Pages : 1
#1 Le 25/06/2016, à 20:57
- tuxrouge
Questions basiques sur le contrôle de domaine
Bonjour à tous
pour une petite association je voudrais un serveur avec un gestion des connexions et des fichiers incluse. En gos, je me connecte d'un poste client avec mes identifiants et j'ai accès à mes fichiers et réglages. Quelque soit le client
J'ai commencé à lire la doc mais je m'y perd un peu
J'avais cru comprendre qu'il me fallait installer un serveur ldap + samba
or dans d'autres pages on me parle aussi de kerberos et évidemment de nombreuses documentations ne sont pas à jour.
Pouvez-vous m'indiquer la méthode ou une documentation claire et actuelle sur la procédure à suivre ?
Enfin, il y a t'il un ordre d'installation et de configuration à suivre ?
exemple, je configure mon ldap avant samba ou l'inverse ou on s'en fiche ?
Merci de votre aide bien charitable
Hors ligne
#2 Le 25/06/2016, à 21:14
- maxire
Re : Questions basiques sur le contrôle de domaine
Salut,
À priori plus besoin de ldap, samba à lui seul doit suffire regarder ici.
Personnellement j'ai installé un serveur LDAP avec hébergement des données personnelles sur un serveur nfs mais mon réseau ne comporte aucune machine Windows.
Pas trouvé de documentation claire pour mettre en place un contrôleur de domaines avec LDAP, je sais juste que c'est possible.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#3 Le 26/06/2016, à 09:11
- tuxrouge
Re : Questions basiques sur le contrôle de domaine
merci pour la réponse
par contre je dois garder ldap parce que je vais potentiellement m'en servir pour d'autres services (un esp, owncloud, bluemind ...)
Je cherche encore une documentation claire et actuelle
Hors ligne
#4 Le 27/06/2016, à 11:09
- jlmas
Re : Questions basiques sur le contrôle de domaine
openLDAP et Samba c'est forcement samba 3 et c'est en fin de vie
Samba 4, c'est avec Active Directory et ça ne fonctionne pas avec un serveur openLDAP, par contre on peut se servir de son serveur Samba4 Active directory comme d'un serveur LDAP (le protocole) puisque s'en est un en utilisant nslcd par exemple pour faire la conversion entre les attributs Active Directory et LDAP.
Par contre trouver une documentation simple sur le sujet, je ne crois pas que ça existe, Samba 4 Active directory c'est complexe.
Dernière modification par jlmas (Le 27/06/2016, à 12:50)
Hors ligne
#5 Le 27/06/2016, à 12:04
- maxire
Re : Questions basiques sur le contrôle de domaine
Effectivement j'aurais dû préciser clairement que SAMBA 4 AD DC est un serveur LDAP comme le suggère la documentation que j'ai donnée en lien message #2.
C'est un sujet complexe demandant des connaissances que je ne domine pas.
Personnellement avec OPenldap j'ai tenté d'utiliser le schéma de BD fourni avec Samba 4 pour créer un annuaire Windows juste pour voir, en me disant que cela devrait le faire en créant un domaine, un groupe de domaine + un utilisateur Samba (Windows?).
En fait schéma de base utilisable ou non, je bloque à l'accès de OPenldap à partir d'un poste Windows 10 Enterprise, je n'ai aucune idée de la manière de dire à ce poste d'utiliser mon serveur OPenldap comme je peux le faire avec nslcd sur un poste linux en renseignant /etc/nslcd.conf.
Je suis perdu dans les menus de Windows 10.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#6 Le 27/06/2016, à 12:54
- GnuTux
Re : Questions basiques sur le contrôle de domaine
Maxire je sais pas si ta signature est toujours d'actualité mais si c'est le cas, tu as 3 systèmes obsolètes (2 linux, 1 windows). Je te laisse deviner lesquels. En VM ce n'est pas très grave par contre t'en a un installé physiquement et ça c'est pas bien.
