makeITsimple wiki

Outils pour utilisateurs

Outils du site

Piste : resize-lvm second-dc jitsi mailpiler fileserver alpine-kiosk json_item
samba:install

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
samba:install [2020/07/01 18:50] – créée rootsamba:install [2021/06/20 09:40] (Version actuelle) – modification externe 127.0.0.1
Ligne 1: Ligne 1:
 ====== Samba4 : Install ====== ====== Samba4 : Install ======
  
 +===== Encore à faire =====
 +  * Synchro temps
 +  * Backup
  
 +===== Installation =====
 +  - Editer le ficher hosts <code bash>nano /etc/hosts</code> Le nom du DC doit être mappé sur une IP accessible exemple <code>10.99.0.1     DC1.samdom.example.com     DC1</code>
 +  - Installer les paquets <code bash>apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user</code>Introduire le nom du domain kerberos et deux fois le nom du serveur en cours
 +  - Supprimer les configurations existantes <code bash>rm /etc/samba/smb.conf
 +mv /etc/krb5.conf /root
 +rm -R /var/lib/samba/private/*
 +rm -R /var/lib/samba/sysvol/*
 +rm -R /var/cache/samba/*</code>
 +  - Provisionner le serveur Samba <code bash>samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd
 +history -c</code>
 +  - Modifier /etc/resolv.conf pour y refléter l'adresse de ce serveur et le domaine de recherche <code bash>nano /etc/resolv.conf</code>
 +  - Copier le fichier krb5.conf <code bash>cp /var/lib/samba/private/krb5.conf /etc/krb5.conf</code>
 +  - Activer le service <code bash>systemctl unmask samba-ad-dc
 +systemctl enable samba-ad-dc
 +systemctl start samba-ad-dc</code>
 +  - Créer une zone dns inversée <code bash>samba-tool dns zonecreate dc1 20.10.10.in-addr.arpa -U Administrator</code>
 +===== Intégration des utilisateurs SMB dans Linux =====
 +Pour afficher les utilisateurs & groupes du LDAP dans Linux:
 +  - Installer le paquet libss_winbind: <code bash> apt install libnss-winbind</code>
 +  - Editer le fichier nsswitch: <code bash>nano /etc/nsswitch.conf</code> Et ajouter winbind aux entrées passwd et groups: <file config nsswitch.conf># /etc/nsswitch.conf
 +#
 +# Example configuration of GNU Name Service Switch functionality.
 +# If you have the `glibc-doc-reference' and `info' packages installed, try:
 +# `info libc "Name Service Switch"' for information about this file.
 +
 +passwd:         compat winbind
 +group:          compat winbind
 +shadow:         compat
 +gshadow:        files
 +
 +hosts:          files mdns4_minimal [NOTFOUND=return] dns
 +networks:       files
 +
 +protocols:      db files
 +services:       db files
 +ethers:         db files
 +rpc:            db files
 +
 +netgroup:       nis
 +</file>
 +
 +===== Quelques vérifications =====
 +  - Vérifier que Kerberos fonctionne <code bash>kinit administrator</code>. Si il ne fonctionne pas
 +     * Vérifier votre resolv.conf
 +     * Vérifier votre fichier /etc/krb5.conf
 +  - Quelques tests dns:
 +     * <code bash>host -t SRV _ldap._tcp.KERBEROSREALM.lan.</code>
 +     * <code bash>host -t SRV _kerberos._udp.KERBEROSREALM.lan.</code>
 +     * <code bash>host -t A dc1.KERBEROSREALM.lan.</code>
 +
 +
 +===== Certificats =====
 +==== Mise en route ====
 +  - Creer les certificats et clés
 +  - Les copier dans /var/lib/samba/private/tls
 +  - Editer le fichier smb.conf <code bash>nano /etc/samba/smb.conf</code> et rajouter les lignes suivantes <code>tls enabled  = yes
 +tls keyfile  = tls/server.key
 +tls certfile = tls/server.crt
 +tls cafile   = tls/rootCA.pem</code>
 +  - Redémarrer les services <code bash>service samba-ad-dc restart
 +service winbind restart
 +service nmbd restart
 +service smbd restart</code>
 +  - Editer nsswitch <code bash>nano /etc/nsswitch.conf</code> et rajouter winbind à passwd & group
 +passwd: files winbind
 +group:  files winbind
 +
 +==== Vérification sur un autre poste ====
 +Après avoir copié le certificat du CA, vous pouvez vérifier si le certificat est valide en faisant la commande
 +<code bash>openssl s_client -connect serveur.domaine.lan:636</code>
 +La réponse doit être 0 (ok)
 +===== Sources =====
 +  * https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
 +  * https://turlucode.com/self-signed-certificates-by-your-own-ssl-certificate-authority-ca/
samba/install.1593629459.txt.gz · Dernière modification : (modification externe)