Forum général.général Problème configuration DC Samba4

Posté par . Licence CC by-sa.
Tags : aucun
0
30
nov.
2018

Bonjour,

J'aurais bien besoin d'un coup de main. J'ai installé Ubuntu Server 18.04.1 LTS sur un Dell PowerEdge R330 avec 10To de disque en RAID5 pour une petite startup. L'objectif est d'avoir une authentification et un espace de stockage centralisé. Leur parc est mixte (2 PC windows, 3 PC linux mint 19)

J'essais désespérément de configurer un DC Samba4.

La priorité pour la boite est d'arriver à avoir un setup fonctionnel pour les machines linux (Mint19). Je galère un peu au niveau du choix de l'architecture. J'ai fait des essais avec des montages SMB sur les homedir (pam_mkmount) mais ça ne marche pas terrible. Il y a pas mal de soucis et plantage (probablement à cause du mapping entre les droits unix et windows, ou des noms de fichiers non supportés…)
Si je passe à du NFS (3 voir 4), j'ai besoin d'avoir des UID/GID identiques sur toutes les machines du domaine. Je n'arrive pas à avoir une configuration fonctionnelle en utilisant du RID… (j'ai des UID/GID qui valent 4 milliards…)
Idéalement j'aurais aimé pouvoir les fixer directement à la création de l'utilisateur (sur le DC) et qu'ils soient les mêmes partout. En "backend ad", ça ne marche pas non plus… j'ai des erreurs bizarres.

Le plus grave c'est que je n'arrive même pas avoir une configuration qui me permette de voir mes utilisateurs AD sur le serveur Ubuntu (que j'utilise winbind ou sssd).
wbinfo -u me liste pourtant bien mes utilisateurs. /etc/nsswitch.conf est correct… mais aucun utilisateur n'est présent !

testparm me sort une erreur incompréhensible:
ERROR: The idmap range for the domain * (tdb) overlaps with the range of XD (ad)!

Voici ma configuration samba:

root@adserver:~# cat /etc/samba/smb.conf

# Global parameters
[global]
dns forwarder = 8.8.8.8 
netbios name = ADSERVER
realm = XD.LAN
server role = active directory domain controller
idmap_ldb:use rfc2307 = yes
workgroup = XD

client signing = yes
client use spnego = yes

ntp signd socket directory = /var/lib/samba/ntp_signd
time server = yes

wins support = yes
printing = CUPS

kerberos method = secrets and keytab

vfs object = acl_xattr
map acl inherit = yes
store dos attributes = yes

dead time = 0
lock directory = /var/cache/samba
registry shares = yes

idmap config * : backend = tdb
idmap config * : range = 3000-7999

idmap config XD : unix_nss_info = yes
idmap config XD:backend = ad
idmap config XD:schema_mode = rfc2307
idmap config XD:range = 10000-999999

template shell = /bin/bash
template homedir = /home/%D/%U

[netlogon]
path = /home/samba_sysvol/xd.lan/scripts
read only = No

[sysvol]
path = /home/samba_sysvol
read only = No

[users]
path = /home/samba_users
read only = No
force create mode = 0600
force directory mode = 0700

[print$]
path = /home/samba_printer_drivers
read only = no

[printers]
path = /var/spool/samba
printable = yes

Merci beaucoup pour votre aide…

A+

  • # A l'heure

    Posté par . Évalué à 1.

    Je charge 150 €/h.

  • # joindre un server AD

    Posté par . Évalué à 1.

    • ton serveur AD c'est un windows ou un linux ?
    • tu as fait comment pour "joindre" ton serveur AD depuis ton serveur linux ?

    perso je le mettrais en controleur secondaire du domaine,
    ainsi il a les utilisateurs du domaine nativement chez lui

    ensuite il te faut un DNS qui pointe ton domaine AD vers les controleurs de domaine
    pour que les clients (windows) puissent s'enregistrer nativement

    il faut activer la gestion des UID/GID dans l'AD, c'est pas natif

    et pour les linux, il y a des plugins a installé sur PAM pour prendre les utilisateurs dans le domaine

    • [^] # Commentaire supprimé

      Posté par . Évalué à 0. Dernière modification le 09/12/18 à 11:00.

      Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Commentaire supprimé

      Posté par . Évalué à 0. Dernière modification le 09/12/18 à 10:59.

      Ce commentaire a été supprimé par l'équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.