Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
samba-active-directory [Le 17/07/2018, 21:28] Qedinux [Initialisation de Samba] Mise à jour 18.04 |
samba-active-directory [Le 04/05/2024, 21:14] (Version actuelle) 81.185.161.216 [Test de Kerberos] |
||
|---|---|---|---|
| Ligne 59: | Ligne 59: | ||
| restrict 127.0.0.1 | restrict 127.0.0.1 | ||
| </file> | </file> | ||
| + | |||
| + | **MANQUE LA CONFIGURATION DE LA CARTE RESEAU** | ||
| ==== Installation à partir des dépôts ==== | ==== Installation à partir des dépôts ==== | ||
| Il faut [[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt>samba]]** | Il faut [[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt>samba]]** | ||
| Ligne 74: | Ligne 76: | ||
| <code>samba-tool domain provision --help </code> | <code>samba-tool domain provision --help </code> | ||
| Parmi celles-ci, il est recommandé d'utiliser au moins les deux options suivantes | Parmi celles-ci, il est recommandé d'utiliser au moins les deux options suivantes | ||
| - | * L'option //--use-rfc2307// active les attributs Posix et crée les informations NIS dans l'AD. Ceci permet d'administrer les UIDs/GIDs et autres paramètres UNIX (visibles sous l'onglet "Unix attributes" de l'[[http://technet.microsoft.com/en-us/library/cc754217.aspx|ADUC]]). Il est plus simple de l'activer durant l'initialisation plutôt que par la suite. De plus, même si vous n'en avez pas (encore) besoin, ceci n'impacte pas les performances de votre installation. | + | * L'option //%%--use-rfc2307%%// active les attributs Posix et crée les informations NIS dans l'AD. Ceci permet d'administrer les UIDs/GIDs et autres paramètres UNIX (visibles sous l'onglet "Unix attributes" de l'[[http://technet.microsoft.com/en-us/library/cc754217.aspx|ADUC]]). Il est plus simple de l'activer durant l'initialisation plutôt que par la suite. De plus, même si vous n'en avez pas (encore) besoin, ceci n'impacte pas les performances de votre installation. |
| - | * L'option //--interactive// rend le processus d'initialisation interactif. L'utilisateur devra répondre à quelques questions pour paramétrer la création du domaine. Sans cette option, le processus d'initialisation se base sur les valeurs existantes dans le fichier /etc/samba/smb.conf et sur les valeurs par défaut. | + | * L'option //%%--interactive%%// rend le processus d'initialisation interactif. L'utilisateur devra répondre à quelques questions pour paramétrer la création du domaine. Sans cette option, le processus d'initialisation se base sur les valeurs existantes dans le fichier /etc/samba/smb.conf et sur les valeurs par défaut. |
| <code> sudo samba-tool domain provision --use-rfc2307 --interactive</code> | <code> sudo samba-tool domain provision --use-rfc2307 --interactive</code> | ||
| Ligne 112: | Ligne 114: | ||
| <code>sudo samba-tool domain join example.com DC -U administrator --realm=EXAMPLE.COM</code> | <code>sudo samba-tool domain join example.com DC -U administrator --realm=EXAMPLE.COM</code> | ||
| - | <note important>Après cette commande, **il faut vérifier** si certains enregistrements dans le DNS sont bien présents ! L'absence de ceux-ci empêchera le fonctionnement du contrôleur de domaine additionnel. (cfr [[https://wiki.samba.org/index.php/Check_and_fix_DNS_entries_on_DC_joins|Check and fix DNS entries on DC joins]] et [[https://bugzilla.samba.org/show_bug.cgi?id=10928|Bug 10928]]) | + | <note important>Après cette commande, **il faut vérifier** si certains enregistrements dans le DNS sont bien présents ! L'absence de ceux-ci empêchera le fonctionnement du contrôleur de domaine additionnel (cfr [[https://wiki.samba.org/index.php/Check_and_fix_DNS_entries_on_DC_joins|Check and fix DNS entries on DC joins]] et [[https://bugzilla.samba.org/show_bug.cgi?id=10928|Bug 10928]] résolu avec Samba 4.7). |
| Vérification de la résolution du nom 'ubndc02.example.com' | Vérification de la résolution du nom 'ubndc02.example.com' | ||
| Ligne 145: | Ligne 147: | ||
| ===== Démarrer Samba AD DC ===== | ===== Démarrer Samba AD DC ===== | ||
| Avant de démarrer Samba AD DC, il est important de vérifier la bonne configuration du DNS. | Avant de démarrer Samba AD DC, il est important de vérifier la bonne configuration du DNS. | ||
| - | Le fichier /etc/resolv.conf devrait contenir | + | Le fichier /etc/resolv.conf devrait contenir |
| <file - /etc/resolv.conf>search example.com | <file - /etc/resolv.conf>search example.com | ||
| nameserver 127.0.0.1</file> | nameserver 127.0.0.1</file> | ||
