====== Samba4 : Install ======

===== Encore à faire =====
  * Synchro temps
  * Backup

===== Installation =====
  - Editer le ficher hosts <code bash>nano /etc/hosts</code> Le nom du DC doit être mappé sur une IP accessible exemple <code>10.99.0.1     DC1.samdom.example.com     DC1</code>
  - Installer les paquets <code bash>apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user</code>Introduire le nom du domain kerberos et deux fois le nom du serveur en cours
  - Supprimer les configurations existantes <code bash>rm /etc/samba/smb.conf
mv /etc/krb5.conf /root
rm -R /var/lib/samba/private/*
rm -R /var/lib/samba/sysvol/*
rm -R /var/cache/samba/*</code>
  - Provisionner le serveur Samba <code bash>samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd
history -c</code>
  - Modifier /etc/resolv.conf pour y refléter l'adresse de ce serveur et le domaine de recherche <code bash>nano /etc/resolv.conf</code>
  - Copier le fichier krb5.conf <code bash>cp /var/lib/samba/private/krb5.conf /etc/krb5.conf</code>
  - Activer le service <code bash>systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
systemctl start samba-ad-dc</code>
  - Créer une zone dns inversée <code bash>samba-tool dns zonecreate dc1 20.10.10.in-addr.arpa -U Administrator</code>
===== Intégration des utilisateurs SMB dans Linux =====
Pour afficher les utilisateurs & groupes du LDAP dans Linux:
  - Installer le paquet libss_winbind: <code bash> apt install libnss-winbind</code>
  - Editer le fichier nsswitch: <code bash>nano /etc/nsswitch.conf</code> Et ajouter winbind aux entrées passwd et groups: <file config nsswitch.conf># /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat
gshadow:        files

hosts:          files mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
</file>

===== Quelques vérifications =====
  - Vérifier que Kerberos fonctionne <code bash>kinit administrator</code>. Si il ne fonctionne pas
     * Vérifier votre resolv.conf
     * Vérifier votre fichier /etc/krb5.conf
  - Quelques tests dns:
     * <code bash>host -t SRV _ldap._tcp.KERBEROSREALM.lan.</code>
     * <code bash>host -t SRV _kerberos._udp.KERBEROSREALM.lan.</code>
     * <code bash>host -t A dc1.KERBEROSREALM.lan.</code>


===== Certificats =====
==== Mise en route ====
  - Creer les certificats et clés
  - Les copier dans /var/lib/samba/private/tls
  - Editer le fichier smb.conf <code bash>nano /etc/samba/smb.conf</code> et rajouter les lignes suivantes <code>tls enabled  = yes
tls keyfile  = tls/server.key
tls certfile = tls/server.crt
tls cafile   = tls/rootCA.pem</code>
  - Redémarrer les services <code bash>service samba-ad-dc restart
service winbind restart
service nmbd restart
service smbd restart</code>
  - Editer nsswitch <code bash>nano /etc/nsswitch.conf</code> et rajouter winbind à passwd & group
passwd: files winbind
group:  files winbind

==== Vérification sur un autre poste ====
Après avoir copié le certificat du CA, vous pouvez vérifier si le certificat est valide en faisant la commande
<code bash>openssl s_client -connect serveur.domaine.lan:636</code>
La réponse doit être 0 (ok)
===== Sources =====
  * https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
  * https://turlucode.com/self-signed-certificates-by-your-own-ssl-certificate-authority-ca/