Serveur de fichiers Samba avec authentification Active Directory

Le serveur de fichier est un Debian 7 son nom est : DEB-FILES.

L’AD est un Windows Server 2008 R2, son nom est WIN-DC.

 

Configuration des interfaces réseaux :

Windows Server (AD) :

image

Debian :

nano /etc/network/interfaces

# The primary network interface
auto eth0
allow-hotplug eth0
iface eth0 inet static
address 10.0.0.1
netmask 255.255.255.0
gateway 127.0.0.1

Ne pas oublier de configurer le/les serveur(s) DNS, 10.0.0.2 correspond au serveur AD :

nano /etc/resolv.conf

nameserver 10.0.0.2

Tester la connectivité et la resolution DNS :

ping win-dc.supinfo.com

(ping votre serveur AD)

 

Intallation des paquets :

aptitude update && aptitude safe-upgrade

aptitude install samba winbind krb5-user libkrb53 ntpd ntpdate

aptitude install krb5-libs krb5-workstation pam_krb5 samba-client nss

Synchronisation de l’Heure :

Arret du serveur NTP :

/etc/init.d/ntp stop

OU

service ntp stop

Editer le fichier :

/etc/ntp.conf

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift
ntpdate 10.0.0.2
server win-dc.supinfo.com

# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

Démarrage du serveur NTP :

/etc/init.d/ntp start OU service ntp start

Configuration du Serveur Kerberos :

Editer le fichier, faire attention à la casse (majuscules/minuscules) !!!

nano /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SUPINFO.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
SUPINFO.COM = {
kdc = win-dc.supinfo.com
   admin_server = win-dc.supinfo.com
   default_domain = supinfo.com
}

[domain_realm]
domaine_ad.com = SUPINFO.COM
.domaine_ad.com = SUPINFO.COM

# Optionnel
# [appdefaults]
# pam = {
#    debug = false
#    ticket_lifetime = 36000
#    renew_lifetime = 36000

domaine_ad.com = SUPINFO.COM
.domaine_ad.com = SUPINFO.COM

# Optionnel
# [appdefaults]
# pam = {
#    debug = false
#    ticket_lifetime = 36000
#    renew_lifetime = 36000
#    forwardable = true
#    krb4_convert = false
# }

Configuration de Samba :

@users @direction @personnel sont les groupes de l’AD.

create mask = 0775
Droit sur les nouveaux fichiers crées par les utilisateurs.

directory mask = 0775

Droit sur les nouveaux dossiers crées par les utilisateurs.

Editer le fichier :

nano /etc/samba/smb.conf

#GLOBAL PARAMETERS
[global]
workgroup = SUPINFO
realm = SUPINFO.COM
preferred master = no
server string = Linux Test Machine
security = ADS
encrypt passwords = yes
log level = 3
log file = /var/log/samba/%m
max log size = 50
printcap name = cups
printing = cups
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = +
idmap uid = 600-20000

max log size = 50
printcap name = cups
printing = cups
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = +
idmap uid = 600-20000
idmap gid = 600-20000
;template primary group = « Domain Users »
template shell = /bin/bash

[profiles$]
path = /home/profiles
writable = yes
Valid user = @users
[Direction]
path = /home/direction

writable = yes
Valid user = @direction @personnel
create mask = 0775
directory mask = 0775

Configuration de nsswitch :

Editer le fichier :

/etc/nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference’ and `info’ packages installed, try:
# `info libc « Name Service Switch »‘ for information about this file.

passwd: files winbind
shadow: files winbind
group: files winbind

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Joindre la machine au domaine :

net ads join –U Administrateur

Remplir le mot de passe. La réponse doit-être sous cette forme :

Joined ‘SERVER_LINUX’ to realm ‘DOMAIN_AD’

PAM :

Editer le fichier :

nano /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session required /lib/security/$ISA/pam_winbind.so use_first_pass

Redémarrage des services :

service winbind stop

service samba restart

service winbind start

Droit dossier :

cd /home

mkdir direction

chown –R utilisateur:groupe dossier

exemple :

chown –R florent:users direction

chgrp –R florent:users direction

Test via un Client :

Connexion via un utilisateur du groupe users.

image

L’utilisateur peut : accéder au dossier Direction puis créer un dossier :

image

Ainsi que créer un nouveau fichier :

image

Un autre utilisateur du groupe direction peut aussi modifier le nouveau fichier.

Mes sources :

http://www.blogvirtualisation.com/partage-samba-avec-authentification-active-directory/

http://www.majorxtrem.be/2011/05/30/utiliser-un-partage-smb-avec-samba-et-des-permissions-active-directory/

http://wiki.kogite.fr/index.php/Samba_avec_authentification_sur_Active_Directoryhttp://www.debianaddict.org/article38.html

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s