Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
tutoriel:samba_ad_dc_members [Le 24/04/2018, 22:45]
Qedinux [Authentification hors ligne] Procédure mise à jour
tutoriel:samba_ad_dc_members [Le 16/07/2018, 22:45] (Version actuelle)
Qedinux [Joindre la machine au domaine] Mise à jour pour 18.04
Ligne 29: Ligne 29:
 <file - /​etc/​resolv.conf>​nameserver 192.168.1.11 <file - /​etc/​resolv.conf>​nameserver 192.168.1.11
 search example.com</​file>​ search example.com</​file>​
-Ces paramètres sont soit fournis par le serveur DHCP du réseau ou configurés de façon statique dans le fichier /​etc/​network/​interfaces ​par l'​intermédiaire du paquet //​resolvconf//​ avec les commandes dns-nameservers et dns-search. +Ces paramètres sont soit fournis par le serveur DHCP du réseau ou configurés de façon statique dans le fichier ​**/​etc/​network/​interfaces** (obsolète à partir de 18.04) ou dans un fichier YAML dans **/etc/netplan** (par défaut à partir de 18.04) (se référer à [[tutoriel:​comment_configurer_son_reseau_local|Comment configurer son réseau local ?]] et [[utilisateurs:​ool:​netplan|netplan]]) 
-<file - /etc/network/​interfaces>​auto eth0 +
-iface eth0 inet static +
-  address 192.168.1.101 +
-  ​netmask 255.255.255.0 +
-  gateway 192.168.1.1 +
-  dns-nameservers 192.168.1.11 +
-  dns-search example.com</​file>​+
 Les tests suivant devraient renvoyer des résultats corrects (se référer à [[:​samba-active-directory#​tests_du_dns|Samba AD DC - Tests du DNS]]) Les tests suivant devraient renvoyer des résultats corrects (se référer à [[:​samba-active-directory#​tests_du_dns|Samba AD DC - Tests du DNS]])
 <​code>​dig ubndc01.example.com</​code>​ <​code>​dig ubndc01.example.com</​code>​
Ligne 85: Ligne 79:
 ==== Configurer samba ==== ==== Configurer samba ====
 La configuration de samba peut être réécrite comme suit : La configuration de samba peut être réécrite comme suit :
 +  * Pour Ubuntu 14.04 et 16.04 (avant Samba 4.6)
 <file - /​etc/​samba/​smb.conf>​ <file - /​etc/​samba/​smb.conf>​
 # Global parameters ​                                                                         # Global parameters ​                                                                        
Ligne 102: Ligne 97:
  
         winbind nss info = rfc2307         winbind nss info = rfc2307
 +        winbind trusted domains only = no
 +        winbind use default domain = yes
 +        winbind enum users = yes
 +        winbind enum groups = yes
 +        winbind refresh tickets = yes
 +                ​
 +        kerberos method = system keytab
 +</​file>​
 +  * A partir d'​Ubuntu 17.10 (à partir de Samba 4.6)
 +<file - /​etc/​samba/​smb.conf>​
 +# Global parameters ​                                                                        
 +[global]
 +        workgroup = EXAMPLE
 +        realm = EXAMPLE.COM
 +        netbios name = ubnwks01
 +        security = ADS
 +        encrypt passwords = yes
 +
 +        idmap config EXAMPLE:​backend = ad
 +        idmap config EXAMPLE:​schema_mode = rfc2307
 +        idmap config EXAMPLE:​range = 10000-39999
 +        idmap config EXAMPLE:​unix_nss_info = yes
 +
 +        idmap config *:backend = tdb
 +        idmap config *:range = 40000-49999
 +
         winbind trusted domains only = no         winbind trusted domains only = no
         winbind use default domain = yes         winbind use default domain = yes
Ligne 114: Ligne 135:
 Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'​identifiants pour les utilisateurs et groupes venant d'​autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //​BUILTIN\Administrators//​ et //​BUILTIN\Users//​. Par défaut, le groupe //​EXAMPLE\Domain Admins// est membre du groupe //​BUILTIN\Administrators//​ et le groupe //​EXAMPLE\Domain Users// est membre du groupe //​BUILTIN\Users//​. Les autres groupes qui seraient créés localement sur la machine auront la forme //​UBNWKS01\Nom du groupe//. Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'​identifiants pour les utilisateurs et groupes venant d'​autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //​BUILTIN\Administrators//​ et //​BUILTIN\Users//​. Par défaut, le groupe //​EXAMPLE\Domain Admins// est membre du groupe //​BUILTIN\Administrators//​ et le groupe //​EXAMPLE\Domain Users// est membre du groupe //​BUILTIN\Users//​. Les autres groupes qui seraient créés localement sur la machine auront la forme //​UBNWKS01\Nom du groupe//.
  
-Les lignes //winbind ...// définissent d'​autres options pour l'​utilisation de //​winbind//​. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. ​La ligne //winbind offline logon// permet de +Les lignes //winbind ...// définissent d'​autres options pour l'​utilisation de //​winbind//​. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. ​
  
 La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/​etc/​krb5.keytab). Ce fichier est le jeton d'​authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'​avoir une connexion avec le DC. La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/​etc/​krb5.keytab). Ce fichier est le jeton d'​authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'​avoir une connexion avec le DC.
 +<note important>​A partir de Samba 4.6, le paramètre **winbind nss info = rfc2307** est remplacé par **idmap config EXAMPLE:​unix_nss_info = yes**(([[https://​wiki.samba.org/​index.php/​Idmap_config_ad#​The_RFC2307_and_template_Mode_Options|The RFC2307 and template Mode Options]]))</​note>​
  
 ==== Appliquer les modifications ==== ==== Appliquer les modifications ====
Ligne 124: Ligne 146:
  
 ==== Joindre la machine au domaine ==== ==== Joindre la machine au domaine ====
-<​code>​sudo net join -U Administrator+Bien que l'​option **createupn** ne soit pas obligatoire pour joindre la machine dans le domaine, certaines fonctionnalités tel que [[tutoriel:​samba_ad_dc_nfs4_kerberized|Partage NFSv4 avec authentification Kerberos]] auront besoin que cette information soit présente dans l'AD. Il est donc recommandé de directement fournir ces informations plutôt que de ne pas le faire, attendre et finalement s'​amuser à modifier ultérieurement l'​objet dans l'​AD. 
 +<​code>​sudo net join -U Administrator</​code>​ 
 +ou 
 +<​code>​sudo net join createupn=UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM ​-U Administrator
 Enter Administrator'​s password: Enter Administrator'​s password:
 Using short domain name -- EXAMPLE Using short domain name -- EXAMPLE
  • tutoriel/samba_ad_dc_members.1524602746.txt.gz
  • Dernière modification: Le 24/04/2018, 22:45
  • par Qedinux