Configuration préalable du Serveur

Premièrement je mets à jour mon système Debian. L’option update

met à jour la liste des fichiers disponibles dans les dépôts APT présents
dans le fichier de configuration. L’option upgrade met à jour tous les
paquets installés sur le système.

apt-get update && apt-get upgrade

Pour le bon déroulement de la mise en oeuvre de Samba, je vais

modifier les paramètres de ma carte réseau. La configuration de base
de la carte réseau (si vous venez d’installer Debian) est en DHCP,
comme c’est un serveur que nous mettons en place, il vaut mieux avoir
une adresse IP fixe.

Pour se faire, je modifie dhcp par static, puis j’y entre l’adresse IP du
serveur, le masque de sous-réseau, la passerelle, l’adresse de
broadcast, …

nano /etc/network/interfaces

iface ens33 inet static

address 192.168.200.104

netmask 255.255.255.0

network 192.168.200.0

broadcast 192.168.200.255

gateway 192.168.200.1

dns-nameservers 192.168.200.104 8.8.8.8

dns-search BIB.LAN

 dns-nameservers : il est nécessaire à Samba que votre serveur

de noms soit le même hôte, puis vous pouvez mettre un serveur DNS
auxiliaire (dans mon cas c’est Google)
 dns-search : on y indique notre nom de domaine

Maintenant que notre carte réseau est configurée, il faut attribuer un

nom d’hôte à l’adresse IP du serveur. Cela se fait dans le fichier hosts.

Donc, je commente la ligne qui réprésente l’adresse IP locale, puis

j’ajoute une autre ligne qui représente mon adresse IP configurée
ultérieurement ainsi que le nom de monserveur et son nom de
domaine.

nano /etc/hosts

#127.0.1.1 SRV-BIB

192.168.200.104 SRV-BIB.BIB.LAN

Puis je passe à l’édition du fichier hostname, ce fichier contient le

nom de la machine, et je dois y rajouter le nom de domaine.

nano /etc/hostname

SRV-BIB.BIB.LAN

Je redémarre ensuite le serveur afin que toutes mes modifications

soient prises en compte.

shutdown -r now

Installation de Samba4 AD + Configuration

Je passe maintenant à l’installation de plusieurs paquets nécessaires
au bon fonctionnement du contrôleur de domaine Samba.

apt-get install build-essential libacl1-dev libattr1-dev

libblkid-dev libgnutls28-dev libreadline-dev python-dev
python-dnspython gdb pkg-config libpopt-dev libldap2-dev
dnsutils libbsd-dev attr acl krb5-user docbook-xsl libcups2-
dev libpam0g-dev ntpdate ntp -y

A la fin de l’installation de ces paquets, je suis interrogé par Kerberos,

le protocole Kerberos étant un système de cryptographie à base de clés
secrètes (clés symétriques ou clés privées). Kerberos partage avec
chaque client du réseau une clé secrète faisant office de preuve
d’identité. Il protège donc le réseau et est une preuve de sécurité.

On me demande le realm cela représente mon domaine : BIB.LAN

Puis il est demandé d’indiquer le nom du Serveur du Royaume

Kerberos, c’est donc le nom de la machine.

Il me faut maintenant télécharger l’archive Samba, pour se faire

j’utilise la commande wget suivie d’un lien reliant au FTP de Samba
permettant d’y récupérer la dernière version.

wget http://ftp.samba.org/pub/samba/samba-latest.tar.gz
Pour décompresser cette archive j’utilise la commande tar suivie du
nom de l’archive.

tar zxvf samba-latest.tar.gz

Pour se déplacer/rentrer dans ce répertoire j’utilise la

commande cd suivie du nom du répertoire (attention, si la version a
été mise à jour, le nom du répertoire sera différent samba-x.x.x).

cd samba-4.7.4

Je vais ensuite procéder à un test de configuration. C’est plus ou

moins long selon la configuration de la machine. Il faut utiliser la
commande suivante :

./configure --enable-debug --enable-selftest

Lorsque c’est terminé et que cela s’est bien déroulé, un message vert
apparait, indiquant que le Test de configuration est un succès. Tout est
opérationnel pour lancer l’installation de Samba, j’utilise donc la
commande suivante afin de la lancer.

make && make install

L’installation est assez longue entre 20 et 30 minutes en moyenne, cela

a duré 20 minutes dans notre cas. Lorsque c’est terminé comme pour
le Test de configuration, un message vert apparait indiquant que
l’installation est terminée.

