[newbie ON]
Dans un environnement Microsoft ActiveDirectory, je cherche =E0 =
installer un
serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.
C'est une machine serveur en RAID5 (hardware) avec gestion des quotas, =
j'ai
recompil=E9 le noyau (en 2.6.8) pour ce faire.
L'exp=E9rience acquise avec une mandrake en mode "security=3DSHARE" ne =
me sert
pas, car il m'est demand=E9 d'utiliser cette fois, les identifiants =
"Windows"
pour s'authentifier sur les partages.
En clair, nous allons cr=E9er les utilisateurs sous UNIX (pour avoir un
r=E9pertoire avec des droits =E0 la "UNIX") mais l'acc=E8s sera =
control=E9 par des
partages ($home) accessible via une authentification SAMBA <-->active
Directory.
=20
Si j'ai bien compris la documentation, c'est "security=3DDOMAIN" qui =
serait le
mieux, voir "ADS".
En fouillant le WEB je suis tomb=E9 sur une doc GENTOO qui pr=E9cise =
qu'il faut
installer installer les ACL du FileSystem qui va bien, LDAP, KERBEROS,
WINDBIND, recompiler SAMBA...et configurer le tout...
malheureusement, je ne sais pas ce qui convient pour Samba3 sur une =
Debian.
Tout ne colle pas...
pfftttt... ;-))
=20
Quelqu'un saurait, dans un 1er temps, m'indiquer :
- les grandes =E9tapes pour y parvenir
- comment r=E9cuperer les sources de samba pour recopiler avec LDAP
(apt-search, apt-get ne me donne que des binaires)
=20
J'ai essay=E9 diff=E9rentes manips comme r=E9cup=E9rer et installer =
krb5-clients
puis tenter de joindre le domaine=20
ERREUR :=20
Dans SWAT/STATUS le daemon Windbd refuse de se lancer...
La je s=E8che, j'ai l'impression d'une confi incompl=E8te...
=20
Y a t'il qq FAQ ou HowTo bien construit sur le sujet ?
[newbie OFF]
=20
Merci
Pierre Touzeau
------------------------------------------------------
Pierre Touzeau - Charg=E9 de mission TIC - SGAR
Pr=E9fecture de region Basse-Normandie - rue Daniel HUET
14038 CAEN CEDEX - Tel: 0231306306 - Fax: 0231306564
courriel : pierre.touzeau@basse-normandie.pref.gouv.fr
------------------------------------------------------
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2800.1528" name=3DGENERATOR></HEAD>
<BODY>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial =
size=3D2>[newbie=20
ON]</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>Dans =
un=20
environnement Microsoft ActiveDirectory, je cherche =E0 installer un =
serveur de=20
fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>C'est =
une machine=20
serveur en RAID5 (hardware) avec gestion des quotas, j'ai recompil=E9 =
le noyau (en=20
2.6.8) pour ce faire.</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial =
size=3D2>L'exp=E9rience acquise=20
avec une mandrake en mode "security=3DSHARE" ne me sert pas, car il =
m'est demand=E9=20
d'utiliser cette fois, les identifiants "Windows" pour s'authentifier =
sur les=20
partages.</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>En =
clair, nous=20
allons cr=E9er les utilisateurs sous UNIX (pour avoir un r=E9pertoire =
avec des=20
droits =E0 la "UNIX") mais l'acc=E8s sera control=E9 par des partages =
($home)=20
accessible via une authentification SAMBA <-->active=20
Directory.</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial=20
size=3D2></FONT></SPAN> </DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>Si =
j'ai bien=20
compris la documentation, c'est "security=3DDOMAIN" qui serait le =
mieux, voir=20
"ADS".</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>En =
fouillant le WEB=20
je suis tomb=E9 sur une doc GENTOO qui pr=E9cise qu'il faut =
installer =20
installer les ACL du FileSystem qui va bien, LDAP, KERBEROS, WINDBIND,=20
recompiler SAMBA...et configurer le tout...</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006></SPAN><SPAN =
class=3D580083409-04042006><FONT=20
face=3DArial size=3D2>malheureusement, je ne sais pas ce qui convient =
pour Samba3=20
sur une Debian. Tout ne colle pas...</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial =
size=3D2>pfftttt... =20
;-))</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial=20
