Situation
professionnelle :
intégration de Samba
dans un Active Directory
2019
KEVIN BOURNIZEL
Table des matières
Contexte ... 2
Configuration du serveur Samba ... 3
Création des dossiers partagé et configuration de Samba ... 4
Installation de winbind et de Kerberos ... 5
Configuration de nsswitch.conf ... 7
Intégration du serveur dans le domaine Active Directory ... 8
Configuration de pam.d ... 8
Contexte
Dans le cadre de notre projet encadré de fin d’année, nous avons imaginé la société fictive KISWITCH.
La société KISWITCH est un acteur national dans le domaine de l’informatique et plus
particulièrement dans la confection de commutateurs. Voulant se développer et conquérir un nouveau marché international en Allemagne et au Luxembourg, elle décide d’ouvrir une agence à Metz.
Le siège social de la société se trouve à Paris, l’agence de Metz est la première agence créée en dehors de celle de Paris. Cette ville est un point stratégique à la frontière de deux pays très demandeurs d’équipements réseau actif.
Les données d’une entreprise sont précieuses. C’est une véritable banque d’informations et de connaissances qui permet à l’entreprise de progresser petit à petit. Pour y avoir accès et les partager facilement entre utilisateurs, l’installation d’un serveur de fichier est indispensable dans cette nouvelle agence.
Notre serveur Samba est déjà installé et fonctionnel. Afin de simplifier ses accès, nous allons configurer Samba afin qu’il utilise les compte utilisateur de Active Directory.
Situations professionnelles concernées
Participation à un projet d’évolution d’un SI
A1.1.1 Analyse du cahier des charges d’un service à produire
A1.1.3 Etude des exigences liées à la qualité attendue d’un service A1.2.4 Déterminations des tests nécessaires à la validation d’un service A1.3.1 Test d’intégration et d’acceptation d’un service
A2.1.2 Evaluation et maintien de la qualité d’un service A3.3.3 Gestion des identités et des habilitations
- Adresse IP du serveur samba : 192.168.100.3 - Adresse IP du serveur DNS + AD : 192.168.100.2 - Nom du serveur samba : SRV-V-SAMBA
- Nom du serveur DNS + AD : SRV-V-AD - Nom du domaine : kiswitch.local
Tout les commandes seront tapées en root.
Configuration du serveur Samba
On commence par vérifier si notre IP est statique.
cat /etc/network/interfaces
Il faut ensuite configurer le fichier resolv.conf afin d’ajouter le serveur DNS local.
nano /etc/resolv.conf
Notre fichier ressemble désormais à ça : search kiswitch.local
domain kiswitch.local nameserver 192.168.100.2 nameserver 8.8.8.8
On met le serveur à jour, et on met le serveur à l’heure via un serveur NTP afin que le serveur AD ne nous refuse pas.
aptitude update
aptitude -y safe-upgrade aptitude install -y ntpdate ntpdate pool.ntp.org
On modifie ensuite le fichier /etc/hostname pour ajouter le nom de notre serveur Samba.
Nano /etc/hostname On tape cette commande : hostname fraise
On vérifie que la configuration est correcte en tapant cette commande, qui doit nous donner srv-v- samba.kiswitch.local :
hostname -f
Création des dossiers partagé et configuration de Samba
Nous allons créer deux dossiers, un pour les utilisateurs de l’Active Directory qui s’appellera partage, puis un autre contenant tous les dossiers personnels, qui s’appellera KISWITCH.