Dernière modification par GnuTux (Le 27/06/2016, à 12:55)
Notre forum d'informatique ici : [url]http://[Spam probable, merci de signaler][/url]
Besoin d'assistance sous Linux ? c'est [url=http://[Spam probable, merci de signaler]/distributions-gnulinux-unix-like]ICI[/url] (raccourci pour vous créer un compte [url=http://[Spam probable, merci de signaler]/register]LÀ[/url])
Hors ligne
#7 Le 27/06/2016, à 13:09
- maxire
Re : Questions basiques sur le contrôle de domaine
@ GnuTux, je ne vois pas le rapport avec le sujet.
Si si garder Ubuntu 10.04 est très bien c'est le seul moyen que j'ai trouvé pour pouvoir utiliser le modem 56K intégré au laptop, juste au cas ou j'ai besoin d'une connexion alternative.
Je pourrais utiliser Windows 10 mais comme cette saleté a tendance à monopoliser la bande passante pour des trucs pas clairs il y a des chances pour qu'une liaison 56K soit vite saturée.
De plus La 10.04 est une version aboutie de Gnome ancienne version.
Le développement des gestionnaires de modem 56K intégrés est plus ou moins abandonné.
C'est vrai que ma signature est obsolète, à part Ubuntu 10.04 je n'ai plus de Ubuntu installé, il reste en physique Debian 8 MAte + une VM Windows XP pour quelques vieux trucs qui ne tourneront jamais sous Windows 10.
En plus je ne fais pas n'importe quoi.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#8 Le 27/06/2016, à 13:27
- jlmas
Re : Questions basiques sur le contrôle de domaine
En fait c'est via le DNS que les postes Windows s'enregistrent. Le DNS inclus dans samba 4 est modifié par rapport à un bind classique pour pouvoir répondre à des requêtes du type
$ host -t SRV _ldap._tcp.samdom.example.com.
_ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com.
Je ne pourrais pas t'en dire plus, car c'est vraiment un sujet que je ne maîtrise pas.
On a pris samba4 AD DC dans son ensemble, car il y a trop de choses intégrées à Samba4 qui peuvent poser soucis si on les remplace par d'autres solutions que l'on maîtrise mieux. Par exemple et en rapport avec le premier message, Windows 10 utilise le protocole smb 3.1.1, mais Samba3 qui "émule" un DC NT4 ne sait pas faire du smb 3.1.1 et je crois que la compatibilité avec les version du protocole smb datant de NT4 ont été supprimée de Windows 10, d'ou l'obligation d'utiliser samba4 dès que l'on a des postes Windows récents.
La documentation officielle de samba est ici https://wiki.samba.org/index.php/User_Documentation Elle est en général bien faite, mais bon c'est un pavé !
Dernière modification par jlmas (Le 27/06/2016, à 13:33)
Hors ligne
#9 Le 27/06/2016, à 13:53
- maxire
Re : Questions basiques sur le contrôle de domaine
Merci jlmas, cela vient confirmer ce que j'avais déjà perçu du fonctionnement de Windows10.
_ldap._tcp=type de service LDAP (RFC 2782), je pense qu'en définissant un service Avahi LDAP sur mon serveur OpenLDAP Windows devrait y accéder.
Je n'ai plus qu'à tester.
Ensuite, il faudra juste que je comprenne quoi mettre dans la base OPenLDAP, et ce n'est pas du tout simple.
Merci pour le lien de documentation, j'avais déjà commencé à picorer dedans, il va falloir que je la lise plus sérieusement.
Edit: En fait non bricoler avahi n'a pas de résultat, Windows 10 envoie une requête SRV _ldap._tcp.dc._msdcs.<domaine>. ???
Edit2: Cela marche beaucoup mieux en définissant les enregistrements ad hoc dans le DNS:
[frankenstein@FRANKENSTEIN ~]$ host -t SRV _ldap._tcp.dc._msdcs.frankenstein.home
_ldap._tcp.dc._msdcs.frankenstein.home has SRV record 0 100 686 master.frankenstein.home.
_ldap._tcp.dc._msdcs.frankenstein.home has SRV record 0 100 389 master.frankenstein.home.
[frankenstein@FRANKENSTEIN ~]$
Windows se plante tout de même mais pour une autre raison, il ne trouve pas le serveur dont l'adresse pourtant correcte lui a été fournie en retour de la requête SRV.