size=3D2></FONT></SPAN> </DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial =
size=3D2>Quelqu'un saurait,=20
dans un 1er temps, m'indiquer :</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>- les =
grandes =E9tapes=20
pour y parvenir</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>- =
comment r=E9cuperer=20
les sources de samba pour recopiler avec LDAP (apt-search, apt-get ne =
me donne=20
que des binaires)</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial=20
size=3D2></FONT></SPAN> </DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>J'ai =
essay=E9=20
diff=E9rentes manips comme r=E9cup=E9rer et installer krb5-clients puis =
tenter de=20
joindre le domaine </FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial =
size=3D2>ERREUR=20
: </FONT></SPAN></DIV>
<BLOCKQUOTE dir=3Dltr style=3D"MARGIN-RIGHT: 0px">
<DIV><SPAN class=3D580083409-04042006></SPAN><SPAN=20
class=3D580083409-04042006> Binding to domain with command =
<TT>/usr/bin/net=20
join -U adminSgar -S calvados\.pref\.mi</TT> .. <BR>adminSgar's =
password:=20
<BR>[2006/04/04 14:17:00, 0] =
utils/net_ads.c:ads_startup(191)<BR> =20
ads_connect: No such file or directory<BR>[2006/04/04 14:17:00, 0]=20
rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)<BR> =20
cli_nt_setup_creds: request challenge failed<BR>[2006/04/04 14:17:01, =
0]=20
rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)<BR> =20
cli_nt_setup_creds: request challenge failed<BR>[2006/04/04 14:17:01, =
0]=20
utils/net_rpc_join.c:net_rpc_join_newstyle(319)<BR> Error =
domain join=20
verification (reused connection):=20
NT_STATUS_NOT_SUPPORTED</SPAN></DIV></BLOCKQUOTE>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2><SPAN =
class=3D580083409-04042006><FONT face=3DArial size=3D2>Dans SWAT/STATUS =
le daemon=20
Windbd refuse de se lancer...</FONT></SPAN></FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>La je =
s=E8che, j'ai=20
l'impression d'une confi incompl=E8te...</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial=20
size=3D2></FONT></SPAN> </DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2>Y a =
t'il qq FAQ ou=20
HowTo bien construit sur le sujet ?</FONT></SPAN></DIV>
<DIV><SPAN class=3D580083409-04042006><FONT face=3DArial size=3D2><SPAN =
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pierre-Matthieu Alamy
TOUZEAU Pierre SGAR14 a écrit :
Bonjour !
[newbie ON] Dans un environnement Microsoft ActiveDirectory, je cherche à installer un serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a. C'est une machine serveur en RAID5 (hardware) avec gestion des quotas, j'ai recompilé le noyau (en 2.6.8) pour ce faire. L'expérience acquise avec une mandrake en mode "security=SHARE" ne me sert pas, car il m'est demandé d'utiliser cette fois, les identifiants "Windows" pour s'authentifier sur les partages. En clair, nous allons créer les utilisateurs sous UNIX (pour avoir un répertoire avec des droits à la "UNIX") mais l'accès sera controlé par des partages ($home) accessible via une authentification SAMBA <-->active Directory.
Si le samba doit servir de serveur de fichier, ADS sera votre choix.
Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui serait le mieux, voir "ADS". En fouillant le WEB je suis tombé sur une doc GENTOO qui précise qu'il faut installer installer les ACL du FileSystem qui va bien, LDAP, KERBEROS, WINDBIND, recompiler SAMBA...et configurer le tout... malheureusement, je ne sais pas ce qui convient pour Samba3 sur une Debian. Tout ne colle pas... pfftttt... ;-))
Effectivement, Kerberos est de mise concernant l'intégration de samba dans un environnement AD. AD repose sur ce protocole d'authentification reseau. Winbind devra également être présent pour résoudre les noms d'utilisateurs et les groupes émanant de votre structure AD. Pour ce qui est de l'utilisation de LDAP, je ne vois pas vraiment dans quel cadre vous souhaitez l'utilisez. En effet, le trio samba-kerberos-winbind est à même de vous permettre la mise en place d'un serveur de fichier pour environnement microso~ Nul besoin de compiler quoi que ce soit.
Quelqu'un saurait, dans un 1er temps, m'indiquer : - les grandes étapes pour y parvenir - comment récuperer les sources de samba pour recopiler avec LDAP (apt-search, apt-get ne me donne que des binaires)
* disposer d'un systeme de fichier permettant l'utilisation des ACLs pour la/les partition/s qui vont servir les fichiers à partager. * installer et configurer kerberos avec les realms de votre AD. Attention toute fois aux problemes de synchronisation de temps entre les serveurs. * installer et configurer samba et winbind. * c'est facile à dire :)
----- La configuration des realm kerberos se fait dans le fichier /etc/krb5.conf Le realm par défaut des kerberos d'un structure Active Directory porte le même nom que le nom de domaine DNS [j'espère pour vous que vous n'avez pas une structure à nom de domaine unique où domaine DNS == domaine Netbios] Pour ce fichier de conf, vous devriez commencer par indiquer un realm par défaut dans la section [libdefaults]: default_realm = DOMAINE.TLD
Ensuite vous devriez déclarer votre realm dans la section [realms]: DOMAINE.TLD = { kdc = un_serveur_win.domaine.tld kdc = un_autre_serveur_win.domaine.tld admin_server = maitre_foret.domaine.tld } Dans cette section, vous devriez déclarer tous vos serveurs kerberos windows avec l'entrée kdc et un 'admin_server' qui se trouve être le maître de forêt de la structure AD si vous n'avez pas demandé à ce qu'un autre serveur assume ce rôle.
Les problèmes de synchronisation de temps entre les serveurs peuvent facilement être évités grâce à ntpdate en pointant vers un de vos serveurs AD.
------ Pour la configuration de winbind samba, rien de bien diffcile. Tout se fait dans le fichier de conf de samba. En fixant le paramêtre securityS, vous devrez également indiquer un realm à utiliser et un serveur "de mots de passe":
security = ADS realm = HUMANISME.LAN password server = bud.humanisme.lan
winbind se configure en lui indiquant un séparateur domaine-type, ainsi qu'une plage d'identifiants pour les utilisateurs et les groupes:
winbind separator = / winbind cache time = 60 winbind enum users = yes winbind enum groups = yes idmap uid = 10000-20000 idmap gid = 10000-20000 Le séparateur indiqué ci dessus donnera un résultat du type DOMAINE/user et DOMAINE/group
----- derniere ligne droite ! Il vous reste à joindre le domaine AD grâce à la commande net ads join, vérifier que winbind map correctement les utilisateur et les groupes et finir par faire les correspondances entre les groupes globaux de l'AD et les groupes Unix grâce à la commande net groupmap.
Tomber en panne sèche a un avantage : C'est moins lourd a pousser que si le réservoir était plein. -+- Philippe Geluck, Le chat -+-
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
TOUZEAU Pierre SGAR14 a écrit :
Bonjour !
[newbie ON]
Dans un environnement Microsoft ActiveDirectory, je cherche à installer
un serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a.
C'est une machine serveur en RAID5 (hardware) avec gestion des quotas,
j'ai recompilé le noyau (en 2.6.8) pour ce faire.
L'expérience acquise avec une mandrake en mode "security=SHARE" ne me
sert pas, car il m'est demandé d'utiliser cette fois, les identifiants
"Windows" pour s'authentifier sur les partages.
En clair, nous allons créer les utilisateurs sous UNIX (pour avoir un
répertoire avec des droits à la "UNIX") mais l'accès sera controlé par
des partages ($home) accessible via une authentification SAMBA
<-->active Directory.
Si le samba doit servir de serveur de fichier, ADS sera votre choix.
Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui
serait le mieux, voir "ADS".
En fouillant le WEB je suis tombé sur une doc GENTOO qui précise qu'il
faut installer installer les ACL du FileSystem qui va bien, LDAP,
KERBEROS, WINDBIND, recompiler SAMBA...et configurer le tout...
malheureusement, je ne sais pas ce qui convient pour Samba3 sur une
Debian. Tout ne colle pas...
pfftttt... ;-))
Effectivement, Kerberos est de mise concernant l'intégration de samba
dans un environnement AD. AD repose sur ce protocole d'authentification
reseau. Winbind devra également être présent pour résoudre les noms
d'utilisateurs et les groupes émanant de votre structure AD. Pour ce qui
est de l'utilisation de LDAP, je ne vois pas vraiment dans quel cadre
vous souhaitez l'utilisez.
