Recherche de site Web

Gérer le DNS et la stratégie de groupe du contrôleur de domaine Samba4 AD à partir de Windows - Partie 4

Poursuivant le tutoriel précédent sur la façon d'administrer Samba4 depuis Windows 10 via RSAT, dans cette partie nous verrons comment gérer à distance notre serveur DNS de contrôleur de domaine Samba AD depuis Microsoft DNS Manager, comment créer des enregistrements DNS, comment créer une recherche inversée Zone et comment créer une politique de domaine via l'outil de gestion des stratégies de groupe.

Exigences

  1. Créer une infrastructure AD avec Samba4 sur Ubuntu 16.04 – Partie 1
  2. Gérer l'infrastructure Samba4 AD à partir de la ligne de commande Linux – Partie 2
  3. Gérer l'infrastructure Active Directory Samba4 à partir de Windows10 via RSAT – Partie 3

Étape 1 : Gérer le serveur DNS Samba

Samba4 AD DC utilise un module de résolution DNS interne qui est créé lors de la fourniture initiale du domaine (si le module BIND9 DLZ n'est pas spécifiquement utilisé).

Le module DNS interne de Samba4 prend en charge les fonctionnalités de base nécessaires à un contrôleur de domaine AD. Le serveur DNS du domaine peut être géré de deux manières, directement depuis la ligne de commande via l'interface samba-tool ou à distance depuis un poste de travail Microsoft faisant partie du domaine via RSAT DNS Manager.

Ici, nous aborderons la deuxième méthode car elle est plus intuitive et moins sujette aux erreurs.

1. Pour administrer le service DNS de votre contrôleur de domaine via RSAT, accédez à votre ordinateur Windows, ouvrez le Panneau de configuration ->< Système et sécurité -> Outils d'administration et exécutez l'utilitaire DNS Manager.

Une fois l'outil ouvert, il vous demandera sur quel serveur DNS vous souhaitez vous connecter. Choisissez L'ordinateur suivant, saisissez votre nom de domaine dans le champ (ou Adresse IP ou FQDN peuvent également être utilisés), cochez la case qui indique « Connectez-vous à l'ordinateur spécifié maintenant » et appuyez sur OK pour ouvrir votre service Samba DNS.

2. Afin d'ajouter un enregistrement DNS (à titre d'exemple, nous ajouterons un enregistrement A qui pointera vers notre passerelle LAN), accédez au domaine Recherche directe Zone, faites un clic droit sur le plan droit et choisissez Nouvel hôte (A ou AAA).

3. Dans la fenêtre Nouvel hôte ouvert, saisissez le nom et l'Adresse IP de votre ressource DNS. Le FQDN sera automatiquement écrit pour vous par l'utilitaire DNS. Une fois terminé, cliquez sur le bouton Ajouter un hôte et une fenêtre contextuelle vous informera que votre enregistrement DNS A a été créé avec succès.

Assurez-vous d'ajouter des enregistrements DNS A uniquement pour les ressources de votre réseau configurées avec des adresses IP statiques. N'ajoutez pas d'enregistrements DNS A pour les hôtes configurés pour acquérir des configurations réseau à partir d'un serveur DHCP ou dont leurs adresses IP changent souvent.

Pour mettre à jour un enregistrement DNS, double-cliquez simplement dessus et écrivez vos modifications. Pour supprimer l'enregistrement, faites un clic droit sur l'enregistrement et choisissez supprimer dans le menu.

De la même manière, vous pouvez ajouter d'autres types d'enregistrements DNS pour votre domaine, tels que CNAME (également connu sous le nom d'enregistrement alias DNS) Enregistrements MX (très utiles pour les serveurs de messagerie) ou autres types d'enregistrements (SPF, TXT, SRV etc).

Étape 2 : Créer une zone de recherche inversée

Par défaut, Samba4 Ad DC n'ajoute pas automatiquement de zone de recherche inversée et d'enregistrements PTR pour votre domaine, car ces types d'enregistrements ne sont pas cruciaux pour le bon fonctionnement d'un contrôleur de domaine.

Au lieu de cela, une zone inversée DNS et ses enregistrements PTR sont cruciaux pour le fonctionnement de certains services réseau importants, tels qu'un service de messagerie électronique, car ces types d'enregistrements peuvent être utilisés pour vérifier l'identité des clients demandant un service.

