Création d’un domaine AD avec Samba4

primary-samba-server

Préparation

  • Un serveur installé en Debian Stretch, en anglais, minimaliste (uniquement SSH d’installé)
  • Configuration de /etc/network/interfaces en IP fixe
  • Le nom FQDN dans /etc/hosts et /etc/hostname :

Fichier /etc/hosts :

127.0.0.1 localhost
X.Y.Z.10 dc1.maboite.lan dc1

Fichier /etc/hostname :

dc1.maboite.lan

Rebooter la machine pour prendre en compte ce nouveau nom de machine (un hostname -F /etc/hostname n’a pas l’air de suffire pour le script samba qui récupère toujours l’ancien nom…)

reboot

 

Installation de Samba

En version Stretch, Debian fournit une version 4.5.8 de Samba.

export DEBIAN_FRONTEND=noninteractive
apt-get update
apt-get install samba winbind libnss-winbind krb5-user
unset DEBIAN_FRONTEND

 

Si vous avez besoin d’une version plus récente ou d’une version spécifique, je vous conseille d’installer une Debian Jessie et d’utiliser les paquets faits par TranquilIT, LE spécialiste français de Samba. Ajouter les dépôts stables de Samba puis lancer l’installation :

echo "deb http://samba.tranquil.it/jessie64/stable/   ./" > /etc/apt/sources.list.d/tissamba.list
export DEBIAN_FRONTEND=noninteractive
apt-get update
apt-get install samba winbind libnss-winbind krb5-user
unset DEBIAN_FRONTEND

 

Créer un nouveau domaine AD

Supprimer tout le contenu de /etc/krb5.conf et écrire les lignes suivantes :

[libdefaults]
    dns_lookup_realm = false
    dns_lookup_kdc = true
    default_realm = MABOITE.LAN

 

Effacer le fichier /etc/samba/smb.conf

Créer le nouveau domaine :

samba-tool domain provision --realm=MABOITE.LAN --domain MABOITE --adminpass 1-Truc-C0mp|iqu3 --server-role=dc

 

Faire pointer le fichier /etc/resolv.conf sur le serveur lui-même :

search maboite.lan
nameserver 127.0.0.1

 

Configurer les forwarders DNS dans le fichier /etc/samba/smb.conf

[global] 
    ...
    dns forwarder = 80.67.169.12
    ...

 

Désactiver le service samba pour le remplacer par samba-ad-dc et redémarrez le serveur :

systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
systemctl disable samba winbind nmbd smbd
systemctl mask samba winbind nmbd smbd
reboot

 

Et ça marche !

Tester que le kerberos est bien configuré, en testant une demande de ticket pour le compte administrator que vous venez de créer :

kinit administrator
klist

 

Tester les DNS

dig @localhost perdu.com
dig @localhost dc1.maboite.lan
dig -t SRV @localhost _ldap._tcp.maboite.lan

 

Tester le contrôleur de domaine avec un poste Windows :

  • Le poste client doit avoir comme serveur DNS le serveur dc1 (X.Y.Z.10)
  • Joindre la machine au domaine en utilisant le compte administrator

 

 

Prochaine étape :

Administration de ce nouveau domaine avec les outils RSAT et samba-tool

 

 

 

Sur le même sujet :