MISE EN PLACE D'UN CONTRÔLEUR DE DOMAINE SAMBA4

Transcription

1 STS SIO2 SISR MISE EN PLACE D'UN CONTRÔLEUR DE DOMAINE SAMBA4 A3.2.1 Installation et configuration d éléments d infrastructure C Installer et configurer un élément d interconnexion, un service, un serveur, un équipement terminal utilisateur C Installer et configurer un élément d infrastructure permettant d assurer la continuité de service, un système de régulation des éléments d infrastructure, un outil de métrologie, un dispositif d alerte SAMBA4 permet de mettre en place un contrôleur de domaine Active Directory, compatible avec les différentes versions de Windows Serveur depuis Windows 2000 jusqu'à Windows Nous verrons ici deux façons d'installer SAMBA4 En compilant les sources de la dernière version. En installant le package de la dernière version disponible dans les dépôts de votre distribution (ici une Ubuntu server 14.04) 1-INSATALLATION DE SAMBA4 1-1 EN COMPILANT LES SOURCES Fixer une adresse IP fixe. Fixer le nom de machine hostname -F /etc/hostname Vérifier : hostname Ex : Modifier en conséquence le fichier /etc/hosts localhost CD1 CD1.btssio.local Si le nom de machine est CD1 et que le nom du domaine sera btssio.local Permissions étendues Modification des options de montage de la partition racine (/) pour prendre en charge les (permettent une émulation / traduction des permissions NTFS par SAMBA sur un serveur Linux). Modifier le fichier /etc/fstab: Il faut ajouter les paramètres user_xattr,acl au niveau de la partition «/». Installation des prérequis apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils 1/30 Telechargement des sources samba 4.x.x (dernière stable):

2 wget Compilation et installation de samba 4 Copier et extraire l archive SAMBA 4 dans /opt (par exemple) Se placer dans le dossier créé par l'extraction. Préparer les sources pour votre configuration logicielle :./configure Compiler les sources: make Installer SAMBA: make install L installation de SAMBA 4 se trouve dans /usr/local/samba A PARTIR DU PACKAGE DISPONIBLE DANS LES DEPOTS Fixer une adresse IP fixe. Fixer le nom de machine hostname -F /etc/hostname Vérifier : hostname Ex : Modifier en conséquence le fichier /etc/hosts localhost CD1 CD1.btssio.local Si le nom de machine est CD1 et que le nom du domaine sera btssio.local Permissions étendues Modification des options de montage de la partition racine (/) pour prendre en charge les (permettent une émulation / traduction des permissions NTFS par SAMBA sur un serveur Linux). Modifier le fichier /etc/fstab: Il faut ajouter les paramètres user_xattr,acl au niveau de la partition «/». Installation : Mettre à jour la liste des packages disponibles apt-get update Pour voir la version qui sera installée : apt-cache showpkg samba Installer apt-get install samba 2/30

3 Afficher la version installée 2- MISE EN PLACE D'UN PREMIER CONTROLEUR DE DOMAINE 2-1 Configuration du client DNS Le packages ou l'archive des sources est téléchargé. Le serveur n'a plus besoin dans l'immédiat de la résolution de nom internet. Il la retrouvera lorsque le contrôleur samba4 sera installé. Le serveur doit avoir lui même comme serveur DNS. /etc/resolv.conf : ou namserver Si ce fichier est géré par resolvconf, il faut le configurer correctement, dans le fichier /etc/network/interfaces : /etc/network/interfaces... iface eth0 inet static... dns-nameservers Redémarrer le service réseau : service networking restart Une alternative est de supprimer le paquet resolvconf et de configurer manuellement le fichier /etc/resolv.conf. apt-get remove purge resolvconf 2-2 Initialisation de samba Renommer le fichier de configuration /etc/samba/smb.conf L'initialisation va créer plusieurs fichiers type base de données stockés dans /var/lib/samba/private/ ainsi que le fichier /etc/samba/smb.conf samba-tool domain provision --use-rfc interactive L'option use-rfc2307 active les attributs Posix dans l'ad. Ceci permet d'administrer les UIDs/GIDs et autres paramètres UNIX L'option --interactive va poser quelques questions pour la création du domaine. Pour connaître, l'ensemble des options relatives à l'initialisation : 3/30