En pratique, les enregistrements PTR sont tout le contraire des enregistrements DNS standard. Les clients connaissent l'adresse IP d'une ressource et interrogent le serveur DNS pour connaître leur nom DNS enregistré.

4. Afin de créer une zone de recherche inversée pour Samba AD DC, ouvrez le DNS Manager, faites un clic droit sur Zone de recherche inversée dans le plan de gauche et choisissez Nouvelle zone dans le menu.

5. Ensuite, cliquez sur le bouton Suivant et choisissez la zone Primaire dans l'Assistant de type de zone.

6. Ensuite, choisissez Pour tous les serveurs DNS exécutés sur les contrôleurs de domaine de ce domaine dans la Étendue de réplication de la zone AD, choisissez IPv4 Reverse Zone de recherche et cliquez sur Suivant pour continuer.

7. Ensuite, saisissez l'adresse réseau IP de votre LAN dans le champ ID réseau et cliquez sur Suivant pour continuer.

Tous les enregistrements PTR ajoutés dans cette zone pour vos ressources pointeront uniquement vers la partie réseau 192.168.1.0/24. Si vous souhaitez créer un enregistrement PTR pour un serveur qui ne réside pas dans ce segment de réseau (par exemple un serveur de messagerie situé sur le réseau 10.0.0.0/24), vous devrez alors créer une nouvelle zone de recherche inversée pour ce segment de réseau également.

8. Sur l'écran suivant, choisissez Autoriser uniquement les mises à jour dynamiques sécurisées, cliquez sur Suivant pour continuer et enfin cliquez sur Terminer pour terminer la création de la zone.

9. À ce stade, vous disposez d'une zone de recherche inversée DNS valide configurée pour votre domaine. Afin d'ajouter un enregistrement PTR dans cette zone, faites un clic droit sur le plan droit et choisissez de créer un enregistrement PTR pour une ressource réseau.

Dans ce cas, nous avons créé un pointeur pour notre passerelle. Afin de tester si l'enregistrement a été correctement ajouté et fonctionne comme prévu du point de vue du client, ouvrez une Invite de commandes et lancez une requête nslookup sur le nom de la ressource et une autre requête pour son adresse IP.

Les deux requêtes doivent renvoyer la bonne réponse pour votre ressource DNS.

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

Étape 3 : Gestion des stratégies de groupe de domaine

10. Un aspect important d'un contrôleur de domaine est sa capacité à contrôler les ressources et la sécurité du système à partir d'un point central unique. Ce type de tâche peut être facilement réalisé dans un contrôleur de domaine à l'aide de la stratégie de groupe de domaine.

Malheureusement, la seule façon de modifier ou de gérer la stratégie de groupe dans un contrôleur de domaine Samba consiste à utiliser la console RSAT GPM fournie par Microsoft.

Dans l'exemple ci-dessous, nous verrons à quel point il peut être simple de manipuler la politique de groupe de notre domaine samba afin de créer une bannière de connexion interactive pour les utilisateurs de notre domaine.

Pour accéder à la console de stratégie de groupe, accédez au Panneau de configuration -> Système et sécurité -> Outils d'administration et ouvrez la console de Gestion des stratégies de groupe.

Développez les champs de votre domaine et cliquez avec le bouton droit sur Politique de domaine par défaut. Choisissez Modifier dans le menu et une nouvelle fenêtre devrait apparaître.

11. Dans la fenêtre de l'Éditeur de gestion des stratégies de groupe, accédez à Configuration de l'ordinateur -> Politiques -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité et une nouvelle liste d'options devraient apparaître dans le plan de droite.

Dans le plan de droite, recherchez et modifiez avec vos paramètres personnalisés en suivant les deux entrées présentées sur la capture d'écran ci-dessous.

12. Après avoir terminé la modification des deux entrées, fermez toutes les fenêtres, ouvrez une invite de commande élevée et forcez l'application de la stratégie de groupe sur votre ordinateur en exécutant la commande ci-dessous :

gpupdate /force

13. Enfin, redémarrez votre ordinateur et vous verrez la bannière de connexion en action lorsque vous tenterez de vous connecter.

C'est tout! La stratégie de groupe est un sujet très complexe et sensible et doit être traitée avec le plus grand soin par les administrateurs système. Sachez également que les paramètres de stratégie de groupe ne s’appliqueront en aucun cas aux systèmes Linux intégrés au domaine.