Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tutoriel:samba_ad_dc_members [Le 24/04/2018, 22:45] – [Authentification hors ligne] Procédure mise à jour Qedinuxtutoriel:samba_ad_dc_members [Le 11/09/2022, 12:20] (Version actuelle) – Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) moths-art
Ligne 29: Ligne 29:
 <file - /etc/resolv.conf>nameserver 192.168.1.11 <file - /etc/resolv.conf>nameserver 192.168.1.11
 search example.com</file> search example.com</file>
-Ces paramètres sont soit fournis par le serveur DHCP du réseau ou configurés de façon statique dans le fichier /etc/network/interfaces par l'intermédiaire du paquet //resolvconf// avec les commandes dns-nameservers et dns-search. +Ces paramètres sont soit fournis par le serveur DHCP du réseau ou configurés de façon statique dans le fichier **/etc/network/interfaces** (obsolète à partir de 18.04) ou dans un fichier YAML dans **/etc/netplan** (par défaut à partir de 18.04) (se référer à [[tutoriel:comment_configurer_son_reseau_local|Comment configurer son réseau local ?]] et [[utilisateurs:ool:netplan|netplan]]) 
-<file - /etc/network/interfaces>auto eth0 +
-iface eth0 inet static +
-  address 192.168.1.101 +
-  netmask 255.255.255.0 +
-  gateway 192.168.1.1 +
-  dns-nameservers 192.168.1.11 +
-  dns-search example.com</file>+
 Les tests suivant devraient renvoyer des résultats corrects (se référer à [[:samba-active-directory#tests_du_dns|Samba AD DC - Tests du DNS]]) Les tests suivant devraient renvoyer des résultats corrects (se référer à [[:samba-active-directory#tests_du_dns|Samba AD DC - Tests du DNS]])
 <code>dig ubndc01.example.com</code> <code>dig ubndc01.example.com</code>
Ligne 85: Ligne 79:
 ==== Configurer samba ==== ==== Configurer samba ====
 La configuration de samba peut être réécrite comme suit : La configuration de samba peut être réécrite comme suit :
 +  * Pour Ubuntu 14.04 et 16.04 (avant Samba 4.6)
 <file - /etc/samba/smb.conf> <file - /etc/samba/smb.conf>
-# Global parameters                                                                         +# Global parameters
 [global] [global]
         workgroup = EXAMPLE         workgroup = EXAMPLE
Ligne 102: Ligne 97:
  
         winbind nss info = rfc2307         winbind nss info = rfc2307
 +        winbind trusted domains only = no
 +        winbind use default domain = yes
 +        winbind enum users = yes
 +        winbind enum groups = yes
 +        winbind refresh tickets = yes
 +                
 +        kerberos method = system keytab
 +</file>
 +  * A partir d'Ubuntu 17.10 (à partir de Samba 4.6)
 +<file - /etc/samba/smb.conf>
 +# Global parameters
 +[global]
 +        workgroup = EXAMPLE
 +        realm = EXAMPLE.COM
 +        netbios name = ubnwks01
 +        security = ADS
 +        encrypt passwords = yes
 +
 +        idmap config EXAMPLE:backend = ad
 +        idmap config EXAMPLE:schema_mode = rfc2307
 +        idmap config EXAMPLE:range = 10000-39999
 +        idmap config EXAMPLE:unix_nss_info = yes
 +
 +        idmap config *:backend = tdb
 +        idmap config *:range = 40000-49999
 +
         winbind trusted domains only = no         winbind trusted domains only = no
         winbind use default domain = yes         winbind use default domain = yes
Ligne 114: Ligne 135:
 Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'identifiants pour les utilisateurs et groupes venant d'autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //BUILTIN\Administrators// et //BUILTIN\Users//. Par défaut, le groupe //EXAMPLE\Domain Admins// est membre du groupe //BUILTIN\Administrators// et le groupe //EXAMPLE\Domain Users// est membre du groupe //BUILTIN\Users//. Les autres groupes qui seraient créés localement sur la machine auront la forme //UBNWKS01\Nom du groupe//. Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'identifiants pour les utilisateurs et groupes venant d'autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //BUILTIN\Administrators// et //BUILTIN\Users//. Par défaut, le groupe //EXAMPLE\Domain Admins// est membre du groupe //BUILTIN\Administrators// et le groupe //EXAMPLE\Domain Users// est membre du groupe //BUILTIN\Users//. Les autres groupes qui seraient créés localement sur la machine auront la forme //UBNWKS01\Nom du groupe//.
  