4 samba-tool domain provision --help Si les valeurs satisfont, il ne faut alors que les valider par ENTER Realm : royaume kerberos. DOIT TOUJOURS ÊTRE ÉCRIT EN MAJUSCULES. Domain : domaine Windows Server Role : "dc" Contrôlleur Active directinstantané 1ory "member server" Serveur intégré dans un domaine Active Directory "standalone server" Serveur Autonome (Groupe de travail) DNS backend : Comment se fera la résolution DNS. SAMBA_INTERNAL est devenu le standard de Samba4. DNS forwarder : Redirecteur DNS Password : Le mot de passe du compte Administrator du domaine doit respecter les règles de complexité, à savoir : au moins une majuscule, un chiffre et 7 caractères de long (par exemple : P@ssw0rd). A la fin de l'installation : Remarque : Dans le cas d'une ré-initialisation, en plus des mesures déjà décrites ci-dessus, il sera nécessaire de préallablement supprimer les fichiers de base de données privés de Samba rm -rf /var/lib/samba/private/* Il est possible de changer le mot de passe du compte administrator avec les droits superutilisateur (root) avec la commande samba-tool user setpassword administrator 2-2 Démarrage de samba Il faut démarrer le service samba-ad-dc Le service Samba se gère via Upstart et la commande service. Il existe un fichier /etc/init/samba-ad-dc.conf qui démarre automatiquement samba après le montage 4/30

5 des systèmes de fichiers locaux et l'activation des interfaces réseau. Avant de démarrer Samba il faut d'abord arrêter les services smbd et nmbd. service smbd stop service nmbd stop service samba-ad-dc start Pour connaître l'ensemble des services démarrés par samba : samba-tool processes Service: PID dnsupdate 959 nbt_server 933 rpc_server 932 cldap_server 942 winbind_server 949 kdc_server 943 samba 0 dreplsrv 948 kccsrv 956 ldap_server 938 Tous ces services sont configurés soit dans /etc/samba/smb.conf, soit dans les fichiers /var/lib/samba/private/*. 2-3 Test de Samba AD DC Samba AD DC est composé de beaucoup de services différents qui interagissent. Les tests qui suivent permettent de tester les différents éléments. Test des ACL Pour tester les ACL, il faut installer le paquet acl 5/30

6 apt-get install acl Le paquet acl va, entre autre, installer les commandes setfacl et getfacl afin de définir et lire les ACL sur un fichier. Pour vérifier le fonctionnement des ACL, on peut exécuter des commandes setfacl et getfacl sur un nouveau fichier. Si aucune erreur n'est retournée, les ACL sont bien activées et utilisables. Test des attributs étendus Pour tester les attributs étendus, il faut installer le paquet attr. Ce paquet devrait déjà être installé car il s'agit d'une dépendance de samba. apt-get install attr Le paquet attr va, entre autre, installer les commandes setfattr et getfattr afin de définir et lire les attributs étendu d'un fichier. Pour vérifier le fonctionnement des attributs étendus, on peut exécuter les commandes ci-dessous sur un fichier d'une partition qui a les attributs étendus activé Pour ajouter un attribut étendu : touch test.txt setfattr -n user.username -v Votrenom test.txt Pour voir les attributs étendus d'un fichier : getfattr -d test.txt # file: test.txt user.username="votrenom" Si aucune erreur n'est retournée, les attributs étendus sont bien activés et utilisables. Test du DNS Pour tester le DNS, il faut installer le paquet dnsutils. Ce paquet devrait déjà être installé car il s'agit d'une dépendance de ubuntu-standard. apt-get install dnsutils Le paquet dnsutils va, entre autre, installer les commandes dig, nslookup et nsupdate afin d'interroger et mettre à jour un serveur DNS. Ce paquet n'installe pas un serveur DNS. Une configuration fonctionnelle du DNS est essentielle pour assurer le bon fonctionnement de Samba et de l'ad. Sans les bons paramètres, Kerberos ne fonctionnera pas, entraînant le nonfonctionnement des services de base. Pour que le serveur DNS interne puisse fonctionner, le port 53 udp/tcp ne doit pas être utilisé par d'autres programmes (tel qu'un autre serveur DNS, Dnsmasq, etc ).... Pour vérifier quel programme écoute sur le port 53 netstat -tunpe grep ":53" 6/30

7 Test des différents types d'enregistrement du DNS : Vérification du fonctionnement du service DNS par une résolution simple. dig ubndc01.example.com... ubndc01.example.com. 900 IN A ;; SERVER: #53( )... On voit sur la dernière ligne mise en évidence ici, quel serveur a répondu à la requête. Si ce n'est pas le bon serveur, il faut vérifier le fichier /etc/resolv.conf. Résolution d'une requête spécifique pour le service Kerberos dig -t SRV _kerberos._tcp.example.com... _kerberos._tcp.example.com. 900 IN SRV ubndc01.example.com.... Résolution d'une requête spécifique pour le service LDAP dig -t SRV _ldap._tcp.example.com... _ldap._tcp.example.com. 900 IN SRV ubndc01.example.com.... Résolution d'une adresse externe au domaine dig doc.ubuntu-fr.org... doc.ubuntu-fr.org IN A En cas d'absence de réponse, il faut vérifier qu'il y ait une ligne dns forwarder pointant vers l'ip d'un serveur DNS externe au domaine dans le fichier /etc/samba/smb.conf /etc/samba/smb.conf. dns forwarder = Test de Kerberos Installer le package krb5-user pour avoir les outils clients Kerberos apt-get install krb5-user Attention : le nom de domaine doit être saisi en majuscules. 7/30

8 Modifier le début du fichier /etc/krb5.conf en ajoutant les 2 lignes suivantes si nécessaire: Tester une authentification Kerberos: Pour visualiser le ticket reçu : 4- Test des partages SMB Pour afficher les partages Samba : Pour tester l'authentification à travers un accès à un partage : tester un accès à netlogon en tant qu'administrator (le compte se nomme administrator) : 3- INSTALLATION D'OUTILS D'ADMINISTRATION 8/30

9 Vous trouverez les liens de téléchargement ci-dessous sur la page Windows XP Console d'administration Active Directory sur un client XP. Le client XP doit être membre du domaine et il faut se loguer en tant qu'administrateur du domaine (Administrator). Après installation, les outils d'administration sont ensuite disponibles dans Démarrer/Programmes/Outils d'administration. La console Utilisateurs et ordinateurs Active Directory peut également être lancée par: La console de gestion des GPO : Windows INTÉGRATION DE POSTES ET SERVEURS NON CD DANS LE DOMAINE: 4-1 Intégration d'un poste Windows XP Prérequis : Le poste XP doit pouvoir communiquer avec le contrôleur de domaine. Le poste XP doit être à la même heure que le contrôleur de domaine. Le poste XP doit avoir comme serveur DNS le contrôleur de domaine. Intégration : Clic droit sur le poste de travail -> propriétés. Cliquez ensuite sur l'onglet "Nom de l'ordinateur"/modifier. Indiquez ensuite le domaine à joindre 9/30

10 Validez. Une fenêtre apparaît ensuite, vous demandant le nom du compte habilité à joindre une station sur le contrôleur de domaine. Vons utiliserez le compte "administrator" avec le mot de passe "Admin+-1" du domaine btssio.local. Lorsque vous ajoutez la machine au domaine un compte d'ordinateur est crée pour la machine dans l'unité Organisationnelle "Computers" du domaine. 4-2 Intégration d'un poste Windows Intégration d'un poste Linux Ubuntu Desktop 10/30

11 L'objectif est de joindre une machine Linux dans un domaine Active Directory de telle façon qu'il soit capable d'utiliser les comptes AD de ce domaine lors de l'authentification. Vous pourrez alors vous authentifier localement ou auprès du domaine. Prérequis : Les pakages resolvconf, network-manager, network-manager-gnome et avahi-daemon doivent être supprimés. Le poste Linux doit pouvoir communiquer avec les contrôleurs de domaine. Le poste Linux doit être à la même heure que les contrôleur de domaine. Le poste Linux doit avoir comme serveurs DNS les contrôleurs de domaine Installation des packages nécessaires Les méthodes possibles pour joindre un domaine: Pour intégrer un système linux dans un domaine, on doit installer et configurer samba, winbind et kerberos-user et modifier un certain nombre de fichiers comme /etc/nsswitch.conf. Une solution plus simple consiste à utiliser des programmes comme likewise-open ou centrifydc Installation de likewise-open Aller dans la logithèque Ubuntu et chercher Likewise Installer Likewise-open-gui 11/30

