introduction

À partir de la version 4.0, Samba est capable de s’exécuter en tant que contrôleur de domaine (DC) Active Directory (AD). Si vous installez Samba dans un environnement de production, il est recommandé d’exécuter deux ou plusieurs contrôleurs de domaine pour des raisons de basculement.

Cette documentation décrit comment configurer Samba en tant que premier DC pour créer une nouvelle forêt AD. De plus, utilisez cette documentation si vous migrez un domaine Samba NT4 vers Samba AD. Pour joindre Samba en tant que contrôleur de domaine supplémentaire à une forêt AD existante, reportez-vous à la section Association d’un contrôleur de domaine Samba à un annuaire Active Directory existant .

Samba en tant que DC AD ne supporte que:

• le serveur LDAP intégré comme backend AD. Pour plus de détails, voir la foire aux questions (FAQ). Les contrôleurs de domaine AD Samba prennent-ils en charge OpenLDAP ou d’autres serveurs LDAP comme back-end?
• le MIT et le centre de distribution de clés Heimdal Kerberos (KDC).

Samba utilise le KIT MIT fourni par votre système d’exploitation si vous exécutez Samba 4.7 ou ultérieur et qu’il a été construit en utilisant l’option --with-system-mitkrb5 . Dans d’autres cas, Samba utilise le KDC Heimdal inclus dans Samba. Pour plus d’informations sur Samba à l’aide du MCD KDC, consultez Exécution d’un contrôleur de domaine Samba AD avec MIT Kerberos KDC .

Préparation de l’installation

• Sélectionnez un nom d’hôte pour votre AD DC.

N’utilisez pas de termes NT4 uniquement comme nom d’hôte, tels que PDC ou BDC . Ces modes n’existent pas dans une ANNONCE et causent la confusion.

• Sélectionnez un domaine DNS pour votre forêt AD. Le nom sera également utilisé comme domaine AD Kerberos.

Assurez-vous de provisionner l’AD en utilisant un domaine DNS qui n’aura pas besoin d’être changé. Samba ne prend pas en charge le changement de nom de la zone DNS AD et du domaine Kerberos.

Pour plus d’informations, consultez la FAQ sur les noms de sites Active Directory .

• Utilisez une adresse IP statique sur le contrôleur de domaine.

• Désactivez les outils, tels que resolvconf , qui mettent automatiquement à jour le fichier de configuration du résolveur DNS /etc/resolv.conf . Les contrôleurs de domaine AD et les membres de domaine doivent utiliser un serveur DNS capable de résoudre les zones DNS AD.

• Vérifiez qu’aucun processus Samba n’est en cours d’exécution:

# ps ax |  egrep "samba | smbd | nmbd | winbindd"

Si la sortie répertorie les smbd samba , smbd , nmbd ou winbindd , winbindd les processus.

• Vérifiez que le fichier /etc/hosts sur le contrôleur de domaine résout correctement le nom de domaine complet (FQDN) et le nom d’hôte abrégé à l’adresse IP de réseau local du contrôleur de domaine. Par exemple:

127.0.0.1 localhost localhost.localdomain
192.168.98.230 dc-01.nadhome.wf dc-01

Le nom d’hôte et le nom de domaine complet ne doivent pas correspondre à l’adresse IP 127.0.0.1 ou à toute autre adresse IP que celle utilisée sur l’interface LAN du contrôleur de domaine.

• Si vous avez précédemment exécuté une installation Samba sur cet hôte:

• Supprimez le fichier smb.conf existant. Pour lister le chemin d’accès au fichier:

  # smbd -b |  grep "CONFIGFILE"
    CONFIGFILE: /usr/local/samba/etc/samba/smb.conf

• Supprimez tous les fichiers de base de données Samba, tels que les fichiers *.tdb et *.ldb . Pour répertorier les dossiers contenant des bases de données Samba:

  # smbd -b |  egrep "LOCKDIR | STATEDIR | CACHEDIR | PRIVATE_DIR"
   LOCKDIR: / usr / local / samba / var / lock /
   STATEDIR: / usr / local / samba / var / verrous /
   CACHEDIR: / usr / local / samba / var / cache /
   PRIVATE_DIR: / usr / local / samba / private /

Commencer avec un environnement propre permet d’éviter toute confusion et garantit qu’aucun fichier provenant d’une installation Samba précédente ne sera mélangé avec votre nouvelle installation DC de domaine.

• Supprimer un fichier /etc/krb5.conf existant:

  # rm /etc/krb5.conf

Installation de Samba

Pour plus de détails, voir Installation de Samba .

