplexe 😀

  4. christian couvrat dit :

    Bonsoir Ben,
    Non justement le ping non plus sauf l’IP du AD,
    Mais si je faisais ping mondomaine.local rien, ce qui m’a permis de chercher ailleurs … Et lorsque j’ai fais un nslookup mondomaine.local… il me répondait unknown puis dessous l’IP V6 avec ensuite la petite phrase qui va bien me disant non-exixtant server…
    Mais je vais refaire mon installation en propre maintenant que je sais … Alors petit détail est win11 aussi qui a l’IP V6 activé par défaut ? Ça serait pas impossible… Je reste dans 15j et te dis. Enfin ton tuto est vraiment nickel merci pour ton boulot.

    Bonne soirée à toi

    • ben dit :

      Merci à toi. Oui je parlais du ping IP. Ok ça vaudrait le coup de retester avec windows 10 du coup, car si c’est la seule différence ça peut être le problème en effet. Bonne journée.

  5. NanoZero dit :

    Excellentes explications, très bonne pédagogie.
    Pour ma part même problème que pour @Christian_Couvrat, à un détail près : le serveur est derrière un VPN (OpenVPN en TAP). Les requêtes DNS passent très bien sur IPv4 comme IPv6 en revanche l’accès au domaine ne se fait pas : MONDOMAINE.LAN ne fonctionne pas et MONDOMAINE me demande des informations d’identification qui tournent dans le vide : une communication se fait donc bien.
    Votre documentation étant très bien faite, je pense que le soucis vient davantage de ce que laisse passer ou non le VPN mais si vous aviez une idée immédiate d’où pourrait venir à coup sûr le problème, n’hésitez pas.
    En vous remerciant.

  6. NanoZero dit :

    Rebonjour,
    Merci de votre réponse rapide (en plus !). C’est deux pages que j’avais en effet consultées dernièrement et que j’ai donc appliquées à mon serveur sur votre recommandation. Je pense avoir compris d’où vient mon problème. Je suivais votre documentation dans l’idée de voir comment tout cela fonctionnait avant de l’appliquer professionnellement et donc je l’ai fait avec deux machines sur un réseau local familiale (entendre par là : derrière une box). Et le soucis doit venir de là. Je pense que le DNS interne de Samba fonctionne, en revanche le DNS de la box a tout planté et fait qu’une requête « nslookup » (sur le PC W10 Pro) sur l’adresse du serveur répond : « serveur.home » et non : « serveur.domaine.lan » comme il se devrait. En gros, la box fait autorité et on sait comment les box sont personnalisables… Bref, je vais me débrouiller.
    D’autre part, une question m’est venue, pourquoi ne pas faire : « samba-tool dns zonecreate serveur.domaine.lan [adresse_ip] -U administrator » ? Samba le fait-il lui-même automatiquement ? Je suis novice avec l’outil DNS de Samba que je ne connaissais pas, j’ai jusque là utilisé Bind9 et DNS Masq alors je suis perdu car je ne comprends pas où sont écrits les enregistrements.
    Quoi qu’il en soit, merci !

    • ben dit :

      Perso je ne me suis limité qu’à l’administration du DNS intégré via RSAT et donc avec interface graphique et la zone était bien créée. Il me semble que j’avais juste créé la zone inversée via RSAT. On peut aussi ajouter des zones via samba-tool mais pas besoin de faire la zone principale.
      C’est étonnant que le client windows requete le DNS de la box. Vous l’avez mise en redirecteur dans le serveur DNS de samba ? Avez-vous bien mis l’adresse du samba comme DNS sur le windows ?
      Si le client windows requete le DNS samba et ne trouve pas votre domaine alors il demande au redirecteur. Ajoutez un enregistrement dans le DNS samba via RSAT et voyez si vous pouvez le resoudre via le Windows.
      Dur de vous aidez à distance, je ne sais pas il faut tout essayer quoi ^^

      • NanoZero dit :

