makeITsimple wiki

Outils pour utilisateurs

Outils du site

Piste : theorie lvm fileserver concretecms install etat pbs restic install
samba:install

Ceci est une ancienne révision du document !

Table des matières

Samba4 : Install

Encore à faire

  • Synchro temps
  • Backup

Installation

  1. Editer le ficher hosts 
    nano /etc/hosts

    Le nom du DC doit être mappé sur une IP accessible exemple 

    10.99.0.1     DC1.samdom.example.com     DC1
  2. Installer les paquets 
    apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user

    Introduire le nom du domain kerberos et deux fois le nom du serveur en cours

  3. Supprimer les configurations existantes 
    rm /etc/samba/smb.conf
mv /etc/krb5.conf /root
rm -R /var/lib/samba/private/*
rm -R /var/lib/samba/sysvol/*
rm -R /var/cache/samba/*
  4. Provisionner le serveur Samba 
    samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd
history -c
  5. Modifier /etc/resolv.conf pour y refléter l'adresse de ce serveur et le domaine de recherche 
    nano /etc/resolv.conf
  6. Copier le fichier krb5.conf 
    cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
  7. Activer le service 
    systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
systemctl start samba-ad-dc
  8. Créer une zone dns inversée 
    samba-tool dns zonecreate dc1 20.10.10.in-addr.arpa -U Administrator

Quelques vérifications

  1. Vérifier que Kerberos fonctionne 
    kinit administrator

    . Si il ne fonctionne pas

    • Vérifier votre resolv.conf
    • Vérifier votre fichier /etc/krb5.conf
  2. Quelques tests dns:
    • host -t SRV _ldap._tcp.KERBEROSREALM.lan.
    • host -t SRV _kerberos._udp.KERBEROSREALM.lan.
    • host -t A dc1.KERBEROSREALM.lan.

Certificats

Mise en route

  1. Creer les certificats et clés
  2. Les copier dans /var/lib/samba/private/tls
  3. Editer le fichier smb.conf 
    nano /etc/samba/smb.conf

    et rajouter les lignes suivantes 

    tls enabled  = yes
tls keyfile  = tls/server.key
tls certfile = tls/server.crt
tls cafile   = tls/rootCA.pem
  4. Redémarrer les services 
    service samba-ad-dc restart
service winbind restart
service nmbd restart
service smbd restart

Vérification sur un autre poste

Après avoir copié le certificat du CA, vous pouvez vérifier si le certificat est valide en faisant la commande 

openssl s_client -connect serveur.domaine.lan:636

La réponse doit être 0 (ok)

Sources

samba/install.1593710958.txt.gz · Dernière modification : (modification externe)