Forum Linux.général Serveur DNS bind9 avec Active Directory Microsoft

Posté par . Licence CC by-sa
Tags : aucun
1
11
mai
2016

Bonjour,

Ne me demander pas pourquoi, je dois configurer un serveur DNS/DHCP sous RedHat, jusque la pas de problème, on me demande une interface graphique car si un jour je suis absent.. il faut qu'un autre administrateur puisse intervenir.. et ils aiment pas trop la ligne de commande x), je vais utiliser Webmin (si vous avez d'autres idées je suis preneur ) ,bref

Au début le serveur fonctionnera en autonomie.. mais dans le futur, il devra sûrement communiquer avec un Active Directory Windows.. et c'est la qu'il y a le problème, est ce qu'on peut faire fonctionner un DNS/DHCP avec un Active Direcctory ? Est ce que c'est compatible ? peut-on facilement dire à l'active directory d'aller utiliser notre DNS sous Linux ?

Merci d'avance,

  • # le bout du concept

    Posté par . Évalué à 4.

    mais dans le futur, il devra sûrement communiquer avec un Active Directory Windows…

    va au bout du concept, utilise samba4 et bind9+dhcp,
    tu auras alors un ensemble simulant un active directory.

    tu installes un 2e controlleur samba4 et tu as un cluster active directory.

    si ensuite tes admins windows veulent un vrai active directory car peutt-etre samba4 ne fait pas ce qu'ils souhaitent, tu pourras toujours monter un active directory enfant de tes samba4.

    • [^] # Re: le bout du concept

      Posté par . Évalué à 1.

      C'est vrai que c'est pas complètement faux ce que tu dis, tant qu'à faire autant tout faire d'un coup..

      Je viens de regarder vite fais, et ducoup, il est possible de lier un active directory avec un samba.. vrai ? comment ça se déroule ? obliger de faire 2 contrôleurs samba ? (je dois approfondir le sujet)

      Donc je serais belle et bien obligé d'installer un samba à un moment (même si cela ne m’enchante pas car je trouve ça assez difficile d'après les infos que j'ai vu, on verra bien x))

      Merci beaucoup pour votre réponse

      • [^] # Re: le bout du concept

        Posté par . Évalué à 4. Dernière modification le 11/05/16 à 15:16.

        tu n'es pas obligé de monter tout de suite 2 serveurs samba4, le premier pouvant faire tout le boulot.

        perso j'utilisais un DHCP à coté, et un double DNS.
        celui du DHCP pour gerer les machines.example.com
        celui integré au controlleur de domaine samba pour gerer les machines.example.local

        et le DNS du DHCP etait simple forwarder pour le domaine example.local, permettant ainsi aux machines windows de trouver le controleur de domaine.

        voici ce que j'avais pris en note en 2012 pour l'installation d'un samba4 en controleur de domaine, corrigé des mises à jour recentes des distribs.

        evidemment tu peux aussi vouloir utiliser le DNS Bind9 et faire que ce soit integré avec samba, mais moi je ne pouvais pas à l'epoque.

        Installation de samba4 sur ubuntu 12.04 Debian7

        1°) ajouter le depot zentyal 3.3
        deb http://archive.zentyal.org/zentyal 3.3 main extra

        2°) mettre à jour, desinstaller bind9 et dnsmasqd, installer samba4 de zentyal
        aptitude update
        aptitude purge bind9 dnsmasqd
        aptitude install samba4

        le 12/02/2014, cela installe samba4.1.0

        3°) supprimer le fichier /etc/samba/smb.conf

        4°) configurer le samba en domain controller avec la commande

        samba-tool domain provision --use-rfc2307 --interactive

        redemarrer le service ou la machine.
        service samba4 restart

        5°) sur le domaine secondaire
        meme operation sur le controleur secondaire, sauf qu'on ne demandera pas l'option provision mais l'option join.

        samba-tool domain join xxxx.yyyy DC -Uuser_with_adminrights

        pour memoire :

        REALM = example.com
        domain = example
        
        ldap => dc=example,dc=com
        
        infos pour la connexion de service utilisant ldap
        dn => cn=monuser,cn=Users,dc=example,dc=com
  • # Intégration Active Directory et BIND

    Posté par (page perso) . Évalué à 5.

    est ce qu'on peut faire fonctionner un DNS/DHCP avec un Active Direcctory ?

    DHCP je ne suis pas certain (probablement, mais je n'ai pas testé).

    DNS, BIND en particulier, oui et il y a de la documentation pour cela, mais ce n'est pas très récent :

    http://www.ibiblio.org/gferg/ldp/BIND+AD-HOWTO/

    L'un des points les plus importants est de comprendre l'utilisation des enregistrements SRV que Active Directory utilise beaucoup.