En effet, le trio samba-kerberos-winbind est à même de vous permettre la
mise en place d'un serveur de fichier pour environnement microso~
Nul besoin de compiler quoi que ce soit.
Quelqu'un saurait, dans un 1er temps, m'indiquer :
- les grandes étapes pour y parvenir
- comment récuperer les sources de samba pour recopiler avec LDAP
(apt-search, apt-get ne me donne que des binaires)
* disposer d'un systeme de fichier permettant l'utilisation des ACLs
pour la/les partition/s qui vont servir les fichiers à partager.
* installer et configurer kerberos avec les realms de votre AD.
Attention toute fois aux problemes de synchronisation de temps entre les
serveurs.
* installer et configurer samba et winbind.
* c'est facile à dire :)
-----
La configuration des realm kerberos se fait dans le fichier /etc/krb5.conf
Le realm par défaut des kerberos d'un structure Active Directory porte
le même nom que le nom de domaine DNS [j'espère pour vous que vous
n'avez pas une structure à nom de domaine unique où domaine DNS ==
domaine Netbios]
Pour ce fichier de conf, vous devriez commencer par indiquer un realm
par défaut dans la section [libdefaults]:
default_realm = DOMAINE.TLD
Ensuite vous devriez déclarer votre realm dans la section [realms]:
DOMAINE.TLD = {
kdc = un_serveur_win.domaine.tld
kdc = un_autre_serveur_win.domaine.tld
admin_server = maitre_foret.domaine.tld
}
Dans cette section, vous devriez déclarer tous vos serveurs kerberos
windows avec l'entrée kdc et un 'admin_server' qui se trouve être le
maître de forêt de la structure AD si vous n'avez pas demandé à ce qu'un
autre serveur assume ce rôle.
Les problèmes de synchronisation de temps entre les serveurs peuvent
facilement être évités grâce à ntpdate en pointant vers un de vos
serveurs AD.
------
Pour la configuration de winbind samba, rien de bien diffcile. Tout se
fait dans le fichier de conf de samba.
En fixant le paramêtre securityS, vous devrez également indiquer un
realm à utiliser et un serveur "de mots de passe":
security = ADS
realm = HUMANISME.LAN
password server = bud.humanisme.lan
winbind se configure en lui indiquant un séparateur domaine-type, ainsi
qu'une plage d'identifiants pour les utilisateurs et les groupes:
winbind separator = /
winbind cache time = 60
winbind enum users = yes
winbind enum groups = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
Le séparateur indiqué ci dessus donnera un résultat du type DOMAINE/user
et DOMAINE/group
-----
derniere ligne droite !
Il vous reste à joindre le domaine AD grâce à la commande net ads join,
vérifier que winbind map correctement les utilisateur et les groupes et
finir par faire les correspondances entre les groupes globaux de l'AD et
les groupes Unix grâce à la commande net groupmap.
[newbie ON] Dans un environnement Microsoft ActiveDirectory, je cherche à installer un serveur de fichier sur une Debian 3.1sarge et SAMBA 3.0.14a. C'est une machine serveur en RAID5 (hardware) avec gestion des quotas, j'ai recompilé le noyau (en 2.6.8) pour ce faire. L'expérience acquise avec une mandrake en mode "security=SHARE" ne me sert pas, car il m'est demandé d'utiliser cette fois, les identifiants "Windows" pour s'authentifier sur les partages. En clair, nous allons créer les utilisateurs sous UNIX (pour avoir un répertoire avec des droits à la "UNIX") mais l'accès sera controlé par des partages ($home) accessible via une authentification SAMBA <-->active Directory.
Si le samba doit servir de serveur de fichier, ADS sera votre choix.
Si j'ai bien compris la documentation, c'est "security=DOMAIN" qui serait le mieux, voir "ADS". En fouillant le WEB je suis tombé sur une doc GENTOO qui précise qu'il faut installer installer les ACL du FileSystem qui va bien, LDAP, KERBEROS, WINDBIND, recompiler SAMBA...et configurer le tout... malheureusement, je ne sais pas ce qui convient pour Samba3 sur une Debian. Tout ne colle pas... pfftttt... ;-))
Effectivement, Kerberos est de mise concernant l'intégration de samba dans un environnement AD. AD repose sur ce protocole d'authentification reseau. Winbind devra également être présent pour résoudre les noms d'utilisateurs et les groupes émanant de votre structure AD. Pour ce qui est de l'utilisation de LDAP, je ne vois pas vraiment dans quel cadre vous souhaitez l'utilisez. En effet, le trio samba-kerberos-winbind est à même de vous permettre la mise en place d'un serveur de fichier pour environnement microso~ Nul besoin de compiler quoi que ce soit.