Je vais ensuite vérifier que le fichier smb.conf n’existe pas, si il

existait, il aurait fallu le supprimer.

cd /usr/local/samba/etc/

/usr/local/samba/etc# ls
Comme le fichier smb.conf n’était pas présent (dans mon cas), je
peux donc retourner à la racine avec la commande cd, puis j’ai utilisé
la commande suivant qui est l’équivalent du dcpromo sur Windows.
C’est la phase de création de mon domaine.

/usr/local/samba/bin/samba-tool domain provision

Grâce aux premières modifications lors de l’étape Configuration

préalable du Serveur, la carte réseau, les
fichiers hosts et hostname. On peut voir que tout est déjà bien
configuré, il faut juste appuyer sur la touche entrée, on nous
demande ensuite le mot de passe administrateur.

Si toute la configuration effectuée depuis le début est correct, le

message ci-dessous doit apparaitre, nous renseignant que l’on a créé
un contrôleur de domaine active directory, ainsi que le nom de
domaine, etc…

Je redémarre ensuite le Serveur afin que mes modifications soient

prises en compte, j’utilise donc la commande suivante qui me permet
de faire un redémarrage.

shutdown -r now

Le serveur redémarré, j’entre la commande qui me permet de lancer le

processus samba.

/usr/local/samba/sbin/samba
/usr/local/samba/sbin/samba -i -M single

Je vais maintenant vérifier que ma version samba serveur ainsi que la

version client soit identique, pour se faire, j’utilise ces deux
commandes :

/usr/local/samba/sbin/samba -V

/usr/local/samba/bin/smbclient -V

Sur l’image ci -dessus on peut voir que les deux versions

correspondent, ils possèdent la version 4.7.4 (la version peut différer
selon le moment auquel vous suivrez cet article).

/usr/local/samba/bin/smbclient -L localhost -U%

Je vais vérifier que les partages administratifs de base fonctionnent, si

je n’ai pas de message d’erreur et que trois colonnes
avec netlogon et sysvol apparaissent c’est que cela fonctionne, ce
sont deux partages réseaux de base créés par Samba.

Je vais aussi faire un test d’authentification, en utilisant la

commande suivante :

/usr/local/samba/bin/smbclient //localhost/netlogon -
UAdministrator%"Iroise29%" -c 'ls'

Si cela s’est bien déroulé vous recevrez le message ci-dessous :

Le test d’authentification aillant fonctionné, je vais maintenant

configurer le DNS.

Pour se faire, il faut éditer le fichier resolv.conf.

nano /etc/resolv.conf
 nameserver 192.168.200.104

search BIB.LAN

domain BIB.LAN

Je vais maintenant configurer Samba, pour se faire je dois

modifier le fichier smb.conf.

Ce fichier est composé de sections dont les noms sont entre crochets,
de base il y a ces sections :

 [global] : contient les paramètres généraux et les paramètres

par défaut des dif-férents partages
 [printers] et [print$] sont spécifiques au partage
d’imprimantes
 [homes] est spécifique au partage du répertoire personnel d’un
utilisateur (son répertoire $HOME, il apparaîtra dans la liste des
partages avec le nom d’utilisateur du client (si il est identifié)

Dans mon cas, seulement la section global est présente ainsi que deux
partages admi-nistratifs netlogon et sysvol ajouté de base par mon
installation. Mais ce n’est pas grave car tout est ajustable à notre guise.

