Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Dernière révision Les deux révisions suivantes | ||
tutoriel:samba_ad_dc_members [Le 16/07/2018, 22:14] Qedinux Mise à jour pour 18.04 |
tutoriel:samba_ad_dc_members [Le 16/07/2018, 22:45] Qedinux [Joindre la machine au domaine] Mise à jour pour 18.04 |
||
---|---|---|---|
Ligne 79: | Ligne 79: | ||
==== Configurer samba ==== | ==== Configurer samba ==== | ||
La configuration de samba peut être réécrite comme suit : | La configuration de samba peut être réécrite comme suit : | ||
+ | * Pour Ubuntu 14.04 et 16.04 (avant Samba 4.6) | ||
<file - /etc/samba/smb.conf> | <file - /etc/samba/smb.conf> | ||
# Global parameters | # Global parameters | ||
Ligne 96: | Ligne 97: | ||
winbind nss info = rfc2307 | winbind nss info = rfc2307 | ||
+ | winbind trusted domains only = no | ||
+ | winbind use default domain = yes | ||
+ | winbind enum users = yes | ||
+ | winbind enum groups = yes | ||
+ | winbind refresh tickets = yes | ||
+ | | ||
+ | kerberos method = system keytab | ||
+ | </file> | ||
+ | * A partir d'Ubuntu 17.10 (à partir de Samba 4.6) | ||
+ | <file - /etc/samba/smb.conf> | ||
+ | # Global parameters | ||
+ | [global] | ||
+ | workgroup = EXAMPLE | ||
+ | realm = EXAMPLE.COM | ||
+ | netbios name = ubnwks01 | ||
+ | security = ADS | ||
+ | encrypt passwords = yes | ||
+ | |||
+ | idmap config EXAMPLE:backend = ad | ||
+ | idmap config EXAMPLE:schema_mode = rfc2307 | ||
+ | idmap config EXAMPLE:range = 10000-39999 | ||
+ | idmap config EXAMPLE:unix_nss_info = yes | ||
+ | |||
+ | idmap config *:backend = tdb | ||
+ | idmap config *:range = 40000-49999 | ||
+ | |||
winbind trusted domains only = no | winbind trusted domains only = no | ||
winbind use default domain = yes | winbind use default domain = yes | ||
Ligne 108: | Ligne 135: | ||
Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'identifiants pour les utilisateurs et groupes venant d'autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //BUILTIN\Administrators// et //BUILTIN\Users//. Par défaut, le groupe //EXAMPLE\Domain Admins// est membre du groupe //BUILTIN\Administrators// et le groupe //EXAMPLE\Domain Users// est membre du groupe //BUILTIN\Users//. Les autres groupes qui seraient créés localement sur la machine auront la forme //UBNWKS01\Nom du groupe//. | Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'identifiants pour les utilisateurs et groupes venant d'autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //BUILTIN\Administrators// et //BUILTIN\Users//. Par défaut, le groupe //EXAMPLE\Domain Admins// est membre du groupe //BUILTIN\Administrators// et le groupe //EXAMPLE\Domain Users// est membre du groupe //BUILTIN\Users//. Les autres groupes qui seraient créés localement sur la machine auront la forme //UBNWKS01\Nom du groupe//. | ||
- | Les lignes //winbind ...// définissent d'autres options pour l'utilisation de //winbind//. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. La ligne //winbind offline logon// permet de | + | Les lignes //winbind ...// définissent d'autres options pour l'utilisation de //winbind//. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. |
La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/etc/krb5.keytab). Ce fichier est le jeton d'authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'avoir une connexion avec le DC. | La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/etc/krb5.keytab). Ce fichier est le jeton d'authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'avoir une connexion avec le DC. | ||
+ | <note important>A partir de Samba 4.6, le paramètre **winbind nss info = rfc2307** est remplacé par **idmap config EXAMPLE:unix_nss_info = yes**(([[https://wiki.samba.org/index.php/Idmap_config_ad#The_RFC2307_and_template_Mode_Options|The RFC2307 and template Mode Options]]))</note> | ||
==== Appliquer les modifications ==== | ==== Appliquer les modifications ==== | ||
Ligne 118: | Ligne 146: | ||
==== Joindre la machine au domaine ==== | ==== Joindre la machine au domaine ==== | ||
- | <code>sudo net join -U Administrator | + | Bien que l'option **createupn** ne soit pas obligatoire pour joindre la machine dans le domaine, certaines fonctionnalités tel que [[tutoriel:samba_ad_dc_nfs4_kerberized|Partage NFSv4 avec authentification Kerberos]] auront besoin que cette information soit présente dans l'AD. Il est donc recommandé de directement fournir ces informations plutôt que de ne pas le faire, attendre et finalement s'amuser à modifier ultérieurement l'objet dans l'AD. |
+ | <code>sudo net join -U Administrator</code> | ||
+ | ou | ||
+ | <code>sudo net join createupn=UBNWS01.EXAMPLE.COM\$@EXAMPLE.COM -U Administrator | ||
Enter Administrator's password: | Enter Administrator's password: | ||
Using short domain name -- EXAMPLE | Using short domain name -- EXAMPLE |