Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
Dernière révision Les deux révisions suivantes
tutoriel:samba_ad_dc_members [Le 16/07/2018, 22:14]
Qedinux Mise à jour pour 18.04
tutoriel:samba_ad_dc_members [Le 16/07/2018, 22:45]
Qedinux [Joindre la machine au domaine] Mise à jour pour 18.04
Ligne 79: Ligne 79:
 ==== Configurer samba ==== ==== Configurer samba ====
 La configuration de samba peut être réécrite comme suit : La configuration de samba peut être réécrite comme suit :
 +  * Pour Ubuntu 14.04 et 16.04 (avant Samba 4.6)
 <file - /​etc/​samba/​smb.conf>​ <file - /​etc/​samba/​smb.conf>​
 # Global parameters ​                                                                         # Global parameters ​                                                                        
Ligne 96: Ligne 97:
  
         winbind nss info = rfc2307         winbind nss info = rfc2307
 +        winbind trusted domains only = no
 +        winbind use default domain = yes
 +        winbind enum users = yes
 +        winbind enum groups = yes
 +        winbind refresh tickets = yes
 +                ​
 +        kerberos method = system keytab
 +</​file>​
 +  * A partir d'​Ubuntu 17.10 (à partir de Samba 4.6)
 +<file - /​etc/​samba/​smb.conf>​
 +# Global parameters ​                                                                        
 +[global]
 +        workgroup = EXAMPLE
 +        realm = EXAMPLE.COM
 +        netbios name = ubnwks01
 +        security = ADS
 +        encrypt passwords = yes
 +
 +        idmap config EXAMPLE:​backend = ad
 +        idmap config EXAMPLE:​schema_mode = rfc2307
 +        idmap config EXAMPLE:​range = 10000-39999
 +        idmap config EXAMPLE:​unix_nss_info = yes
 +
 +        idmap config *:backend = tdb
 +        idmap config *:range = 40000-49999
 +
         winbind trusted domains only = no         winbind trusted domains only = no
         winbind use default domain = yes         winbind use default domain = yes
Ligne 108: Ligne 135:
 Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'​identifiants pour les utilisateurs et groupes venant d'​autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //​BUILTIN\Administrators//​ et //​BUILTIN\Users//​. Par défaut, le groupe //​EXAMPLE\Domain Admins// est membre du groupe //​BUILTIN\Administrators//​ et le groupe //​EXAMPLE\Domain Users// est membre du groupe //​BUILTIN\Users//​. Les autres groupes qui seraient créés localement sur la machine auront la forme //​UBNWKS01\Nom du groupe//. Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'​identifiants pour les utilisateurs et groupes venant d'​autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //​BUILTIN\Administrators//​ et //​BUILTIN\Users//​. Par défaut, le groupe //​EXAMPLE\Domain Admins// est membre du groupe //​BUILTIN\Administrators//​ et le groupe //​EXAMPLE\Domain Users// est membre du groupe //​BUILTIN\Users//​. Les autres groupes qui seraient créés localement sur la machine auront la forme //​UBNWKS01\Nom du groupe//.
  
-Les lignes //winbind ...// définissent d'​autres options pour l'​utilisation de //​winbind//​. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. ​La ligne //winbind offline logon// permet de +Les lignes //winbind ...// définissent d'​autres options pour l'​utilisation de //​winbind//​. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. ​
  
 La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/​etc/​krb5.keytab). Ce fichier est le jeton d'​authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'​avoir une connexion avec le DC. La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/​etc/​krb5.keytab). Ce fichier est le jeton d'​authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'​avoir une connexion avec le DC.
 +<note important>​A partir de Samba 4.6, le paramètre **winbind nss info = rfc2307** est remplacé par **idmap config EXAMPLE:​unix_nss_info = yes**(([[https://​wiki.samba.org/​index.php/​Idmap_config_ad#​The_RFC2307_and_template_Mode_Options|The RFC2307 and template Mode Options]]))</​note>​
  
 ==== Appliquer les modifications ==== ==== Appliquer les modifications ====
Ligne 118: Ligne 146:
  
 ==== Joindre la machine au domaine ==== ==== Joindre la machine au domaine ====
-<​code>​sudo net join -U Administrator+Bien que l'​option **createupn** ne soit pas obligatoire pour joindre la machine dans le domaine, certaines fonctionnalités tel que [[tutoriel:​samba_ad_dc_nfs4_kerberized|Partage NFSv4 avec authentification Kerberos]] auront besoin que cette information soit présente dans l'AD. Il est donc recommandé de directement fournir ces informations plutôt que de ne pas le faire, attendre et finalement s'​amuser à modifier ultérieurement l'​objet dans l'​AD. 
 +<​code>​sudo net join -U Administrator</​code>​ 
 +ou 
 +<​code>​sudo net join createupn=UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM ​-U Administrator
 Enter Administrator'​s password: Enter Administrator'​s password:
 Using short domain name -- EXAMPLE Using short domain name -- EXAMPLE
  • tutoriel/samba_ad_dc_members.txt
  • Dernière modification: Le 11/09/2022, 12:20
  • par moths-art