En ce qui nous concernes, il faut vérifier si le dns forwarder redirige

bel et bien vers l’IP d’un Serveur DNS externe, donc ma
passerelle 192.168.200.1.

nano /usr/local/samba/etc/smb.conf

# Global parameters

[global]

dns forwarder = 192.168.200.1

netbios name = SRV-BIB

realm = BIB.LAN

server role = active directory domain controller

 workgroup = BIB

[netlogon]

path = /usr/local/samba/var/locks/sysvol/test.lan/scripts

read only = No

[sysvol]

path = /usr/local/samba/var/locks/sysvol

read only = No

Puis, j’édite le fichier krb5.conf qui permet de configurer Kerberos,

dans ce fichier je remplace $(REALM) par BIB.LAN. Il faut faire
attention à toujours mettre le nom de domaine en majuscules dans
Kerberos.

nano /usr/local/samba/share/setup/krb5.conf

[libdefaults]

default_realm = BIB.LAN

dns_lookup_realm = false

dns_lookup_kdc = true

Il est préférable que ce fichier soit mis à jour automatiquement, car

d’autres modifications pourraient arrivées, j’utilise donc la
commande ln et de l’option -sf qui permet d’ajouter un suffixe (si
indiqué) et de forcer l’écrasement du fichier, puis le chemin d’accès au
fichier source suivis du chemin vers /etc. Ceci aura pour but de créer
un lien symbolique qui n’est tout autre qu’un raccourci sur Windows.

ln -sf /usr/local/samba/share/setup/krb5.conf /etc/krb5.conf

 Je redémarre ensuite le Serveur afin que mes modifications soient
prises en compte.

shutdown -r now

Le serveur redemarré, je n’oublie pas de relancer le processus samba.

/usr/local/samba/sbin/samba

Je vais maintenant effectuer un petit test pour tester la connexion

Kerberos, j’utilise la commande kinit suivie du
login administrator (c’est le compte root de l’AD/DC) puis le nom de
domaine BIB.LAN avec un @ entre ces deux mots.

Il nous est demandé le mot de passe administrateur, puis l’on nous

indique que le mot de passe expire dans 41 jours.

kinit administrator@BIB.LAN

Par défaut le mot de passe Administrator expire au bout de 42 jours,

pour le désactiver, j’utilise la commande suivante :

/usr/local/samba/bin/samba-tool user setexpiry administrator

--noexpiry

On peutaussi regarder quel type de chiffrage est utilisé en tapant la

commande klist –e.

 AES256 = AES (Advanced Encryption Standard)utilise une clé

de 256-bit
 CTS = ciphertext stealing
 HMAC-SHA1-96 = hachage sur 96 bits (équivalent à MD5).
Pour être sûr d’avoir une bonne configuration il faut configurer la
synchronisation horaire avec NTP.

Pour see faire, je dois éditer le fichier ntp.conf qui est le fichier de
configuration de NTP.

NTP utilise plusieurs serveurs pour se mettre à l’heure, afin

d’augmenter sa précision en cas d’indisponibilité ou d’erreurs d’un
serveur. Pour le moment, Debian y a placé une liste de serveurs
répartis dans le monde, mais il est plus efficace d’utiliser des serveurs
proches, situés dans le même pays. Comme je suis en France je vais
remplacer ces lignes par des pool français.

L’option iburst signifie qu’en cas d’indisponibilité du serveur, ntp

essaiera plusieurs fois avant d’abandonner. L’option dynamic permet
de conserver dans la configuration les serveurs indisponibles, au cas
où ils seraient à nouveau accessibles plus tard.

nano /etc/ntp.conf

pool server 0.fr.pool.ntp.org iburst dynamic

pool server 1.fr.pool.ntp.org iburst dynamic

pool server 2.fr.pool.ntp.org iburst dynamic

pool server 3.fr.pool.ntp.org iburst dynamic

NTP est en fait un démon, qui tourne en permanence sur votre

système afin de maintenir l’horloge à l’heure et de corriger sa dérive.
Après avoir modifié sa configuration, il faut donc le relancer, j’utilise
alors la commande :

/etc/init.d/ntp restart

Le DNS ne dispose pas encore de zone inversé (comme sous

Windows), il faut donc la créer. J’utilise alors cette commande (il faut
rentrer le nom du Serveur ainsi que les 3 premiers octets de votre
réseau dans le sens inverse) :

/usr/local/samba/bin/samba-tool dns zonecreate SRV-BIB

200.168.192.in-addr.arpa --username=administrator
 Installation des Outils RSAT
Les outils RSAT (Outils d’administration de serveur distant)
permettent aux administrateurs informatiques de gérer à distance les
rôles et les fonctionnalités de Windows Server 2012 R2, Windows
Server 2012, Windows Server 2008 et Windows Server 2008 R2
depuis un ordinateur Windows 10, Windows 8.1, Windows 8,
Windows 7 ou Windows Vista.

