Utiliser un partage SMB avec Samba et des permissions Active Directory
Adminstration Server Linux, Adminstration Server Windows, Debian, Sécurité Add commentsAvec ce mémo, vous allez mettre en place un partage SMB à l’aide de Samba tout en utilisant authentification et les permissions de votre domaine Active Directory
Le serveur Samba tourne sur Debian 6.0 et le DC sur Windows Server 2008 R2
Installation des paquets
Avant d’installer assurez-vous d’avoir un serveur à jour
aptitude update && aptitude safe-upgrade
Ensuite installez les paquets suivant
aptitude install samba winbind krb5-user libkrb53 ntpd ntpdate
Heure du serveur
Avant de commencer il est primordial de synchroniser l’heure du serveur sur le DC notament pour l’authentification kerberos
/etc/.init.d/ntp stop
vi /etc/ntp.conf
Configurez la ligne server avec l’ip de votre DC
ntpdate
/etc/.init.d/ntp start
Configuration de Kerberos
vi /etc/krb5.conf
Attention respectez scrupuleusement les majuscules ( à adapter : DOMAINE.COM, server_dc1, domaine, DOMAINE)
[libdefaults] default_realm = DOMAINE.COM clock_skew = 300 ticket_lifetime = 24000 default_tkt_enctypes = des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc default_tgs_enctypes = des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc dns_lookup_realm = false dns_lookup_kdc = true [realms] DOMAINE.COM = { kdc = server_dc1 admin_server = server_dc1 default_domain = DOMAINE.COM } [domain_realm] .domaine = DOMAINE domaine = DOMAINE
Configuration de Samba
vi /etc/samba/smb.conf
[global] netbios name = srv-shares workgroup = DOMAINE server string = Backup Server realm = DOMAINE.COM security = ADS encrypt passwords = true password server = server_dc1.domaine.com idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum groups = yes winbind enum users = yes winbind use default domain = yes [shares] path = /home/shares comment = shares writable = yes browseable=yes read only = no inherit acls = yes inherit permissions = yes create mask = 700 directory mask = 700 valid users = @"DOMAINE+Domain Users" admin users = @"DOMAINE+Domain Admins"
Configuration de nsswitch
Pour que Samba puisse utiliser les utilisateurs et groupes de l’AD, il faut configurer nsswitch afin de lui ajouter Winbind comme possibilité d’authentification
vi /etc/nsswitch.conf
# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Redémarrage des services
/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
Jonction à l’Active Directory
net join -U Administrator
Ensuite pour tester
kinit administrator klist wbinfo -u wbinfo -g
Vous pouvez à présent configurer les permissions avec les commandes habituelles.
chown DOMAINE\user1 repdeuser1 chgrp DOMAINE\groupe1 repdegrp1
janvier 2nd, 2014 at 15 h 40 min
[…] http://www.majorxtrem.be/2011/05/30/utiliser-un-partage-smb-avec-samba-et-des-permissions-active-dir… […]