Quelqu'un saurait, dans un 1er temps, m'indiquer : - les grandes étapes pour y parvenir - comment récuperer les sources de samba pour recopiler avec LDAP (apt-search, apt-get ne me donne que des binaires)
* disposer d'un systeme de fichier permettant l'utilisation des ACLs pour la/les partition/s qui vont servir les fichiers à partager. * installer et configurer kerberos avec les realms de votre AD. Attention toute fois aux problemes de synchronisation de temps entre les serveurs. * installer et configurer samba et winbind. * c'est facile à dire :)
----- La configuration des realm kerberos se fait dans le fichier /etc/krb5.conf Le realm par défaut des kerberos d'un structure Active Directory porte le même nom que le nom de domaine DNS [j'espère pour vous que vous n'avez pas une structure à nom de domaine unique où domaine DNS == domaine Netbios] Pour ce fichier de conf, vous devriez commencer par indiquer un realm par défaut dans la section [libdefaults]: default_realm = DOMAINE.TLD
Ensuite vous devriez déclarer votre realm dans la section [realms]: DOMAINE.TLD = { kdc = un_serveur_win.domaine.tld kdc = un_autre_serveur_win.domaine.tld admin_server = maitre_foret.domaine.tld } Dans cette section, vous devriez déclarer tous vos serveurs kerberos windows avec l'entrée kdc et un 'admin_server' qui se trouve être le maître de forêt de la structure AD si vous n'avez pas demandé à ce qu'un autre serveur assume ce rôle.
Les problèmes de synchronisation de temps entre les serveurs peuvent facilement être évités grâce à ntpdate en pointant vers un de vos serveurs AD.
------ Pour la configuration de winbind samba, rien de bien diffcile. Tout se fait dans le fichier de conf de samba. En fixant le paramêtre securityS, vous devrez également indiquer un realm à utiliser et un serveur "de mots de passe":
security = ADS realm = HUMANISME.LAN password server = bud.humanisme.lan
winbind se configure en lui indiquant un séparateur domaine-type, ainsi qu'une plage d'identifiants pour les utilisateurs et les groupes:
winbind separator = / winbind cache time = 60 winbind enum users = yes winbind enum groups = yes idmap uid = 10000-20000 idmap gid = 10000-20000 Le séparateur indiqué ci dessus donnera un résultat du type DOMAINE/user et DOMAINE/group
----- derniere ligne droite ! Il vous reste à joindre le domaine AD grâce à la commande net ads join, vérifier que winbind map correctement les utilisateur et les groupes et finir par faire les correspondances entre les groupes globaux de l'AD et les groupes Unix grâce à la commande net groupmap.
Quelqu'un saurait, dans un 1er temps, m'indiquer :
[...]
* disposer d'un systeme de fichier permettant l'utilisation des ACLs pour la/les partition/s qui vont servir les fichiers à partager. * installer et configurer kerberos avec les realms de votre AD. Attention toute fois aux problemes de synchronisation de temps entre les serveurs. * installer et configurer samba et winbind. * c'est facile à dire :)
Quelqu'un saurait, dans un 1er temps, m'indiquer :
[...]
* disposer d'un systeme de fichier permettant l'utilisation des ACLs
pour la/les partition/s qui vont servir les fichiers à partager.
* installer et configurer kerberos avec les realms de votre AD.
Attention toute fois aux problemes de synchronisation de temps entre
les serveurs.
* installer et configurer samba et winbind.
* c'est facile à dire :)
Quelqu'un saurait, dans un 1er temps, m'indiquer :
[...]
* disposer d'un systeme de fichier permettant l'utilisation des ACLs pour la/les partition/s qui vont servir les fichiers à partager. * installer et configurer kerberos avec les realms de votre AD. Attention toute fois aux problemes de synchronisation de temps entre les serveurs. * installer et configurer samba et winbind. * c'est facile à dire :)
