Re: Samba et active directory
TOUZEAU Pierre SGAR14 a écrit :
Bonjour !
[newbie ON]
Dans un environnement Microsoft ActiveDirectory, je cherche à installer
un serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.
C'est une machine serveur en RAID5 (hardware) avec gestion des quotas,
j'ai recompilé le noyau (en 2.6.8) pour ce faire.
L'expérience acquise avec une mandrake en mode "security=SHARE" ne me
sert pas, car il m'est demandé d'utiliser cette fois, les identifiants
"Windows" pour s'authentifier sur les partages.
En clair, nous allons créer les utilisateurs sous UNIX (pour avoir un
répertoire avec des droits à la "UNIX") mais l'accès sera controlé par
des partages ($home) accessible via une authentification SAMBA
<-->active Directory.
Si le samba doit servir de serveur de fichier, ADS sera votre choix.
Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui
serait le mieux, voir "ADS".
En fouillant le WEB je suis tombé sur une doc GENTOO qui précise qu'il
faut installer installer les ACL du FileSystem qui va bien, LDAP,
KERBEROS, WINDBIND, recompiler SAMBA...et configurer le tout...
malheureusement, je ne sais pas ce qui convient pour Samba3 sur une
Debian. Tout ne colle pas...
pfftttt... ;-))
Effectivement, Kerberos est de mise concernant l'intégration de samba
dans un environnement AD. AD repose sur ce protocole d'authentification
reseau. Winbind devra également être présent pour résoudre les noms
d'utilisateurs et les groupes émanant de votre structure AD. Pour ce qui
est de l'utilisation de LDAP, je ne vois pas vraiment dans quel cadre
vous souhaitez l'utilisez.
En effet, le trio samba-kerberos-winbind est à même de vous permettre la
mise en place d'un serveur de fichier pour environnement microso~
Nul besoin de compiler quoi que ce soit.
Quelqu'un saurait, dans un 1er temps, m'indiquer :
- les grandes étapes pour y parvenir
- comment récuperer les sources de samba pour recopiler avec LDAP
(apt-search, apt-get ne me donne que des binaires)
* disposer d'un systeme de fichier permettant l'utilisation des ACLs
pour la/les partition/s qui vont servir les fichiers à partager.
* installer et configurer kerberos avec les realms de votre AD.
Attention toute fois aux problemes de synchronisation de temps entre les
serveurs.
* installer et configurer samba et winbind.
* c'est facile à dire :)
-----
La configuration des realm kerberos se fait dans le fichier /etc/krb5.conf
Le realm par défaut des kerberos d'un structure Active Directory porte
le même nom que le nom de domaine DNS [j'espère pour vous que vous
n'avez pas une structure à nom de domaine unique où domaine DNS ==
domaine Netbios]
Pour ce fichier de conf, vous devriez commencer par indiquer un realm
par défaut dans la section [libdefaults]:
default_realm = DOMAINE.TLD
Ensuite vous devriez déclarer votre realm dans la section [realms]:
DOMAINE.TLD = {
kdc = un_serveur_win.domaine.tld
kdc = un_autre_serveur_win.domaine.tld
admin_server = maitre_foret.domaine.tld
}
Dans cette section, vous devriez déclarer tous vos serveurs kerberos
windows avec l'entrée kdc et un 'admin_server' qui se trouve être le
maître de forêt de la structure AD si vous n'avez pas demandé à ce qu'un
autre serveur assume ce rôle.
Les problèmes de synchronisation de temps entre les serveurs peuvent
facilement être évités grâce à ntpdate en pointant vers un de vos
serveurs AD.
------
Pour la configuration de winbind samba, rien de bien diffcile. Tout se
fait dans le fichier de conf de samba.
En fixant le paramêtre security=ADS, vous devrez également indiquer un
realm à utiliser et un serveur "de mots de passe":
security = ADS
realm = HUMANISME.LAN
password server = bud.humanisme.lan
winbind se configure en lui indiquant un séparateur domaine-type, ainsi
qu'une plage d'identifiants pour les utilisateurs et les groupes:
winbind separator = /
winbind cache time = 60
winbind enum users = yes
winbind enum groups = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
Le séparateur indiqué ci dessus donnera un résultat du type DOMAINE/user
et DOMAINE/group
-----
derniere ligne droite !
Il vous reste à joindre le domaine AD grâce à la commande net ads join,
vérifier que winbind map correctement les utilisateur et les groupes et
finir par faire les correspondances entre les groupes globaux de l'AD et
les groupes Unix grâce à la commande net groupmap.
--
Pierre-Matthieu Alamy
Responsable d'Exploitation Informatique
04.72.27.42.57
Fédération Habitat et Humanisme - Caluire
Tomber en panne sèche a un avantage :
C'est moins lourd a pousser que si le réservoir était plein.
-+- Philippe Geluck, Le chat -+-
Reply to: