26 mars 2019

TUTO Configurer Samba 4 AD sous Debian 9

Samba 4 est un logiciel pour Linux qui permet de faire du simple partage de fichiers mais aussi de créer un contrôleur de domaine entièrement compatible avec Active Directory. Vous trouverez ici un gros dossier pour vous aider à monter un Contrôleur de domaine Samba Active Directory à partir de zéro.

Nous allons voir comment configurer un contrôleur de domaine Samba Active Directory sous Debian 9.8 sans interface graphique avec Samba 4, et intégrer un client Windows 10 Pro (1809) au domaine.

Nous configurerons ensuite les outils RSAT, sur le client Windows 10, qui permettront d’administrer à distance les services de Samba 4 avec des outils graphiques.

->Préparez vous donc un Windows 10 Pro 1809 en parallèle car il servira également pour tester la bonne fonction du serveur DNS en cours de route.

Nous allons donc partir sur une configuration simple mais qui permettra de pratiquer la base de l’implémentation de Samba 4.

Ce document est réalisé sur des machines virtuelles dans un environnement VMWare Workstation.

Le niveau fonctionnel de Samba par défaut sera 2008_R2, ce qui veut dire que vous pourrez n’intégrer que des Windows server 2008_R2, ou n’intégrer votre Samba que dans une forêt au niveau 2008_R2. Ce niveau n’empêche pas d’intégrer des clients Windows 10 ou n’importe quelle version. Dans ce document, le serveur Samba 4 est le seul et unique contrôleur de domaine du réseau.

->Dans une configuration simple, le serveur nommé ici DCSRV fournira les service Active Directory ainsi qu’un service DNS intégré à Samba. Il n’est nul besoin d’installer un serveur DNS tiers. Le serveur fournira également le service NTP afin de synchroniser le temps sur les clients.

->Le serveur DCSRV ne possède qu’une seule interface réseau.

->Partez d’une installation vierge, aucun service Samba ne doit être installé. Installez seulement le serveur SSH pour pouvoir prendre la main et éventuellement copier/coller les commandes, et les Utilitaires usuels du sytème.

->N’installez pas le paquet resolvconf et assurez-vous qu’il ne soit pas installé et en fonction.

–>Pensez à désactiver le lecteur de CD dans le fichier /etc/apt/sources.list.

Sommaire

->Configuration du réseau sur le serveur
->Installation d’un serveur de temps
->Installation de Samba et dépendances
->Promotion en contrôleur de domaine
->Le fichier krb5.conf
->Paramètres DNS du serveur
->Gérer le service samba
->Test du serveur DNS et création de zone inversée
->Test d’authentification Kerberos
->Configuration d’un poste d’administration Windows 10
->Définir le serveur de temps
->Installer RSAT
->Integrer le poste au domaine
->Se loguer en admin du domaine, test du DNS, test de RSAT
->Les outils RSAT
->Gestion d’utilisateurs
->Test d’une GPO

Aller, on commence par configurer le réseau au niveau du serveur. Page suivante.

Pages: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

You may also like...

6 Responses

  1. mikedafunk dit :

    Merci pour cette documentation !

  2. vincent dit :

    Salut!

    qq trucs, pourquoi modifie-tu le krb5.conf généré par samba?
    la team samba recommande ne ne rien ajouter 🙂
    tu y met des paramètres inutiles, par exemple kdc_timesync = 1 et ccache_type = 4, c’est déjà les valeurs par défaut.
    de plus c’est des paramètres valables uniquement pour un kerberos MIT, alors qu’un peu plus bas tu a fcc-mit-ticketflags, un paramètre qui lui n’est valable que pour un kerberos HEIMDAL.

    coté windows 10, inutile de régler le serveur de temps (sauf si poste vraiment pas a l’heure), lors de la jonction au domaine windows se cale automatiquement sur le serveur AD/SAMBA pour se mettre a l’heure.
    a-tu vérifié si tes clients se mettent bien a l’heure après jonction au domaine? car le serveur de temps que tu rentre avant la jonction doit être remplacé automatiquement lors de la jonction, mais par défaut windows utilise NT5DS, or ton ntp.conf n’est pas configuré pour utiliser NT5DS (il manque l’option ntpsigndsocket et mssntp)

    et dernier truc, tu ajoute une zone dns inverse, mais elle ne sera pas remplie par tes clients windows si tu ne met pas « allow dns updates = nonsecure » dans le smb.conf.

    sinon bon tuto 🙂

    • ben dit :

      Honnetement je ne sais plus vraiment pourquoi ceci ou cela lol ça fait un moment que j’ai potassé le sujet. Je garde ton commentaire sous le coude tu as l’air bien calé sur le sujet et le jour où j’aurais besoin de me repencher sur la question il me servira. A tout hasard est-ce que je peux te contacter par mail un de ces 4 ? Si c’est la bonne adresse que je vois ici ?

  3. vincent dit :

    oui pas de soucis, le mail est le bon 🙂
    « calé sur le sujet » je sais pas, mais comme j’ai du ré-installer un samba AD sur une debian 10 dernièrement mes souvenirs sont frais!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *