Re: Samba et active directory

[Pierre-Matthieu Alamy <pm.alamy@habitat-humanisme.org>]

TOUZEAU Pierre SGAR14 a écrit :

Bonjour !

> [newbie ON]
> Dans un environnement Microsoft ActiveDirectory, je cherche à installer 
> un serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.
> C'est une machine serveur en RAID5 (hardware) avec gestion des quotas, 
> j'ai recompilé le noyau (en 2.6.8) pour ce faire.
> L'expérience acquise avec une mandrake en mode "security=SHARE" ne me 
> sert pas, car il m'est demandé d'utiliser cette fois, les identifiants 
> "Windows" pour s'authentifier sur les partages.
> En clair, nous allons créer les utilisateurs sous UNIX (pour avoir un 
> répertoire avec des droits à la "UNIX") mais l'accès sera controlé par 
> des partages ($home) accessible via une authentification SAMBA 
> <-->active Directory.

Si le samba doit servir de serveur de fichier, ADS sera votre choix.

>  
> Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui 
> serait le mieux, voir "ADS".
> En fouillant le WEB je suis tombé sur une doc GENTOO qui précise qu'il 
> faut installer  installer les ACL du FileSystem qui va bien, LDAP, 
> KERBEROS, WINDBIND, recompiler SAMBA...et configurer le tout...
> malheureusement, je ne sais pas ce qui convient pour Samba3 sur une 
> Debian. Tout ne colle pas...
> pfftttt...  ;-))


Effectivement, Kerberos est de mise concernant l'intégration de samba 
dans un environnement AD. AD repose sur ce protocole d'authentification 
reseau. Winbind devra également être présent pour résoudre les noms 
d'utilisateurs et les groupes émanant de votre structure AD. Pour ce qui 
est de l'utilisation de LDAP, je ne vois pas vraiment dans quel cadre 
vous souhaitez l'utilisez.
En effet, le trio samba-kerberos-winbind est à même de vous permettre la 
mise en place d'un serveur de fichier pour environnement microso~
Nul besoin de compiler quoi que ce soit.


>  
> Quelqu'un saurait, dans un 1er temps, m'indiquer  :
> - les grandes étapes pour y parvenir
> - comment récuperer les sources de samba pour recopiler avec LDAP 
> (apt-search, apt-get ne me donne que des binaires)


 * disposer d'un systeme de fichier permettant l'utilisation des ACLs 
pour la/les partition/s qui vont servir les fichiers à partager.
 * installer et configurer kerberos avec les realms de votre AD. 
Attention toute fois aux problemes de synchronisation de temps entre les 
serveurs.
 * installer et configurer samba et winbind.
 * c'est facile à dire :)

-----
La configuration des realm kerberos se fait dans le fichier /etc/krb5.conf
Le realm par défaut des kerberos d'un structure Active Directory porte 
le même nom que le nom de domaine DNS [j'espère pour vous que vous 
n'avez pas une structure à nom de domaine unique où domaine DNS == 
domaine Netbios]
Pour ce fichier de conf, vous devriez commencer par indiquer un realm 
par défaut dans la section [libdefaults]:
	default_realm = DOMAINE.TLD

Ensuite vous devriez déclarer votre realm dans la section [realms]:
	DOMAINE.TLD = {
		kdc = un_serveur_win.domaine.tld
		kdc = un_autre_serveur_win.domaine.tld
		admin_server = maitre_foret.domaine.tld
	}
Dans cette section, vous devriez déclarer tous vos serveurs kerberos 
windows avec l'entrée kdc et un 'admin_server' qui se trouve être le 
maître de forêt de la structure AD si vous n'avez pas demandé à ce qu'un 
autre serveur assume ce rôle.

Les problèmes de synchronisation de temps entre les serveurs peuvent 
facilement être évités grâce à ntpdate en pointant vers un de vos 
serveurs AD.

------
Pour la configuration de winbind samba, rien de bien diffcile. Tout se 
fait dans le fichier de conf de samba.
En fixant le paramêtre security=ADS, vous devrez également indiquer un 
realm à utiliser et un serveur "de mots de passe":

	security = ADS
	realm = HUMANISME.LAN
	password server = bud.humanisme.lan

winbind se configure en lui indiquant un séparateur domaine-type, ainsi 
qu'une plage d'identifiants pour les utilisateurs et les groupes:

	winbind separator = /
	winbind cache time = 60
	winbind enum users = yes
	winbind enum groups = yes
	idmap uid = 10000-20000
	idmap gid = 10000-20000
Le séparateur indiqué ci dessus donnera un résultat du type DOMAINE/user 
et DOMAINE/group

-----
derniere ligne droite !
Il vous reste à joindre le domaine AD grâce à la commande net ads join, 
vérifier que winbind map correctement les utilisateur et les groupes et 
finir par faire les correspondances entre les groupes globaux de l'AD et 
les groupes Unix grâce à la commande net groupmap.


--
Pierre-Matthieu Alamy
Responsable d'Exploitation Informatique
04.72.27.42.57
Fédération Habitat et Humanisme - Caluire

Tomber en panne sèche a un avantage :
C'est moins lourd a pousser que si le réservoir était plein.
        -+- Philippe Geluck, Le chat -+-