Installez uniquement une version Samba maintenue. Pour plus de détails, voir Samba Release Planning .

Provisioning un annuaire actif de Samba

Le processus d’approvisionnement AD Samba crée les bases de données AD et ajoute les enregistrements initiaux, tels que le compte d’administrateur de domaine et les entrées DNS requises.

Si vous migrez un domaine Samba NT4 vers AD, ignorez cette étape et exécutez la mise à niveau classique de Samba. Pour plus de détails, voir Migration d’un domaine Samba NT4 vers Samba AD (mise à niveau classique) .

L’approvisionnement AD nécessite des autorisations root pour créer des fichiers et définir des autorisations.

La commande samba-tool domain provision fournit plusieurs paramètres à utiliser avec l’installation interactive et non interactive. Pour plus de détails, voir:

# samba-tool domain provision --help

Lors du provisionnement d’un nouvel AD, il est recommandé d’activer les extensions NIS en passant le paramètre --use-rfc2307 à la commande de samba-tool domain provision . Cela vous permet de stocker des attributs Unix dans AD, tels que les ID utilisateur (UID), les chemins de répertoires personnels, les ID de groupe (GID).L’activation des extensions NIS n’a aucun inconvénient. Cependant, les activer dans un domaine existant nécessite d’étendre manuellement le schéma AD. Pour plus de détails sur les attributs Unix dans AD, voir: Configuration de RFC2307 dans AD idmap config = ad

Explication des paramètres

Définissez les paramètres suivants lors de l’approvisionnement:

Autres paramètres fréquemment utilisés avec la commande de samba-tool domain provision :

• --option="interfaces=lo eth0" --option="bind interfaces only=yes" : Si votre serveur a plusieurs interfaces réseau, utilisez ces options pour lier Samba aux interfaces spécifiées. Cela permet à la commande samba-tool d’enregistrer l’adresse IP LAN correcte dans le répertoire lors de la jointure.

NE PAS utiliser NONE comme backend DNS, il n’est pas supporté et sera supprimé dans une future version de Samba.

Si vous utilisez Bind comme backend DNS, n’utilisez PAS BIND9_FLATFILE , il n’est pas supporté et sera supprimé dans une future version de Samba.

Une fois que vous avez configuré le premier contrôleur de domaine dans un domaine AD, ne provisionnez plus de contrôleurs de domaine dans le même domaine. Adhérez à d’autres contrôleurs de domaine.

Provisioning Samba AD en mode interactif

Pour provisionner un AD Samba de manière interactive, exécutez:

  # samba-tool domaine provision --use-rfc2307 --interactif
 Domaine [SAMDOM.EXAMPLE.COM]: SAMDOM.EXAMPLE.COM
  Domaine [SAMDOM]: SAMDOM
  Rôle du serveur (dc, member, standalone) [dc]: dc
  Backend DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, AUCUN) [SAMBA_INTERNAL]: SAMBA_INTERNAL
  Adresse IP du redirecteur DNS (écrire 'none' pour désactiver le transfert) [10.99.0.1]: 8.8.8.8
 Mot de passe administrateur: Passw0rd
 Retapez le mot de passe: Passw0rd
 Recherche d'adresses IPv4
 Recherche d'adresses IPv6
 Aucune adresse IPv6 ne sera attribuée
 Configuration de share.ldb
 Configuration de secrets.ldb
 Configuration du registre
 Configuration de la base de données de privilèges
 Configuration de idmap db
 Configuration de SAM db
 Configuration des partitions et des paramètres sam.ldb
 Configuration de sam.ldb rootDSE
 Pré-chargement du schéma Samba 4 et AD
 Ajout de DomainDN: DC = samdom, DC = exemple, DC = com
 Ajouter un conteneur de configuration
 Configuration du schéma sam.ldb
 Configuration des données de configuration sam.ldb
 Configuration des spécificateurs d'affichage
 Modification des spécificateurs d'affichage
 Ajouter un conteneur d'utilisateurs                                                                                                                                                                                        
 Modification du conteneur des utilisateurs                                                                                                                                                                                     
 Ajouter un conteneur d'ordinateurs                                                                                                                                                                                    
 Modification du conteneur d'ordinateurs                                                                                                                                                                                 
 Configuration des données sam.ldb                                                                                                                                                                                       
 Configuration de principes de sécurité bien connus                                                                                                                                                                     
 Configuration des utilisateurs et des groupes sam.ldb                                                                                                                                                                           
 Configuration de l'auto-jointure                                                                                                                                                                                          
 Ajouter des comptes DNS                                                                                                                                                                                           
 Création de CN = MicrosoftDNS, CN = système, DC = samdom, DC = exemple, DC = com                                                                                                                                                
 Création de partitions DomainDnsZones et ForestDnsZones                                                                                                                                                         
 Remplissage des partitions DomainDnsZones et ForestDnsZones                                                                                                                                                       
 Configuration du marquage sam.ldb rootDSE comme synchronisé                                                                                                                                                            
 Corriger les GUID de provision                                                                                                                                                                                        
 Une configuration Kerberos adaptée à Samba 4 a été générée dans /usr/local/samba/private/krb5.conf                                                                                                        
 Configuration des paramètres du faux serveur yp                                                                                                                                                                            
 Une fois les fichiers ci-dessus sont installés, votre serveur Samba4 sera prêt à utiliser                                                                                                                                   
 Rôle serveur: contrôleur de domaine de répertoire actif                                                                                                                                                     
 Nom d'hôte: DC1                                                                                                                                                                                    
 Domaine NetBIOS: SAMDOM                                                                                                                                                                                 
 Domaine DNS: samdom.example.com                                                                                                                                                                     
 DOMAINE SID: S-1-5-21-2614513918-2685075268-614796884

