1
-TP-
CONTROLEUR DE DOMAINE SOUS LINUX AVEC SAMBA (PDC) AVEC INSTALLATION D’UN SEVEUR DNS
Contexte
--- Nom de domaine qu’on va choisir : domrsi3
Nom du serveur : pdc (pour dire primary domain controller)
@IP : 192.168.1.7 (pour mon cas)
--- Installation de Samba (Ubuntu/Debian)
apt-get install samba
Renommer /etc/samba/smb.conf en /etc/samba/smb.conf.old Puis ouvrez /etc/samba/smb.conf (il doit être vide) et copier ceci en allant dans :
Le site : https://blog-du-grouik.tinad.fr/post/2011/03/27/Tutoriel%3A-un- controleur-de-domaine-sous-linux
[global]
workgroup = domrsi3 server string = %h dns proxy = no
log file = /var/log/samba/log.%m max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d security = user
2 encrypt passwords = true
passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n
*Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes
domain master = yes os level = 33
preferred master = yes domain logons = yes
logon path = \\%N\profiles\%U logon drive = H:
logon home = \\%N\%U
add user script = /usr/sbin/adduser -g dom_users -c Utilisateur - d /dev/null -s /bin/false '%u'
add machine script = /usr/sbin/useradd -g dom_pc -c "%u machine account" -d /dev/null -s /bin/false '%u'
add group script = /usr/sbin/groupadd '%g' delete user script = /usr/sbin/userdel -r '%u' delete group script = /usr/sbin/groupdel '%g'
delete user from group script = /usr/bin/gpasswd -d '%u' '%g' set primary group script = /usr/sbin/usermod -g '%g' '%u'
[homes]
comment = Home Directories browseable = no
read only = no create mask = 0700 directory mask = 0700 valid users = %S [netlogon]
comment = Network Logon Service path = /home/samba/netlogon guest ok = yes
read only = yes [profiles]
comment = Users profiles path = /home/samba/profiles create mask = 0600
directory mask = 0700 writeable = yes
create mode = 0700 [printers]
comment = All Printers browseable = no
path = /var/spool/samba printable = yes
guest ok = no read only = yes
3 create mask = 0700
[print$]
comment = Printer Drivers path = /var/lib/samba/printers browseable = yes
read only = yes guest ok = no
Après avoir sauvegardé on va créer les utilisateurs Samba et les groupes du domaine domrsi3
#La première étape consiste à créer le compte administrateur.
#le mot de passe SAMBA doit être identique au mot de passe UNIX.
smbpasswd -a root
#La création des groupes servira plus loin, mais pas dans l'immédiat pour un simple partage de dossier
#Création du groupe des administrateurs du domaine
groupadd dom_admin
#Création du groupe des utilisateurs du domaine
groupadd dom_users
#Création du groupe des machines
groupadd -g 515 dom_pc
#Attribuons ensuite les bons RIDs aux trois groupes :
net groupmap add rid=515 unixgroup=dom_pc ntgroup="Domain Computers"
net groupmap set "Domain Admins" dom_admin net groupmap set "Domain Users" dom_users
#creer les dossiers
4 mkdir /home/samba/
mkdir /home/samba/profiles mkdir /home/samba/netlogon cd /home/samba/
chgrp -R dom_users * chmod -R 755 netlogon chmod -R 770 profiles/
#Créer un user:
useradd -G dom_users -m -c "utilisateur test" -s /bin/false test
#Ajout de l'utilisateur à samba
smbpasswd -a test
Puis relancer samba
# /etc/init.d/samba restart
Test sous Windows
On va tenter de faire joindre notre windows dans le domaine domrsi3
Si vous travaillez sur windows 7 ou plus, ça ne marchera que si vous ajoutez ces valeurs dans le registre. Pour ce faire ouvrez « regedit » et créer ces 2 entrées :
HKEY_LOCAL_MACHINE\System\CCS\Services\LanmanWorkstation\Param eters
DWORD DomainCompatibilityMode = 1 DWORD DNSNameResolutionRequired = 0
Si vous travaillez sur Windows XP, ça passera sans problème sans les valeurs
ci-dessus.