| - | Si ce fichier est géré par //resolvconf//, il faut le configurer correctement, par exemple, en ajoutant ou modifiant l'option //dns-nameservers 127.0.0.1// dans le fichier /etc/network/interfaces. | ||
| - | <file - /etc/network/interfaces>... | ||
| - | iface eth0 inet static | ||
| - | ... | ||
| - | dns-nameservers 127.0.0.1 | ||
| - | ...</file> | ||
| - | Après avoir modifié ce fichier, il faut exécuter la commande suivante pour prendre en compte cette modification. | ||
| - | <code>sudo service networking restart</code> | ||
| - | Une alternative serait de supprimer le paquet //resolvconf// et de configurer manuellement le fichier /etc/resolv.conf. | + | En fonction de la configuration réseau utilisée, ces paramètres peuvent être statiques ou gérer par un autre sous-système (se référer à [[tutoriel:comment_configurer_son_reseau_local|Comment configurer son réseau local ?]], [[dns#configuration_d_un_dns_alternatif|Configuration d'un DNS alternatif]] et [[utilisateurs:ool:netplan|netplan]]) |
| - | Le service Samba se gère via [[:upstart|Upstart]] et la commande //service//. Avant de démarrer Samba AD DC, il faut d'abord arrêter les services //smbd// et //nmbd//. | + | Le service Samba se gère de préférence via [[:systemd|systemd]] et la commande //systemctl// mais peut également se gérer via [[:upstart|Upstart]] et la commande //service//. Avant de démarrer Samba AD DC, il faut d'abord arrêter les services //smbd// et //nmbd// (//samba.service//). |
| - | <code>sudo service smbd stop | + | <code>sudo systemctl stop samba.service |
| - | sudo service nmbd stop | + | sudo systemctl start samba-ad-dc.service</code> |
| - | sudo service samba-ad-dc start</code> | + | |
| Pour connaître l'ensemble des services démarrés par samba : | Pour connaître l'ensemble des services démarrés par samba : | ||
| Ligne 198: | Ligne 191: | ||
| user::rw- | user::rw- | ||
| group::rw- | group::rw- | ||
| - | group:adm:rw- | + | group:adm:rwx |
| mask::rw- | mask::rw- | ||
| other::r--</code> | other::r--</code> | ||
| Ligne 207: | Ligne 200: | ||
| Le paquet //attr// va, entre autre, installer les commandes //setfattr// et //getfattr// afin de définir et lire les attributs étendu d'un fichier. | Le paquet //attr// va, entre autre, installer les commandes //setfattr// et //getfattr// afin de définir et lire les attributs étendu d'un fichier. | ||
| - | Pour vérifier le fonctionnement des attributs étendus, on peut exécuter les commandes ci-dessous sur un fichier d'une partition qui a les attributs étentus activé | + | Pour vérifier le fonctionnement des attributs étendus, on peut exécuter les commandes ci-dessous sur un fichier d'une partition qui a les attributs étentus activé |
| Pour ajouter des attributs étendus : | Pour ajouter des attributs étendus : | ||
| Ligne 287: | Ligne 280: | ||
| ... | ... | ||
| </file> | </file> | ||
| - | <note important>Le nom du "royaume" (realm) s'écrit toujours **lettres majuscules**</note> | + | <note important>Le nom du "royaume" (realm) s'écrit toujours en **LETTRES MAJUSCULES**</note> |
| Voici quelques commandes permettant de tester le serveur Kerberos : | Voici quelques commandes permettant de tester le serveur Kerberos : | ||
| Ligne 347: | Ligne 340: | ||
| * Primary Domain Controller Emulator ((PDC Emulator)) : 1 par domaine | * Primary Domain Controller Emulator ((PDC Emulator)) : 1 par domaine | ||
| * Infrastructure Master: 1 par domaine | * Infrastructure Master: 1 par domaine | ||
| - | Le projet Samba a ajouté à ceux-ci 2 rôles supplémentaires (([[https://wiki.samba.org/index.php/Flexible_Single-Master_Operations_%28FSMO%29_roles|Samba FSMO roles]])) | + | Le projet Samba a ajouté à ceux-ci 2 rôles supplémentaires (([[https://wiki.samba.org/index.php/Flexible_Single-Master_Operations_(FSMO)_Roles|Samba FSMO roles]])) |
| * Forest DNS Zones Master: 1 par forêt | * Forest DNS Zones Master: 1 par forêt | ||
| * Domain DNS Zones Master: 1 par domaine | * Domain DNS Zones Master: 1 par domaine | ||
| - | Bien que non visible avec les outils samba 4.2 et antérieurs, ceux-ci existent bien dans l'Active Directory (([[https://wiki.samba.org/index.php/Transfering_/_seizing_FSMO_roles#Show_current_FSMO_role_owners|Samba - Show current FSMO role owners]])). | ||
| === Voir les propriétaires des rôles FSMO === | === Voir les propriétaires des rôles FSMO === | ||
| La commande //samba-tool// permet de voir les propriétaires de chaque rôle FSMO. L'exécution doit se faire sur un contrôleur de domaine. | La commande //samba-tool// permet de voir les propriétaires de chaque rôle FSMO. L'exécution doit se faire sur un contrôleur de domaine. | ||
