Recherche de site Web

Créer une infrastructure Active Directory avec Samba4 sur Ubuntu - Partie 1

Samba est un logiciel Open Source gratuit qui offre une interopérabilité standard entre les systèmes d'exploitation Windows et Linux/Unix.

Samba peut fonctionner comme un serveur de fichiers et d'impression autonome pour les clients Windows et Linux via la suite de protocoles SMB/CIFS ou peut agir comme un Contrôleur de domaine Active Directory ou rejoint un Contrôleur de domaine Active Directory ou rejoint un Contrôleur de domaine Active Directory.Realm en tant que membre du domaine. Le niveau de domaine et de forêt AD DC le plus élevé que Samba4 peut actuellement émuler est Windows 2008 R2.

La série s'intitulera Configuration du contrôleur de domaine Active Directory Samba4 et couvrira les sujets suivants pour Ubuntu, CentOS et Windows :

Ce didacticiel commencera par expliquer toutes les étapes à suivre pour installer et configurer Samba4 en tant que Contrôleur de domaine sur Ubuntu 16.04. et Ubuntu 14.04.

Cette configuration fournira un point de gestion central pour les utilisateurs, les machines, les partages de volumes, les autorisations et autres ressources dans une infrastructure mixte Windows – Linux.

Exigences:

  1. Installation du serveur Ubuntu 16.04.
  2. Installation du serveur Ubuntu 14.04.
  3. Une adresse IP statique configurée pour votre serveur AD DC.

Étape 1 : Configuration initiale pour Samba4

1. Avant de procéder à l'installation de Samba4 AD DC, exécutons d'abord quelques étapes pré-requises. Assurez-vous d'abord que le système est à jour avec les dernières fonctionnalités de sécurité, noyaux et packages en exécutant la commande ci-dessous :

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Ensuite, ouvrez le fichier /etc/fstab de la machine et assurez-vous que le système de fichiers de vos partitions dispose de ACL activées, comme illustré dans la capture d'écran ci-dessous.

Habituellement, les systèmes de fichiers Linux modernes courants tels que ext3, ext4, xfs ou btrfs prennent en charge et ont des ACL activées par défaut. Si ce n'est pas le cas avec votre système de fichiers, ouvrez simplement le fichier /etc/fstab pour le modifier et ajoutez la chaîne acl à la fin de la troisième colonne et redémarrez la machine afin d'appliquer les modifications.

3. Enfin, configurez le nom d'hôte de votre machine avec un nom descriptif, tel que adc1 utilisé dans cet exemple, en éditant le fichier /etc/hostname ou en délivrance.

sudo hostnamectl set-hostname adc1

Un redémarrage est nécessaire après avoir modifié le nom de votre ordinateur afin d'appliquer les modifications.

Étape 2 : Installer les packages requis pour Samba4 AD DC

4. Afin de transformer votre serveur en un Contrôleur de domaine Active Directory, installez Samba et tous les packages requis sur votre machine en émettant le code ci-dessous commande avec les privilèges root dans une console.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Pendant l'exécution de l'installation, une série de questions seront posées par l'installateur afin de configurer le contrôleur de domaine.

Sur le premier écran, vous devrez ajouter un nom pour Kerberos par défaut REALM en majuscule. Saisissez le nom que vous utiliserez pour votre domaine en majuscules et appuyez sur Entrée pour continuer.

6. Ensuite, saisissez le nom d'hôte du serveur Kerberos pour votre domaine. Utilisez le même nom que pour votre domaine, avec des minuscules cette fois et appuyez sur Entrée pour continuer.

7. Enfin, spécifiez le nom d'hôte du serveur administratif de votre domaine Kerberos. Utilisez le même que votre domaine et appuyez sur Entrée pour terminer l'installation.

Étape 3 : provisionner Samba AD DC pour votre domaine

8. Avant de commencer à configurer Samba pour votre domaine, exécutez d'abord les commandes ci-dessous afin d'arrêter et de désactiver tous les démons samba.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Ensuite, renommez ou supprimez la configuration originale de Samba. Cette étape est absolument requise avant de provisionner Samba AD car au moment de la provision, Samba créera un nouveau fichier de configuration à partir de zéro et générera des erreurs au cas où il trouverait un ancien Samba AD. fichiersmb.conf.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Maintenant, démarrez le provisionnement du domaine de manière interactive en exécutant la commande ci-dessous avec les privilèges root et acceptez les options par défaut fournies par Samba.

Assurez-vous également de fournir l'adresse IP d'un redirecteur DNS dans vos locaux (ou externe) et choisissez un mot de passe fort pour le compte administrateur. Si vous choisissez un mot de passe hebdomadaire pour le compte administrateur, la fourniture du domaine échouera.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Enfin, renommez ou supprimez le fichier de configuration principal Kerberos du répertoire /etc et remplacez-le à l'aide d'un lien symbolique par le fichier Kerberos nouvellement généré par Samba situé dans /var/lib. /samba/private en exécutant les commandes ci-dessous :

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Démarrez et activez les démons du Contrôleur de domaine Samba Active Directory.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Ensuite, utilisez la commande netstat afin de vérifier la liste de tous les services requis par un Active Directory pour fonctionner correctement.

sudo netstat –tulpn| egrep ‘smbd|samba’

Étape 4 : Configurations finales de Samba

14. À ce moment, Samba devrait être pleinement opérationnel dans vos locaux. Le niveau de domaine le plus élevé que Samba émule doit être Windows AD DC 2008 R2.

Cela peut être vérifié à l'aide de l'utilitaire samba-tool.

sudo samba-tool domain level show

15. Pour que la résolution DNS fonctionne localement, vous devez ouvrir et modifier les paramètres de l'interface réseau et modifier la résolution DNS en modifiant les serveurs de noms DNS instruction sur l'adresse IP de votre contrôleur de domaine (utilisez 127.0.0.1 pour la résolution DNS locale) et instruction dns-search pour pointer vers votre royaume.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Une fois terminé, redémarrez votre serveur et examinez votre fichier de résolution pour vous assurer qu'il pointe vers les bons serveurs de noms DNS.

16. Enfin, testez le résolveur DNS en émettant des requêtes et des pings sur certains enregistrements cruciaux AD DC, comme dans l'extrait ci-dessous. Remplacez le nom de domaine en conséquence.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Exécutez les quelques requêtes suivantes sur le contrôleur de domaine Samba Active Directory.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Vérifiez également l'authentification Kerberos en demandant un ticket pour le compte d'administrateur de domaine et répertoriez le ticket mis en cache. Écrivez la partie du nom de domaine en majuscules.

kinit [email 
klist

C'est tout! Vous disposez désormais d'un Contrôleur de domaine AD entièrement opérationnel installé sur votre réseau et vous pouvez commencer à intégrer des machines Windows ou Linux dans Samba AD.

Dans la prochaine série, nous aborderons d'autres sujets Samba AD, tels que comment gérer votre contrôleur de domaine à partir de la ligne de commande Samba, comment intégrer Windows 10 dans le nom de domaine et gérer Samba AD à distance. en utilisant RSAT et d'autres sujets importants.