mkdir /home/partage mkdir /home/KISWITCH
On attribue les droits 777 aux dossiers : chmod 777 /home/partage chmod 777 /home/DUMCA
On configure ensuite le fichier smb.conf comme ceci : [global]
NetBIOS name = kiswitch server string = %u
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384 idmap uid = 10000-20000
idmap gid = 10000-20000 workgroup = KISWITCH os level = 20
preferred master = no max log size = 50
log file = /var/log/samba3/log.%m encrypt passwords = yes
dns proxy = no
realm = KISWITCH.LOCAL security = ADS
obey pam restrictions = yes
winbind use default domain = yes winbind enum groups = yes
winbind enum users = yes winbind gid = 10000-20000 winbind separator = + winbind cache time = 10
template shell = /bin/bash template homedir = /home/%D/%U
invalid users = root
[partage]
comment = Dossier pour les utilisateurs du domaine path = /home/partage
browseable = yes writeable = yes create mask = 700 directory mask = 700
valid users = @\"KISWITCH+Utilisateur \"
[homes]
comment = Home Directories browseable = no
writeable = yes
Installation de winbind et de Kerberos
Winbind nous permet de faire la liaison entre Linux et Windows. Il suffit juste de l’installer : aptitude install winbind
Avant de configurer Kerberos, il faut l’installer : aptitude install -y krb5-user On passe ensuite à la configuration.
nano /etc/krb5.conf
On configure notre fichier comme ceci, en respectant bien les minuscules et les majuscules :
[logging]
default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = KISWITCH.LOCAL dns_lookup_realm = false
dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes
[realms]
KISWITCH.LOCAL = {
kdc = srv-v-ad.kiswitch.local
admin_server = srv-v-ad.kiswitch.local default_domain = kiswitch.local
}
[domain_realm]
.kerberos.server = KISWITCH.LOCAL .dumca.eu = KISWITCH.LOCAL
dumca.eu = KISWITCH.LOCAL
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
Configuration de nsswitch.conf
On édite le fichier :
nano /etc/nsswitch.conf Afin qu’il ressemble à ceci :
passwd: files winbind shadow: files winbind group: files winbind
#hosts: db files nisplus nis dns hosts: files dns wins
# Example - obey only what nisplus tells us...
#services: nisplus [NOTFOUND=return] files
#networks: nisplus [NOTFOUND=return] files
#protocols: nisplus [NOTFOUND=return] files
#rpc: nisplus [NOTFOUND=return] files
#ethers: nisplus [NOTFOUND=return] files
#netmasks: nisplus [NOTFOUND=return] files
bootparams: nisplus [NOTFOUND=return] files ethers: db files
netmasks: files networks: files dns protocols: db files rpc: files
services: files netgroup: files publickey: nisplus automount: files
aliases: files nisplus
Intégration du serveur dans le domaine Active Directory
On redémarre les services précédemment configurés.
/etc/init.d/smbd restart /etc/init.d/winbind restart
On fait ensuite une requête de jetons Kerberos : kinit Administrateur
On verifie que nous avons bien récuperé un ticket valide en tapant : klist
On devrait avoir ceci :
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrateur@KISWITCH.LOCAL
Valid starting Expires Service principal 06/25/19 19:34:14 08/26/10 05:36:04
krbtgt/KISWITCH.LOCAL@KISWITCH.LOCAL renew until 06/26/19 19:34:14
Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached
On peut désormais joindre le serveur Active Directory : net join -U Administrateur
Si il n’y a pas d’erreur, on devrait avoir ce message : Using short domain name -- KISWITCH Joined 'HOLA' to realm ‘kiswitch.local’
Configuration de pam.d
Afin de pouvoir utiliser les comptes Active Directory pour se connecter sur le serveur Samba, il est nécessaire de configurer pam.d.
On édite le fichier common-account :
nano /etc/pam.d/common-account et y rajoute :
account sufficient pam_winbind.so account required pam_unix.so on édite le fichier common-auth :
nano /etc/pam.d/common-auth et on y rajoute :
auth sufficient pam_winbind.so
auth required pam_unix.so use_first_pass nullok_secure Pour finir on édite le fichier common-session :
nano /etc/pam.d/common-session et on y rajoute :
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066 session sufficient pam_winbind.so
session required pam_unix.so