| Ligne 364: | Ligne 356: | ||
| Dans l'exemple ci-dessus, on voit que le contrôleur de domaine //ubndc01// possède tous les rôles. | Dans l'exemple ci-dessus, on voit que le contrôleur de domaine //ubndc01// possède tous les rôles. | ||
| === Transfert des rôles FSMO === | === Transfert des rôles FSMO === | ||
| - | La commande //samba-tool// permet de transférer les rôles FSMO d'un contrôleur de domaine à l'autre. L'exécution doit se faire sur le contrôleur de domaine qui reprend le(s) rôle(s). | + | La commande //samba-tool// permet de transférer les rôles FSMO d'un contrôleur de domaine à l'autre(([[https://wiki.samba.org/index.php/Transferring_and_Seizing_FSMO_Roles|Transferring and Seizing FSMO roles]])). L'exécution doit se faire sur le contrôleur de domaine qui reprend le(s) rôle(s). |
| <code>sudo samba-tool fsmo transfer --role=all -U administrator | <code>sudo samba-tool fsmo transfer --role=all -U administrator | ||
| FSMO transfer of 'rid' role successful | FSMO transfer of 'rid' role successful | ||
| Ligne 373: | Ligne 365: | ||
| ERROR: ... | ERROR: ... | ||
| </code> | </code> | ||
| - | Il est possible de transférer tous les rôles en même temps avec l'argument //all// (comme dans l'exemple ci-dessus) ou de transférer un rôle à la fois. | + | Il est possible de transférer tous les rôles en même temps avec l'argument //all// (comme dans l'exemple ci-dessus) ou de transférer un rôle à la fois. Il est possible de recevoir des messages d'erreurs lors de l'exécution. Il faut réessayer et patienter. Après un certains temps (5 à 10 minutes, le temps d'une réplication), ça devrait être en ordre et visible avec la commande //samba-tool fsmo show//. |
| - | + | ||
| - | Il est possible de recevoir des messages d'erreurs lors de l'exécution. Il faut réessayer et patienter. Après un certains temps (5 à 10 minutes), ça devrait être en ordre et visible avec la commande //samba-tool fsmo show//. Cependant, le projet Samba annonce qu'il existe un bug connu pour cette opération (([[https://wiki.samba.org/index.php/Transfering_/_seizing_FSMO_roles#Transferring_a_FSMO_role|Transferring a FSMO role]] - [[https://bugzilla.samba.org/show_bug.cgi?id=10734|Bug 10734]])). Un patch existe mais n'aurait peut-être pas encore été approuvé et appliqué (depuis 2015-10-28). | + | |
| === Retrait d'un contrôleur de domaine === | === Retrait d'un contrôleur de domaine === | ||
| Ligne 388: | Ligne 378: | ||
| ===== Mise à jour depuis un domaine Samba de type NT4 vers un AD===== | ===== Mise à jour depuis un domaine Samba de type NT4 vers un AD===== | ||
| - | Si vous prévoyez la migration depuis un domain Samba NT4 existant vers un domaine Samba AD, reportez-vous à la page [[http://wiki.samba.org/index.php/Samba4/samba-tool/domain/classicupgrade/HOWTO|Classic Upgrade HowTo]] | + | Si vous prévoyez la migration depuis un domain Samba NT4 existant vers un domaine Samba AD, reportez-vous à la page [[https://wiki.samba.org/index.php/Samba4/samba-tool/domain/classicupgrade/HOWTO|Classic Upgrade HowTo]] |
| ===== Informations optionnelles et complémentaires ===== | ===== Informations optionnelles et complémentaires ===== | ||
| Le wiki Samba (en anglais) met à disposition de nombreuses documentations complémentaires \\ | Le wiki Samba (en anglais) met à disposition de nombreuses documentations complémentaires \\ | ||
| - | * Pour l'administration de votre DC : | + | * Pour l'administration de votre DC : |
| * [[https://wiki.samba.org/index.php/Backup_and_Recovery|Sauvegarde et restauration]] | * [[https://wiki.samba.org/index.php/Backup_and_Recovery|Sauvegarde et restauration]] | ||
| * [[https://wiki.samba.org/index.php/Setup_and_configure_file_shares|Configuration des partages de fichiers]] | * [[https://wiki.samba.org/index.php/Setup_and_configure_file_shares|Configuration des partages de fichiers]] | ||
| Ligne 407: | Ligne 397: | ||
| ===== Références ===== | ===== Références ===== | ||
| - | * [[http://wiki.samba.org/index.php/Samba|Wiki Samba]] | + | * [[https://wiki.samba.org/index.php/Samba|Wiki Samba]] |
| * Articles dans Linux Pratique n°79 de sept/oct 2013 (pages 68 à 73) et n°80 de nov/déc (pages 70 à 76) | * Articles dans Linux Pratique n°79 de sept/oct 2013 (pages 68 à 73) et n°80 de nov/déc (pages 70 à 76) | ||
| //Contributeurs principaux : [[utilisateurs:bcag2|bcag2]], [[:utilisateurs:Qedinux|Qedinux]]// | //Contributeurs principaux : [[utilisateurs:bcag2|bcag2]], [[:utilisateurs:Qedinux|Qedinux]]// | ||