Le mode d’approvisionnement interactif prend en charge la transmission d’autres paramètres à la commande de samba-tool domain provision . Cela vous permet de modifier les paramètres qui ne font pas partie de la configuration interactive.

Provisioning Samba AD en mode non-interactif

Par exemple, pour provisionner une AD Samba de manière non interactive avec les paramètres suivants:

• Rôle du serveur: dc
• Extensions NIS activées
• Back end interne DNS
• samdom.example.com Kerberos et zone DNS AD: samdom.example.com
• Nom de domaine NetBIOS: SAMDOM
• Mot de passe administrateur du domaine: Passw0rd

  # provision de domaine samba-tool --server-role = dc --use-rfc2307 --dns-backend = SAMBA_INTERNAL --realm = SAMDOM.EXAMPLE.COM --domaine = SAMDOM --adminpass = Passw0rd

Configuration de l’arrière-plan AD DNS

Ignorez cette étape si vous avez provisionné le SAMBA_INTERNAL l’aide du SAMBA_INTERNAL DNS SAMBA_INTERNAL .

• Configurez le serveur DNS BIND et le module BIND9_DLZ . Pour plus de détails, voir Configuration d’un serveur DNS BIND .

• Démarrez le serveur DNS BIND. Par exemple:

  # systemctl début nommé

Pour plus de détails sur la façon de démarrer les services, consultez la documentation de votre distribution.

Configuration du résolveur DNS

Les membres de domaine dans une AD utilisent le DNS pour localiser des services, tels que LDAP et Kerberos. Pour cela, ils doivent utiliser un serveur DNS capable de résoudre la zone DNS AD.

Sur votre contrôleur de domaine, définissez le domaine DNS AD dans le domain et l’adresse IP de votre /etc/resolv.confdomaine dans le paramètre /etc/resolv.conf fichier /etc/resolv.conf . Par exemple:

  domaine samdom.example.com
 serveur de noms 10.99.0.1

Configuration de Kerberos

Dans une ANNONCE, Kerberos est utilisé pour authentifier les utilisateurs, les machines et les services.

Pendant l’approvisionnement, Samba a créé un fichier de configuration Kerberos pour votre contrôleur de domaine. Copiez ce fichier dans la configuration Kerberos de votre système d’exploitation. Par exemple:

  # cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Ne créez pas de lien symbolique vers le fichier krb5.conf généré. Dans Samba 4.7 et versions ultérieures, le /usr/local/samba/private/ n’est plus accessible par les autres utilisateurs que l’utilisateur root . Si le fichier est un lien symbolique, les autres utilisateurs ne peuvent pas lire le fichier et, par exemple, les mises à jour DNS dynamiques échouent si vous utilisez le BIND_DLZ DNS BIND_DLZ .

La configuration Kerberos pré-créée utilise les enregistrements de ressources du service DNS (SRV) pour localiser le KDC.

Test de votre Samba AD DC

Pour démarrer le service samba manuellement, entrez:

  # samba

Samba ne fournit pas de scripts d’initialisation System V, systemd , upstart ou d’autres fichiers de configuration de services.

• Si vous avez installé Samba à l’aide de packages, utilisez le script ou le fichier de configuration de service inclus dans le package pour démarrer Samba.
• Si vous avez construit Samba, voir Gestion du service DC Samba AD .