12 4-3-2 Modification de l'invite d'ouverture de session : Par défaut, on ne peut se loguer que sous le nom du compte que l'on a créé lors de l'installation du système. Il faut faire en sorte que l'on puisse saisir un autre nom d'utilisateur lors de l'ouverture de session. Modifier le fichier suivant : /etc/lightdm.conf Remémarrer Intégration au domaine par interface graphique Lancer Likewise Redémarrage. 12/30

13 4-3-4 Intégration au domaine par ligne de commande domainjoin-cli join <Nom de Domaine> <Compte d'opérateur> Exemple: domainjoin-cli join btssio2.local Administrator Redémarrage. Vérification et test : Le poste est intégré dans le domaine. Dans la console AD : On ouvre une session en précisant le domaine et le compte d'utilisateur du domaine sous la forme NOMDOMAINE\NomUtilisateur Remarque : Pour quitter le domaine en interface graphique, relancer Likewise 13/30

14 en ligne de commande : domainjoin-cli leave En tant qu'administrateur du domaine Un dossier personnel pour cet administrateur du domaine est créé dans /home Afficher les informations sur le domaine. Lister les utilisateurs du domaine et les utilisateurs locaux: getent passwd DOMAINE Lister les groupes du domaine et les groupes locaux: getent group D O M A I N E 14/30

15 4-3-6 L'intégration et utilisateurs du domaine dans les groupes locaux On peut intégrer des utilisateurs du domaine dans les groupes locaux pour qu'ils bénéficient des droits des groupes locaux dans lesquels ils sont intégrés. Exemple: Intégration de l'administrateur du domaine dans le groupe root: Configuration des droits sur les répertoires et fichiers: La configuration des droits sur les répertoires et fichiers se fait de façon classique: on utilise les noms d'utilisateurs et de groupes du domaine comme les noms d'utilisateurs et de groupes locaux. Exemple: L'utilisateur local root: crée un dossier /home/docs fixe administrator (utilisateur du domaine) comme propriétaire affiche les droits et constate que administrator est bien propriétaire 4-4 Intégration d'un poste Ubuntu serveur Prérequis Le poste Linux et les serveur AD doivent être à l'heure Le poste Linux doit avoir les serveurs AD comme DNS Installation des paquets samba, libpam-mount, smbfs et winbind: apt-get install samba libpam-mount smbfs winbind Test de l'authentification Kerberos Installer les outils clients avec le package krb5-user Tester une authentification : kinit administrator@btssio2.local 15/30 Configuration du client Samba:

16 Dans le fichier /etc/samba/smb.conf (comme pour un serveur): [global] workgroup=btssio2 realm=btssio2.local netbios name=us security=ads encrypt passwords=true winbind separator= / winbind enum users=yes winbind enum groups=yes idmap config * : range= winbind use default domain=yes template shell=/bin/bash template homedir=/home/btssio2/%u Explications: Workgroup= BTSSIO2 La machine doit appartenir au domaine realm=btssio2.local Nom du royaume kerberos Netbios name= US Nom netbios de la machine sur le réseau Windows (peut être différent du nom réel de la machine). security =ADS L'authentification de fait auprès d'ad encrypt password=yes La transmission des mots de passe se fait de façon cryptée. Winbind separator = / Le caractère permettant de séparer le nom de domaine du nom d'utilisateur est / (Ex: BTSSIO2/u01sio1) winbind enum users=yes winbind enum groups=yes winbind doit récupérer les utilisateurs et les groupes AD idmap config * : range= Indique la plage de numéro uid que les utilisateurs et les groupes du domaine utiliseront. 16/30 winbind use default domain = yes Configure le domaine par défaut. Il est alors inutile de saisir le nom de domaine avant le nom d'utilisateur pour se logger ((Ex: u01ig1 au lieu de BTSSIO2/u01sio1)