-Les lignes //winbind ...// définissent d'autres options pour l'utilisation de //winbind//. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. La ligne //winbind offline logon// permet de +Les lignes //winbind ...// définissent d'autres options pour l'utilisation de //winbind//. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut.
  
 La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/etc/krb5.keytab). Ce fichier est le jeton d'authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'avoir une connexion avec le DC. La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/etc/krb5.keytab). Ce fichier est le jeton d'authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'avoir une connexion avec le DC.
 +<note important>A partir de Samba 4.6, le paramètre **winbind nss info = rfc2307** est remplacé par **idmap config EXAMPLE:unix_nss_info = yes**(([[https://wiki.samba.org/index.php/Idmap_config_ad#The_RFC2307_and_template_Mode_Options|The RFC2307 and template Mode Options]]))</note>
  
 ==== Appliquer les modifications ==== ==== Appliquer les modifications ====
Ligne 124: Ligne 146:
  
 ==== Joindre la machine au domaine ==== ==== Joindre la machine au domaine ====
-<code>sudo net join -U Administrator+Bien que l'option **createupn** ne soit pas obligatoire pour joindre la machine dans le domaine, certaines fonctionnalités tel que [[tutoriel:samba_ad_dc_nfs4_kerberized|Partage NFSv4 avec authentification Kerberos]] auront besoin que cette information soit présente dans l'AD. Il est donc recommandé de directement fournir ces informations plutôt que de ne pas le faire, attendre et finalement s'amuser à modifier ultérieurement l'objet dans l'AD. 
 +<code>sudo net join -U Administrator</code> 
 +ou 
 +<code>sudo net join createupn=UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM -U Administrator
 Enter Administrator's password: Enter Administrator's password:
 Using short domain name -- EXAMPLE Using short domain name -- EXAMPLE
Ligne 142: Ligne 167:
 <code>ls -l /etc/krb5.keytab <code>ls -l /etc/krb5.keytab
 -rw------- 1 root root 1057 Nov  4 19:37 /etc/krb5.keytab</code> -rw------- 1 root root 1057 Nov  4 19:37 /etc/krb5.keytab</code>
-Avec les [[utilisateurs:qedinux:samba_ad_dc_members#kerberos|outils Kerberos]], on peut lire ce ticket +Avec les [[utilisateurs:qedinux:samba_ad_dc_members#kerberos|outils Kerberos]], on peut lire ce ticket
 <code>sudo klist -ket <code>sudo klist -ket
 Keytab name: FILE:/etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab
Ligne 176: Ligne 201:
 La seconde interroge le DC pour recevoir un nouveau jeton et crée le fichier /etc/krb5.keytab sur la machine. La seconde interroge le DC pour recevoir un nouveau jeton et crée le fichier /etc/krb5.keytab sur la machine.
 <code>sudo net ads keytab create -k</code> <code>sudo net ads keytab create -k</code>
-<note tip>Vous recevez un avertissement si le paramètre "kerberos method" n'est pas définit dans /etc/samba/smb.conf +<note tip>Vous recevez un avertissement si le paramètre "kerberos method" n'est pas définit dans /etc/samba/smb.conf
 <code>Warning: "kerberos method" must be set to a keytab method to use keytab functions.</code> <code>Warning: "kerberos method" must be set to a keytab method to use keytab functions.</code>
 </note> </note>
tutoriel/samba_ad_dc_members.1524602746.txt.gz · Dernière modification : de Qedinux
CC Attribution-Noncommercial-Share Alike 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International