Je crois que je préfère le système linux avec une inscription claire de l'adresse du serveur LDAP dans un fichier de configuration.
Edit3: Je viens de comprendre que Openldap n'est pas utilisable comme serveur AD DC pour des machines Windows récentes suite à une sombre histoire de modification de protocole kerberos par Microsoft ===> Par contre Samba 4 est censé fonctionner.
Bref, je pense que je vais faire sauter Openldap pour Samba 4, affaire à suivre.
Dernière modification par maxire (Le 27/06/2016, à 17:29)
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#10 Le 28/06/2016, à 10:09
- maxire
Re : Questions basiques sur le contrôle de domaine
Rebonjour,
Résultats de mes tests:
- Samba 4 AD DC s'installe très facilement, j'ai pu créer un domaine et connecter un Windows 10 Entreprise à ce domaine en utilisant le compte administrateur Samba.
Pour la gestion du domaine mieux vaut passer via les application de Windows disponibles uniquement pour les versions complètes (Entreprise et supérieures) car samba-tool est assez pénible à utiliser
- Conservé un serveur Openldap pour gérer les machines Linux, j'ai eu un coup de fatigue en évaluant le travail nécessaire et pas vraiment utile pour intégrer celles-ci dans l'annuaire Samba. Il suffit de modifier les ports d'écoute de Openldap en n'oubliant pas de reporter ces modifications dans le paramétrage des postes clients.
Une chose qui me gêne, jutilisais dnsmasq comme serveur DNS/DHCP/TFTP, j'ai été obligé de désactiver sa fonction serveur DNS.
Je n'ai pas été capable de dire au serveur DNS Samba de faire suivre les requêtes DNS non résolues vers un serveur DNS local à l'écoute d'un port différent de 53.
Bref il a fallu que je définisse les quelques FQDN de dnsmasq/DNS dans Samba/DNS via Windows, c'est plus simple.
Pas non plus réussi à utiliser Phpldapadmin pour accéder à l'annuaire Samba, une sombre histoire de contrôle de sécurité qui ne m'a pas fait insister.
Le wiki Samba est amplement suffisant pour réaliser tout ceci, malheureusement en anglais.
Pour Openldap, de bons modes d'emploi (en anglais) desquels s'inspirer: ici et là.
Dernière modification par maxire (Le 28/06/2016, à 10:13)
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#11 Le 29/06/2016, à 15:38
- maxire
Re : Questions basiques sur le contrôle de domaine
Juste pour information, pour ceux qui voudraient continuer à utiliser leur serveur dnsmasq en serveur DNS amont de Samba DNS.
Si les deux serveurs Samba et Dnsmasq tournent dans la même machine, démarrer dnsmasq avec un port d'écoute DNS différent de 53 comme par exemple le port 5300 comme ceci:
dnsmasq -k --enable-dbus --user=dnsmasq --pid-file --port=5300
À intégrer dans les descriptions de service dnsmasq SystemD ou Upstart en fonction de votre système.
Mettre dans /etc/samba/smb.conf en section [global]:
dns forwarder = 127.0.0.1
Définir 2 règles iptables:
# iptables -t nat -A OUTPUT -d 127.0.0.1 -p udp --dport 53 -j DNAT --to 127.0.0.1:5300
# iptables -t nat -A OUTPUT -d 127.0.0.1 -p tcp --dport 53 -j DNAT --to 127.0.0.1:5300
Les sauvegarder.
Redémarrer dnsmasq et samba et vous avez 2 serveurs DNS séparant les enregistrements spécifiques à SAMBA AD DC du reste du système.
Avantages:
- Pas besoin de transférer les enregistrements de dnsmasq vers Samba/dns en cas d'utilisation de dnsmasq antérieure à celle de Samaba AD DC
- Possibilité de supprimer Samba AD DC très simplement
- Personnellement je considère la gestion du serveur DNS dnsmasq plus aisée que celle de Samba DNS sans parler des limitations spécifiques à Samba DNS
- Avec Dmsmasq qui convient parfaitement à des petits réseaux pas besoin de se prendre la tête avec Bind9
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
Pages : 1