17 template shell = /bin/bash Donne le shell par défaut des utilisateurs du domaine. template homedir = /home/btssio2/%u Indique l'emplacement des répertoires "Home" des utilisateurs du domaine. Il faudra créer le répertoire BTSSIO2. Il faut donner le droit décrire aux utilisateurs sur ce répertoire. Modification des méthodes de recherche des noms, des groupes d'utilisateurs et des noms de machines. Le fichier /etc/nsswitch.conf est le fichier de configuration des bases de données systèmes et des services de noms. On demande d'utiliser Winbind pour trouver les noms d'utilisateurs et groupes rattachés au domaine: ajouter winbind à passwd et group On demande d'utiliser wins pour résoudre les noms de machines: ajouter wins à hosts. passwd: group: shadow: compat winbind compat winbind compat hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 wins networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis Faire en sorte qu'un dossier personnel soit créé pour les utilisateurs du domaine sur le serveur membre du domaine: Dans le fichier /etc/pam.d/common-session : session required pam_mkhomedir.so umask=022 skel=/etc/skel Redémarrer samba service samba-ad-dc start Joindre le poste au domaine net join ads -U Administrator -S cd1-us1204.btssio2.local Redémarrer Winbind Pour afficher le nom du domaine et la liste des utilisateurs /etc/init.d/winbind restart Affichage des informations sur le domaine: Le domaine dont on fait partie wbinfo --own-domain La liste des utilisateurs Samba du domaine wbinfo -u 17/30

18 La liste des groupes Samba du domaine wbinfo -gcee3ab4f-da b9a9-8f8edc2d6653 On peut alors se loguer sur le domaine en utilisant les comptes du domaine sous la forme NOMDOMAINE/NomUtilisateur ou NomUtilisateur 5-MISE EN PLACE D'UN SECOND CONTRÔLEUR DE DOMAINE Intégration dans le domaine en tant que contrôleur supplémentaire. Samba4 doit être installé sur le futur contrôleur. Le futur contrôleur de domaine doit avoir pour DNS l'adresse d'un contrôleur de domaine existant dans le domaine qui doit être opérationnel. Le contrôleurs existant et le futur contrôleur doivent être à la même heure. La jonction au domaine se fait par la commande samba-tool: samba-tool domain join btssio2.local DC -UAdministrator --realm=btssio2.local Il faut ensuite fournir le mot de passe du compte Administrator. Une réplication Active-deirectory commence. Gestion de la réplication Active Directory Pour voire l'état de la réplication: samba-tool drs showrepl (Samba doit être démarré...) Pour forcer la réplication : samba-tool drscee3ab4f-da b9a9-8f8edc2d6653 replicate <destinationdc> <sourcedc> <NC> -Uusername password=password Ex : samba-tool drs replicate cd2.btssio.local cd1.btssio.local DC=BTSSIO,DC=LOCAL -UAdministrator --password=admin+-1 NC est l'espace de noms LDAP à répliquer. Pour répliquer l'ensemble de l'espace de nommage, indiquer le nom de domaine. Exemple : DC=BTSSIO,DC=LOCAL Sous Windows, on peut voir les connexions de réplications entre serveurs dans la console Active Directory Sites and Services (Sites -> Default-First-Site-Name -> Servers -> YourS4Server). I 6- CONFIGURATION ET UTILISATION DE WINBIND SUR UN CD Sur un contrôleur de domaine SAMBA4 qui fait également office de serveur de fichiers, on doit pouvoir fixer des droits UNIX/ ACL sur certains répertoires en utilisant les comptes d'utilisateurs et de groupes du domaine. Le problème est que le système de la machine sur laquelle est installé SAMBA4, ne connaît pas par défaut ces comptes d'utilisateurs et de groupes du domaine. Il ne connaît que les comptes d'utilisateurs et groupes locaux (dans /etc/passwd et /etc/group). 18/30

19 Pour avoir accès aux comptes d'utilisateurs et de groupes du domaine, il faut utiliser la bibliothèque WINBIND Pour pouvoir ouvrir une session en utilisant les comptes du domaine, il faut configurer PAM (Pluggable Authentification Modules) Installation de Winbind Installer Winbind avec les packages suivants : apt-get install winbind libpam-winbind libnss-winbind Créer les liens symboliques suivants pour charger les bibliothèques Winbind: ln -s /lib/x86_64-linux-gnu/libnss_winbind.so /lib64/libnss_winbind.so ln -s /lib64/libnss_winbind.so /lib64/libnss_winbind.so.2 Mettre à jour la liste des bibliothèques partagées ldconfig Ajouter winbind sur les deux lignes suivantes dans le fichier /etc/nsswitch.conf and add winbind: passwd: compat winbind group: compat winbind 6-2- Utilisation de WINBIND Afficher la liste des utilisateurs du domaine : wbinfo -u Afficher la liste des groupes du domaine : wbinfo -g Afficher les informations sur les utilisateurs locaux et du domaine : getent passwd 19/30

