Forum Linux.général Samba et Active Directory

Posté par (page perso) .
Tags : aucun
0
12
oct.
2005
Cher forum,

Dans ma boite nous sommes en train de passer progressivement d'une architecture avec contrôleur de domaine, à une architecture avec Active Directory (AD). Nous sommes dans un service CAO qui a besoin de machines Unix (pour Catia par exemple) et Windows (bureautique). Nous avons donc un serveur Samba, qui permet d'avoir accès sous Windows aux fichiers Unix. Ce serveur samba fait donc la correspondance entre les utilisateurs Unix et Windows. Ainsi, les utilisateurs peuvent monter leurs disques et Samba utilise le contrôleur de domaine pour authentifier l'utilisateur, sans qu'ils n'aient à rentrer de mot de passe. Cela se fait par l'intermédiaire de la ligne suivante du fichier smb.conf :

password server = <nom du contrôleur de domaine>

Avec mon collègue, on a commencé à rechercher comment migrer notre serveur samba pour AD, mais on tombe toujours sur des documentations qui indiquent qu'il faut ajouter le serveur Samba dans le domaine AD. Voir par exemple la documentation :

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-fr-4/s1-samba-servers(...)

Ajouter un Samba implique donc que les administrateurs Windows viennent rentrer leur mot de passe administrateur du domaine sur nos machines Unix. Bien sûr, lorsqu'on parle de Samba aux administrateurs Windows responsables d'AD ils ne comprennent pas trop. A t on bien compris la documentation ?

Je voudrais donc savoir si quelqu'un a déjà eu a configurer un Samba pour Active Directory, et si la documentation décrit bien ce qu'on devrait faire dans notre cas.

Merci d'avance pour vos réponses !
  • # c'est bien cela

    Posté par . Évalué à 1.

    Un serveur samba doit etre integré au domaine de la meme facon qu'un poste windows : par un administrateur du domaine.

    Je te conseille la lecture (voire l'achat) de l'excellent "samba par l'exemple" :
    http://us1.samba.org/samba/docs/man/Samba-Guide/unixclients.html#adssdm

    Sinon, un extrait de ma doc perso :
    --
    vérification du bon fonctionnement de Kerberos

    * kinit username@MYDOMAIN.AD
    * klist
    * smbclient -k //adserver1.mydomain.ad/shareontadserver1
    * kdestroy

    intégration au domaine ADS

    * smbpasswd root et rentrer le mot de passe de l'administrateur du domaine ADS <- *** C EST ICI QU ILS INTERVIENNENT ***
    * net ads join -U administrateur : un message doit indiquer que l'on a été rajouté avec succès à MYDOMAIN.AD
    * /etc/init.d/samba restart && /etc/init.d/winbind restart puis tester que l'on arrive bien à se connecter aux controleurs ADS via wbinfo -u et wbinfo -g (utiliser wbinfo -p pour voir si on arrive bien à communiquer avec winbindd, le cas échéant)
    * net groupmap modify ntgroup="Domain Users" unixgroup=users <- Euh là il me semble que c'est plutôt "Utilisa. du domaine" si t'as un domaine français
    * net groupmap modify ntgroup="Domain Guests" unixgroup=nogroup
    * net groupmap modify ntgroup="Domain Admins" unixgroup=root
    * net groupmap list : on doit obtenir la liste des comptes pour lesquels une correspondance entre compte local et compte ADS a été forcée.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.