5
Puis rebooter la PC,
Ensuite joindre le PC dans le domaine
6
Ensuite accéder avec l’utilisateur « test » que vous avez créé auparavant.
7
Voilà le domaine « domrsi3 » est bien installé on va passer maintenant à
l’installation du serveur DNS toujours sur le même serveur.
8
Installation d’un serveur DNS
Prérequis
- Nom de domaine : domrsi3
- Nom du serveur : pdc.domrsi3 ( on aurait pu faire un serveur dns à part et lui donner un autre nom comme : NS1.domrsi3 )
- @IP : 192.168.1.7
Installation
apt-get install bind9
Préparation configuration DNS
On édite le fichier hosts (le nom doit être au format FQDN)
nano /etc/hosts
192.168.1.7 pdc.domrsi3 On édite le fichier hostname :
nano /etc/hostname pdc
On édite le fichier resolv.conf
nano /etc/resolv.conf search domrsi3
nameserver pdc.domrsi3
9
Configuration DNS
A présent nous pouvons configurer notre serveur DNS. Il y a trois fichiers de configurations sur lesquels nous interviendrons : « named.conf.local », la zone direct et indirect.
On configure notre zone direct :
nano /etc/bind/for.domrsi3
; BIND data file for forward.domrsi3 zone
;
$TTL 604800
@ IN SOA pdc.domrsi3. root.domrsi3. ( 2 ; Serial
604800 ; Refresh 86400 ; Retry 2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS pdc.domrsi3.
@ IN A 192.168.1.7 pdc IN A 192.168.1.7
On configure notre zone indirect :
nano /etc/bind/rev.domrsi3
; BIND reverse data file for rev.domrsi3
;
$TTL 604800
@ IN SOA pdc.domrsi3. root.domrsi3. ( 3 ; Serial
10 604800 ; Refresh
86400 ; Retry 2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS pdc.
@ IN A 192.168.1.7 7 IN PTR pdc.domrsi3
; le chiffre 7 correspond à l'ip du serveur
On configure à présent le fichier de configuration named.conf.local pour pointer sur nos deux fichiers contenant nos zones :
nano /etc/bind/named.conf.local zone "domrsi3" {
type master;
file "/etc/bind/for.domrsi3";
};
zone "1.168.192.in-addr.arpa" { type master;
file "/etc/bind/rev.domrsi3";
};
On configure enfin le fichier de configuration named.conf.options pour forwarder tous les requêtes sur le serveur DNS de google puisque notre Nom de Domaine est jusqu'à maintenant non connu par rapport aux autres serveurs DNS.
11 nano /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// Port d'échange entre les serveurs DNS query-source address * port *;
// Transmettre les requêtes à 192.168.1.1 si ce serveur ne sait pas résoudre ces adresses.
// On pourrait aussi bien renseigner les serveurs DNS du FAI plutôt que de renseigner
// l'adresse IP du routeur (xxxbox) forward only;
forwarders { 8.8.8.8; };
Redémarrer le service : /etc/init.d/bind9 restart
12
Vérification
Il existe différente commande pour tester ses zones :
Zone direct :
named-checkzone domrsi3 /etc/bind/for.domrsi3
Zone indirect :
named-checkzone domrsi3 /etc/bind/rev.domrsi3
On peut utiliser la commande nslookup ou dig sur le serveur DNS pour vérifier que la résolution de nom se fait bien :
nslookup pdc
nslookup 192.168.1.7
La résolution se fait correctement.
Client Windows
On configure le DNS en statique dans les paramètres de la carte réseau :
13
Une fois configuré, lancer une fenêtre CMD, on éxecute la commande nslookup et on ping google.fr pour vérifier le bon fonctionnement de notre serveur DNS :
Notre serveur DNS est à présent fonctionnel. Vous pouvez naviguer sur le NET
14