Vérification du serveur de fichiers

Pour lister toutes les actions fournies par le DC:

  $ smbclient -L localhost -U%
 Domaine = [SAMDOM] OS = [Unix] Serveur = [Samba xyz]

         Sharename Type Commentaire
         --------- ---- -------
         Netlogon Disk      
         sysvol Disk      
         IPC IPC Service IPC (Samba xyz)
 Domaine = [SAMDOM] OS = [Unix] Serveur = [Samba xyz]

         Commentaire du serveur
         --------- -------

         Maître de groupe de travail
         --------- -------

Les netlogon et sysvol ont été créés automatiquement lors du provisionnement et doivent exister sur un contrôleur de domaine.

Pour vérifier l’authentification, connectez-vous au partage netlogon à l’aide du compte d’administrateur de domaine:

  $ smbclient // localhost / netlogon -UAdministrator -c 'ls'
 Entrez le mot de passe de l'administrateur: 
 Domaine = [SAMDOM] OS = [Unix] Serveur = [Samba xyz]
  .  D 0 mar. 1 nov. 08:40:00 2016
  .. D 0 mar. 1 nov. 08:40:00 2016

                49386 blocs de taille 524288. 42093 blocs disponibles

Si un ou plusieurs tests échouent, voir Dépannage .

Vérification du DNS

Pour vérifier que votre configuration DNS AD fonctionne correctement, interrogez certains enregistrements DNS:

• L’enregistrement SRV _ldap basé sur _ldap dans le domaine:

  $ host -t SRV _ldap._tcp.samdom.example.com.
 _ldap._tcp.samdom.example.com a un enregistrement SRV 0 100 389 dc1.samdom.example.com.

• L’enregistrement de ressource _kerberos SRV basé sur _kerberos dans le domaine:

  $ host -t SRV _kerberos._udp.samdom.example.com.
 _kerberos._udp.samdom.example.com a un enregistrement SRV 0 100 88 dc1.samdom.example.com.

• L’enregistrement A du contrôleur de domaine:

  $ host -t A dc1.samdom.example.com.
 dc1.samdom.example.com a l'adresse 10.99.0.1

Si un ou plusieurs tests échouent, voir Dépannage .

Vérification de Kerberos

• Demander un ticket Kerberos pour le compte d’administrateur de domaine:

  administrateur $ kinit
 Mot de passe pour administrator@SAMDOM.EXAMPLE.COM:

Le domaine Kerberos est automatiquement ajouté si vous ne transmettez pas le principal au format user@REALMà la commande kinit . Définissez les domaines Kerberos toujours en majuscules.

• Liste des tickets Kerberos mis en cache:

  $ klist
 Cache de ticket: FICHIER: / tmp / krb5cc_0
 Principal par défaut: administrator@SAMDOM.EXAMPLE.COM

 Début valide Expire le service principal
 01.11.2016 08:45:00 12.11.2016 18:45:00 krbtgt/SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM
	 renouveler jusqu'au 02.11.2016 08:44:59

Si un ou plusieurs tests échouent, voir Dépannage .

Configuration de la synchronisation de l’heure

Kerberos nécessite une heure synchronisée sur tous les membres du domaine. Pour plus de détails et comment configurer le service ntpd , voir Time Synchronization .

Utilisation du contrôleur de domaine en tant que serveur de fichiers

Le Samba AD DC est capable de fournir des partages de fichiers, comme tous les autres modes d’installation. Toutefois, l’équipe Samba ne recommande pas d’utiliser un smbd tant que serveur de fichiers car le processus DC smbd présente certaines limitations par rapport au service dans les configurations non DC. Par exemple, l’ acl_xattr système de fichiers virtuel acl_xattr activé automatiquement (VFS) vous permet de configurer uniquement des partages avec des listes de contrôle d’accès Windows (ACL). L’exécution de partages avec des ACL POSIX sur un contrôleur de domaine Samba n’est pas prise en charge.Pour fournir des partages réseau avec toutes les fonctionnalités de Samba, configurez un membre de domaine Samba avec des partages de fichiers. Pour plus de détails, voir:

• Configurer Samba en tant que membre de domaine
• Serveur de fichiers Samba

Si vous ne souhaitez pas suivre la recommandation de l’équipe Samba et utiliser le contrôleur de domaine en tant que serveur de fichiers, configurez Winbindd avant de commencer à configurer des partages. Pour plus de détails, voir Configuration de Winbindd sur un contrôleur de domaine Samba AD .