20 Afficher les informations sur les groupes locaux et du domaine : getent group Afficher les informations sur un utilisateur particulier : id NomUtilisateur id Administrator uid=0(root) gid=100(users) groupes=0(root),100(users), (group Policy Creator Owners), (Domain Admins) Le compte Administrator est mappé sur le compte local root (uid 0 et fait partie du groupe de gid 0). Utiliser les comptes de domaine dans les droits UNIX et les acl : Les comptes de domaine s'utilisent comme les comptes locaux dans les commandes chown, chgrp, et setfacl. 6-3-Permettre les ouvertures de session avec les comptes du domaine Ajouter les lignes en gras dans le fichier /etc/samba/smb.conf # Global parameters [global] workgroup = BTSSIO realm = BTSSIO.LAN netbios name = CD1-US1404 server role = active directory domain controller dns forwarder = idmap_ldb:use rfc2307 = yes template shell = /bin/bash encrypt passwords = yes idmap config *:backend = tdb idmap config *:range = idmap config SAMDOM:backend = ad idmap config SAMDOM:schema_mode = rfc2307 idmap config SAMDOM:range = winbind nss info = rfc2307 winbind trusted domains only = no winbind use default domain = yes winbind enum users = yes winbind enum groups = yes Créer le fichier /etc/login.group.allowed Ajouter les groups que l'on veut autoriser à ouvrir une session : domain users domain admins root 20/30

21 Ajouter la ligne suivante dans le fichier /etc/pam.d/common-auth auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed Ajouter la ligne suivante dans le fichier /etc/pam.d/common-session pour qu'un dossier personnel soit créé localement pour les utilisateurs du domaine à la première ouverture de session. session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 Ajouter les administrateurs du domaine à la liste des sudoers visudo %domain\ admins ALL=(ALL) ALL Remarque: Pour pouvoir ouvrir une session par ssh en utilisant les comptes du domaine Ajouter la ligne suivante dans le fichier /etc/ssh/sshd_config PasswordAuthentication yes 7- LA CONFIGURATION DE SAMBA VIA LE FICHIER SMB.CONF Configuration globale Partage Partage Le fichier de configuration est divisé en différentes sections, chacune contenant des paramètres. Les lignes de commentaires commencent par # ou ; [nom_de_section1] parametre1 = valeur1 parametre2 = valeur2 [nom_de_section2] parametre1 = valeur1 parametre2 = valeur /30 La section [global] definit la configuration de base du serveur Les autres sections définissent les différents partages du serveur.

22 La création de partages Ajouter une section avec le nom de partage entre crochets et au moins le chemin du fichier partagé dans une directive path #Partage caché accessible en lecture seule [donnees] path = /data/samba/donnees comment = Partage Donnees writeable = no browsable = no Test de la validité de la configuration Vous pouvez vérifier la validité du fichier de configuration avec la commande testparm 8-UTILISATION DE LA COMMANDE SAMBA-TOOL 8-1 Afficher l'aide sur la commande samba-tool : samba-tool -h ou samba-tool -h more Affiche toutes les sous-commandes disponibles pour un affichage page par page Exemple : # samba-tool -h... Available subcommands: dbcheck - Check local AD database for errors. delegation - Delegation management. dns - Domain Name Service (DNS) management. domain - Domain management. drs - Directory Replication Services (DRS) management. dsacl - DS ACLs manipulation. fsmo - Flexible Single Master Operations (FSMO) roles management. gpo - Group Policy Object (GPO) management. group - Group management. ldapcmp - Compare two ldap databases. ntacl - NT ACLs manipulation. processes - List processes (to aid debugging on systems without setproctitle). rodc - Read-Only Domain Controller (RODC) management. sites - Sites management. spn - Service Principal Name (SPN) management. testparm - Syntax check the configuration file. time - Retrieve the time on a server. user - User management. vampire - Join and synchronise a remote AD domain to the local server. samba-tool <sous-commande> -h Affiche les sous-commandes ou options disponibles pour une sous-commande. 22/30