    Voici un autre courte documentation à ce sujet :

    http://www.linuxquestions.org/linux/answers/Networking/Configure_BIND_DNS_to_Answer_Active_Directory_Queries

    Je me suis un peu frotté à l'intégration de Samba 4 avec Active Directory, et cela fonctionne, avec quelques bugs ça et là (peut-être dus à Samba, mais le réseau Windows n'était pas configuré dans les règles de l'art non plus…). L'une des choses ennuyeuses et qu'il ne faut pas mettre de règles de filtrage iptables trop restrictives (ou à minima être sûr de bien logger ce qui se passe pour pouvoir comprendre ce qui se passe).

  • # petit point

    Posté par . Évalué à 1.

    Merci pour toutes vos réponses, cela m'aides beaucoup,

    Je me suis monté deux machines de test ou j'ai installé samba.. mais sans le configuré.
    Sur la première j'ai installé un serveur DHCP, puis je l'ai configuré, puis après un serveur DNS, que j'ai aussi configuré (bon j'ai un peut galérer.. sur centos, faire le DNS, j'ai un peut de mal à comprendre, bref..)

    J'ai ensuite configurer mon SAMBA, il est fonctionnel, sauf problème.. impossible de joindre un client xp à mon domaine.. l'erreur vient à tous les coup à cause de mon serveur DNS qui fait mal les résolutions et qui n'est pas du tout intégré avec mon SAMBA..il faut donc intégrer bind9 avec samba 4 (super --')

    je me suis rendu compte sur la deuxième machines, qu'à l'installation de SAMBA, un serveur dns est installé par défaut.. ce serveur dns est il suffisant pour permettre a une machine de se joindre au domaine ? est-je vraiment besoin de configurer bind9 alors qu'un dns est déja (apparemment) présent dans samba4..

    Merci :)

    • [^] # Re: petit point

      Posté par . Évalué à 2.

      dans ton cas tu as 2 installations separées

      DHCP/DNS d'un coté
      SAMBA4/DNS de l'autre.

      il faut dire au premier d'envoyer les requetes DNS au deuxieme quand cela concerne ton DOMAIN.LOCAL,
      c'est ce que l'on appelle configurer le DNS en DNS forwarder vers un autre DNS.

      attention il faut bien que ton domaine DNS ne soit pas le meme que le domaine SAMBA (d'ou souvent l'usage du .local)

      • [^] # Re: petit point

        Posté par . Évalué à 1.

        Ah d'accord !! bon je commence à comprendre de mieux en mieux :)

        bon j'ai regarder comment il fallait configurer bind avec samba sur centos.. ça à pas l'air simple, mais je vais essayer x) puis je commence à toucher à tous les fichiers donc ça commence à être le gros bordel :)

      • [^] # Re: petit point

        Posté par . Évalué à 1.

        et est ce qu'il y a un véritable intérêt à avoir un DNS en plus du DNS qui est déja présent dans SAMBA ? il y a plus d'options ?

        • [^] # Re: petit point

          Posté par . Évalué à 2.

          le DNS de SAMBA ne va gerer que tondomaine.local

          et je crois que le DNS de SAMBA ne s'associe pas au DHCP.

          par contre tu peux n'avoir qu'un seul DNS, bind9/named, ainsi :
          SAMBA cause à BIND9
          DHCP cause à BIND9

          • [^] # Re: petit point

            Posté par . Évalué à 1.

            Bon.. et bien je vais bien être obligé de creuser creuser et encore creuser pour réussir à configurer la relation bind avec samba sur centos, je vais m'y mettre alors :)

            • [^] # Re: petit point

              Posté par . Évalué à 2.

              il me semble que dans la doc de samba4 il est est bien expliqué comment le faire fonctionner avec bind9

              apres centos/debian/mandriva, ca reste le logiciel bind9

              • [^] # Re: petit point

                Posté par . Évalué à 1.

                Oui c'est assez bien expliqué,

                Connaissez vous "Mandriva Directory Server" ? C'est une interface d'administration DHCP/DNS/SAMBA.. je ne sais pas si il est dispo sur Centos.. autrement j'utilise Webmin.. si vous avez d'autres idées pour faciliter l'administration à mes collègues dans le futur

                • [^] # Re: petit point

                  Posté par . Évalué à 2.

                  s'ils veulent administrer un active directory, rien de mieux qu'une VM avec windows et les outils RSAT dessus.

                  s'ils veulent juste gerer un annuaire LDAP :
                  - phpldapadmin peut suffire
                  - sinon eclipse et le plugin LDAP

                  • [^] # Re: petit point

                    Posté par . Évalué à 1.

                    D'accord avec toi pour les outils RSAT pur l'Active Directory.. mais pour le DNS et DHCP.. ouai ldap pourquoi pas.. il y a pas mieux ?

                    • [^] # Re: petit point

                      Posté par . Évalué à 2.

                      DHCP/DNS, une fois que c'est en marche y a rien à faire,
                      il attribue des IPs, recupere le nom et le met dans le DNS

                      que y aurait-il à faire d'urgent sur un DHCP/DNS pendant une absence ?
                      et si c'est dans l'active directory, le RSAT sait gerer ca.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.