Samba4 : Install

• Synchro temps
• Backup

1. Editer le ficher hosts

   nano /etc/hosts

   Le nom du DC doit être mappé sur une IP accessible exemple

   10.99.0.1     DC1.samdom.example.com     DC1

2. Installer les paquets

   apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user

   Introduire le nom du domain kerberos et deux fois le nom du serveur en cours

3. Supprimer les configurations existantes

   rm /etc/samba/smb.conf
   mv /etc/krb5.conf /root
   rm -R /var/lib/samba/private/*
   rm -R /var/lib/samba/sysvol/*
   rm -R /var/cache/samba/*

4. Provisionner le serveur Samba

   samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd
   history -c

5. Modifier /etc/resolv.conf pour y refléter l'adresse de ce serveur et le domaine de recherche

   nano /etc/resolv.conf

6. Copier le fichier krb5.conf

   cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

7. Activer le service

   systemctl unmask samba-ad-dc
   systemctl enable samba-ad-dc
   systemctl start samba-ad-dc

8. Créer une zone dns inversée

   samba-tool dns zonecreate dc1 20.10.10.in-addr.arpa -U Administrator

Pour afficher les utilisateurs & groupes du LDAP dans Linux:

1. Installer le paquet libss_winbind:

    apt install libnss-winbind

2. Editer le fichier nsswitch:

   nano /etc/nsswitch.conf

   Et ajouter winbind aux entrées passwd et groups:

   nsswitch.conf

   # /etc/nsswitch.conf
   #
   # Example configuration of GNU Name Service Switch functionality.
   # If you have the `glibc-doc-reference' and `info' packages installed, try:
   # `info libc "Name Service Switch"' for information about this file.
    
   passwd:         compat winbind
   group:          compat winbind
   shadow:         compat
   gshadow:        files
    
   hosts:          files mdns4_minimal [NOTFOUND=return] dns
   networks:       files
    
   protocols:      db files
   services:       db files
   ethers:         db files
   rpc:            db files
    
   netgroup:       nis

1. Vérifier que Kerberos fonctionne

   kinit administrator

   . Si il ne fonctionne pas

   • Vérifier votre resolv.conf
   • Vérifier votre fichier /etc/krb5.conf
2. Quelques tests dns:

   • host -t SRV _ldap._tcp.KERBEROSREALM.lan.

   • host -t SRV _kerberos._udp.KERBEROSREALM.lan.

   • host -t A dc1.KERBEROSREALM.lan.

1. Creer les certificats et clés
2. Les copier dans /var/lib/samba/private/tls
3. Editer le fichier smb.conf

   nano /etc/samba/smb.conf

   et rajouter les lignes suivantes

   tls enabled  = yes
   tls keyfile  = tls/server.key
   tls certfile = tls/server.crt
   tls cafile   = tls/rootCA.pem

4. Redémarrer les services

   service samba-ad-dc restart
   service winbind restart
   service nmbd restart
   service smbd restart

5. Editer nsswitch

   nano /etc/nsswitch.conf

   et rajouter winbind à passwd & group

passwd: files winbind group: files winbind

Après avoir copié le certificat du CA, vous pouvez vérifier si le certificat est valide en faisant la commande

openssl s_client -connect serveur.domaine.lan:636

La réponse doit être 0 (ok)

• https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
• https://turlucode.com/self-signed-certificates-by-your-own-ssl-certificate-authority-ca/