23 Exemple : # samba-tool user -h Usage: samba-tool user <subcommand>...windows xp Available subcommands: add - Create a new user. create - Create a new user. delete - Delete a user. disable - Disable an user. enable - Enable an user. list - List all users. password - Change password for a user account (the one provided in authentication). setexpiry - Set the expiration of a user account. setpassword - Set or reset the password of a user account. For more help on a specific subcommand, please type: samba-tool user <subcommand> (-h --help) 8-2- Affichage et modification de la stratégie de mots de passe du domaine par la commande Samba-tool. Sur un CD Windows, on modifie la stratégie de mots de passe par GPO. On peut définir une GPO modifiant la stratégie de mots de passe sur un domaine Samba4, mais elle n'est pas lue. On modifie cette stratégie par la commande samba-tool. Afficher la strategie de mots de passe : samba-tools domain passwordsettings show Modifier la stategie de mots de passe : # samba-tool domain passwordsettings set --h --complexity --store-plaintext --history-length --min-pwd-length --min-pwd-age --max-pwd-age Exemple : # samba-tool domain passwordsettings set --complexity on # samba-tool domain passwordsettings set --history-length 8 # samba-tool domain passwordsettings set --min-pwd-length 10 # samba-tool domain passwordsettings set --min-pwd-age 30 # samba-tool domain passwordsettings set --max-pwd-age MIGRATION DE CONTRÔLEUR DE DOMAINE WINDOWS 2008 VERS SAMBA4 9-1 Rôles FSMO (Rôles de maîtres d'opérations) 23/30

24 Le Maître d opérations (master operation en anglais) désigne certains types de contrôleur de domaine dans Active Directory, de Microsoft. Ce windows xp sont ceux qui jouent un rôle nécessitant un maître unique pour la réplication entre contrôleurs de domaine ; certains rôles sont uniques pour tous les domaines de la forêt ; d autres rôles sont plus simplement uniques à l intérieur d un domaine. FSMO signifie Flexible Single Master Operation ; le F de FSMO peut signifier flexible ou floating. Maître d opérations unique à l intérieur d une forêt de domaine Le maître de schéma qui gère la modification du schéma sur le serveur et sa réplication sur les autres contrôleurs de domaine. À un instant donné, il ne peut y avoir qu un seul maître de schéma dans une forêt de domaines. Le maître d attribution de noms de domaine (Domain Naming Master) qui gère l ajout et la suppression de domaine dans une forêt. À un instant donné, il ne peut y avoir qu un seul maître de ce type dans une forêt de domaines. Maître d opérations unique à l intérieur d un simple domaine Le maître RID (Relative IDentifier) qui alloue un identificateur relatif à l intérieur d un domaine (pour un utilisateur, un groupe ou tout autre objet géré par Active Directory). L association de ce RID avec l identificateur du domaine forme le SID (l identificateur de sécurité). Le maître RID gère aussi le déplacement d un objet d un domaine à un autre, à l intérieur de la forêt. À un instant donné, il ne peut y avoir qu un seul maître RID dans un domaine. Le maître d infrastructure qui maintient les SID (identificateurs de sécurité) et les GUID. Le plus souvent, il s agit seulement de maintenir les liens entre les utilisateurs et les groupes auxquels ils appartiennent. Émulateur d'un contrôleur de domaine principal de NT 4.0 (en anglais, un PDC Primary Domain Controller, voir () Primary Domain Controller). C'est aussi ce contrôleur de domaine qui est choisi préférentiellement pour la réplication vers les autres contrôleurs de domaine pour les changements de mots de passe comme serveur de temps, w32time, basé sur le protocole SNTP (Simple NTP) Ces différents rôles peuvent être déplacés d'un contrôleur de domaine à un autre en utilisant Outils Utilisateurs et ordinateurs Active Directory (dsa.msc) L'outil ntdsutil : Un utilitaire en ligne de commande sous Windows. la commande samba-tool sur un contrôleur Samba Transfert des rôles fsmo. Pour afficher les rôles fsmo Sur un contrôleur Samba : 24/30

25 samba-tool fsmo show Pour transférer les rôles fsmo: Sur le contrôleur sur lequels ils doivent être transférés : samba-tool fsmo seize --role=all 9-3- Suppression d'un contrôleur Windows : Sur une machine Windows sur laquelle la console de gestion des Utilisateurs et Ordinateurs AD est installée : 10- CREATION DE PROFILS ITINERANTS Par défaut, le profil d'un utilisateur est un profil local : lorsqu'un utilisateur ouvre une session pour la première fois sur un poste, un profil à son nom est créé sur le poste. Il aura donc un profil sur chaque poste sur lequel il a ouvert une session. Les modifications apportées au profil sur un poste ne se retrouvent pas sur les autres postes. 25/30