        Désolé de vous avoir fait perdre votre temps : comme @Christian_Couvrat, le problème venait là aussi de l’IPv6 mais chez moi pour une raison différente. En effet, la box est en IPv6 et les requêtes DNS passent d’abord par l’IPv6 pour être résolue quand elles le peuvent, sinon c’est l’IPv4 qui prend le relais. Et le soucis dans mon réseau qui n’a rien de pro : le DNS de la box répondait en IPv6 et avait nommé mon serveur : « serveur.home ». « Requête résolue », on s’arrête là mais ce n’est pas le comportement voulu. Or si l’on vérifiait la même chose sur le DNS du serveur en IPv4 (ce que l’on peut faire automatiquement en dé-configurant l’IPv6 de l’interface du W10 Pro) c’est bien le nom : « serveur.domaine.lan » qui ressortait du DNS du serveur ! Et donc ensuite tout fonctionne. Désolé de vous avoir fait perdre du temps sur mon problème, toutefois j’ose espérer que cette information permettra à d’autres de comprendre que l’IPv6 en DNS peut poser problème lors de la configuration d’un domaine Samba en IPv4.
        Quoi qu’il en soit, merci ! Au plaisir de lire vos prochaines documentations.

  7. christian couvrat dit :

    Salut Ben,
    Premièrement, une bonne et heureuse année 2022 à toi et surtout la santé 🙂
    Donc, me revoilà avec une installation toute neuve, et je te confirme que même win10 à l’ip V6 activée par défaut, il faut donc le désactiver pour que cela fonctionne, pour répondre partiellement à @NanoZero, je vais mettre en place un VPN en passant par PFsense, j’ai mais, voici ma nouvelle install pour mieux comprendre et surement plus de facilité (une fois que tout fontionne):
    – un serveur prolians ML350 G8V2 avec proxmox v7 installé dessus
    – un routeur secondaire qui me sert de switch eth et wifi
    – un serveur prolians ML110 (oui il est vieux ah ah) qui me sert d’AD
    PFsense est installé en VM sur proxmox
    J’ai 2 interfaces réseau physique et 2 virtuelles vmbr0 et vmbr1, la zero est relié au WAN et la 1 au LAN, c’est important pour le bon fonctionnement. Mon LAN communique bien vers le WAN, ping et tout OK, mais du WAN vers le LAN nada… c’est ce qu’on recherche… donc vu que le pfsense communique avec le WAN on peut donc mettre en place un VPN, il faut aller voir coté règle de routage pour autoriser le traffic.
    Mais j’ai un soucis que je vais poster sur ton tuto coté pfsense, il sera à la bonne place 🙂 . sinon @ Ben tu fais du bon boulot 🙂 encore merci.

  8. Eric Lemaitre dit :

    Bonjour,

    Votre tuto (remaquable d’ailleurs), mentionne l’utiliation de la Debian 11.1, dois je impérativement utiliser celle ci ou puis-je installer le 11.2 ?

    • ben dit :

      Bonjour !
      Et merci beaucoup 🙂
      Je pense qu’il n’y a pas de problème à l’utilisation de la 11.2 car je ne pense pas qu’il y aura de différence notable. C’est généralement quand on change de release qu’il peut y avoir de gros changements. A tester ! Votre retour est bienvenu à ce sujet.
      Bon montage!

  9. Rice OUATENE dit :

    Salut j’ai exécuté les commandes susmentionnées mais mon serveur samba n’est toujours pas activé. Que faire alors?

  10. Romain dit :

    bonjour, j’ai suivi votre tuto et quand j’entre la commande kinit administrator cela me marque une erreur:

    kinit: cannot find KDC for realm « nom de mon serveur » while getting initial credentials.

    seriez d’où vient cette erreur ? merci pour votre réponse

  11. Lucas dit :

    Bonjour, tout d’abord merci pour ce tuto qui m’aide bien. J’ai un problème lors de la première commande host cela m’affiche not found: 3(NXDOMAIN). Auriez-vous une idée de pourquoi ? Merci à vous

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.