Vous ne pouvez pas installer les outils RSAT sur les ordinateurs qui
exécutent une édition familiale ou standard de Windows. Vous pouvez
installer les outils RSAT uniquement sur les éditions professionnelles
ou entreprise du système d’exploitation Windows.

 Windows 7 : https://www.microsoft.com/fr-
fr/download/details.aspx?id=7887
 Windows 10 : https://www.microsoft.com/fr-
FR/download/details.aspx?id=45520

Me voilà sur un poste Windows 7 Professionnel, je vais donc installer

les outils RSAT qui sont sous un eforme de mise à jour Windows.

La mise à jour installée, je me rends dans le panneau de

configuration, la catégorie programmes et
fonctionnalités puis activer ou désactiver les fonctionnalités
Windows, à cet endroit je vais pouvoir y trouver de nouvelles
fonctionnalités à activer grâce à la mise à jour des outils RSAT, tels que
gérer l’Active Directory (ce que je veux), un serveur DNS, un serveur
SMTP, …

Je recherche le répertoire outils d’administration de serveur

distant puis je coche toutes les options présentes à l’intérieur, même
si tout ne me servira pas.

Il faut maintenant que le poste rejoingne le Domaine (BIB.LAN) afin

de pouvoir y modifier l’Active Directory, mais pour pouvoir intégrer le
Domaine il me faut modifier ma carte réseau afin d’y ajouter l’adresse
IP du Serveur en tant qu’adresse de Serveur DNS principal.

Vous pouvez indiquer un Serveur DNS auxiliaire (votre passerelle,

google, etc..) pour pouvoir continuer de naviguer sur Internet.
Place à la l’intégration dans le domaine, faire un clic droit sur le poste
de travailpuis je clique sur système, sur cette page je peux y trouver
certaines informations sur la configuration de mon poste, mais je peux
surtout modifier mon domaine, j’y inscris donc BIB.LAN.

Pour rejoindre le domaine il faut rentrer les identifiants

d’administrateur (administrator), ce qui repré-sente une forme de
sécurité au cas où une source extérieur voudrait accéder au système.
Lorsque ces informations sont rentrées, si tout se passe bien j’ai rejoint
le Domaine, puis je dois redémarrer le poste afin qu’il prenne en
compte mes modifications.

Au redémarrage du Poste un système de connexion se met en place,

n’aillant pour l’instant sur le Serveur qu’un compte, administrator,
je me connecte avec. Je tape donc le Domaine suivis d’un anti-
slash \ puis le nom d’utilisateur et le mot de passe.
Maintenant connecté, j’ai donc accès à la mmc (Microsoft
Management Console), qui va me permettre d’administrer le Serveur à
partir de ce poste. La mmc est trouvable dans le menu démarrer, il
faut lancer cette console en tant qu’administrateur, puis je
fais fichier et ensuite ajouter/supprimer un composant logiciel
enfichable. Ceci va me permettre de choisir quels options du Serveur
je veux modifier (Active Directory, DNS, GPO, …).

Vont se présenter à moi deux colonnes, l’une me présentant toutes les

options possibles et l’autre colonne les options sélectionnées. Je
sélectionne l’option utilisateurs et ordinateurs active
directory puis je valide. Dans ma mmc va apparaitre mon Active
Directory du domaine BIB.LAN, avec la configuration de base
générée par Samba.

Conclusion
Vous savez maintenant comment mettre en place un Serveur AD/DC
sous Samba4 (Unix) administrable et communiclable avec un
environnement Windows.

Il ne vous reste plus qu’à jouer pour mettre en place votre gestion AD
ou autres (partages réseaux, GPO, etc…)