26 Pour retrouver ces modifications d'un poste à l'autre, on met en place des profils itinérants. Le profil d'un utilisateur n'est plus stocké sur chaque poste, mais de façon centralisée sur un serveur. Lorsqu'un utilisateur ayant un profil itinérant ouvre une session sur un poste, son profil est chargé depuis le serveur sur le poste de travail. Les modifications apportées sont enregistrées sur le serveur à la fermeture de session Mise en place : Créer un répertoire, par exemple /home/profiles sur un serveur. Les utilisateurs qui auront un profil itinérant doivent avoir le droit d'écriture sur ce partage. Partager ce répertoire en écriture par exemple sous le nom profiles. Dans les propriétés de l'utilisateur, Onglet Profile, indiquer le chemin du profile : Chemin du profile Fonctionnement Lorsque l' utilisateur ouvre une session, un dossier à son nom est créé dans le dossier des profiles Lorsqu'il ferme sa session, son profile est enregistré dedans. 11- REDIRECTION DE MES DOCUMENTS Le problème Par défaut le dossier Mes documents est stocké en local dans le dossier de profil des utilisateurs. Si on met en place des profils itinérants, le dossier Mes documents est synchronisé avec dossier 26/30

27 Mes documents présent dans le dossier de profil sur le serveur. Si la taille du dossier Mes documents est importante, cela peut engendrer un trafic réseau important à l'ouverture et à la fermeture de session La solution Une solution consiste à rediriger le dossier stocké en local dans le dossier de profil des utilisateurs vers un dossier sur un serveur, afin qu'il ne fasse plus partie du profil et que les documents que l'utilisateur enregistre dans Mes Documents soient enregistrés directement dans ce dossier sur le serveur Mise en place Nous allons ici rediriger le dossier Mes documents vers le dossier personnel de l'utilisateur, pour tous les utilisateurs de l'ou Compta. Le dossier personnel d'un utilisateur est /home/nomutilisateur partagé sous le nom NomUtilisateur sur un serveur Samba (SRV-SAMBA) membre du domaine. Le dossier Mes Documents sera redirigé dans un sous dossier Mes Documents du dossier personnel de l'utilisateur. 1- Créer une nouvelle stratégie sur l'ou Compta et Click droit/propriétés/onglet Stratégies de groupe/bouton Nouveau L appeler par exemple «Redirection de Mes Documents» Bouton Modifier Paramétrer la redirection : On veut rediriger le dossier Documents Le contenu de Mes Documents sera redirigé sur le serveur Samba dans le dossier personnel de l'utilisateur. 12- SCRIPTS DE SESSION ACTIVE DIRECTORY Un fichier de script Windows peut contenir des commandes DOS, Vbscript ou PowerShell. Il doit compoetre une extension.bat ou.cmd Exemple : Une commande net pour connecter un lecteur réseau. 27/30

28 Il peut être exécuté à l'ouverture ou la la fermeture de session d'un utilisateur. On parle alors de script de session. On peut les attacher à: Un utilisateur Une OU Mise en place d'un script lié à un utilisateur : Lese scripts d'utilisateurs sont stockés dans le partage netlogon : Sur un serveur Samba : Emplacement des scripts D'ouverture de session Liés aux utilisateurs. On y accède depuis un client : Créer le fichier de script.bat à cet endroit. L'utilisateur auquel sera affcté le script doit avoir le droit d'exécution sur celui ci. Dans les propriétés de l'utilisateur, onglet Profil Indiquer le nom du script 28/30 On peut seulement définir un script d'ouverture de session. Il faut le définir utilisateur par utilisateur.

29 12-2- Mise en place d'un script lié à une OU : On peut définir des scripts d'ouverture de session. de fermeture de session. Dans le gestionnaire d'utilisateurs et d'ordinateurs AD ou dans l'éditeur de stratégies: Ajouter une stratégie sur l'objet souhaité (Domaine, OU...) Dans le gestionnaire d'utilisateurs et d'ordinateurs : Click Droit/Propriétés Créer une nouvelle stratégie et lui donner un nom. Modifier la stratégie : Chemin de stockage sur le serveur Samba. Droits sur le script : 29/30

30 Fermer la fenêtre de l'explorateur et Parcourir pour sélectionner le script. Depuis un poste client, ouvrir une session sous le nom d'un des utilisateurs auxquels est liée la stratégie et vérifier si le script s'exécute. 30/30