Distribution EOLE » Modules » EOLE AD DC

h2. EOLE Active Directory Domain Controler

Comment tester : 

================

Attention le filesystem qui héberge les parages doit avoir le support des ACL activés (cf:https://wiki.samba.org/index.php/Setup_and_configure_file_shares_with_Windows_ACLs#Preparatory_work)

Ce qui donne sur une Eolebase : /dev/mapper/eolebase--vg-root /               ext4    errors=remount-ro,barrier=0,acl,user_xattr 0       1

1°) Installer une machine eolebase 2.5

2°) Mettre à jour avec les derniers paquest de Dev "Maj-Auto -D"

3°) Installer les paquets suivants : 

  * samba samba-common python-samba samba-dsdb-modules samba-libs samba-vfs-modules winexe ldb-tools winbind acl

  * make git

Si il en manque (patch welcome ;)

3°) Cloner le dépôt git sur la machine 

  # git clone https://dev-eole.ac-dijon.fr/git/eole-ad-dc.git

4°) Installer les dico/templates/scripts ...

  # cd eole-ad-dc

  # make install 

5°) Lancer gen_config

  Configurer le serveur.

  Attention : Par mesure de sécurité je met le "Nom du workgroup AD" dans "Nom du domaine AD"

  A voir pour l'avenir, on pourrais très bien utiliser "Nom de domaine académique" et 

  "Suffixe du nom de domaine académique" ou "Nom de domaine privé du réseau local"

6°) Lancer l'instance

7°) ouvrir le firewall (cf #11498) 

8°) Vous pouvez jouer !

Il existe des scripts pour vous faciliter la vie.

  * join-ad : Jonction au domaine d'une machine sans jamais voir l'iterface de W$ 

  * psexec : Execute des commandes PowerShell sur les machines W$ sans jamaisvoir l'interface de W$

  * adCreateUser : Crée un utilisateur en utilisant les outils samba et en définissant automatiquement le répertoire "home" le U:

Attention: Il ne faut jamais jamais jamais jamais lancer le service "samba"

   # CreoleService samba-ad-dc restart

Pour joindre une machine au domaine voici comment faire : 

 Lancer depuis le serveur AD Samba4 : 

 # join-ad -U "MON-DOMAINE\administartor" -P "Eole;Samba&2100" -u "MAMACHINE\administrateur" -m IP_MACHINE_CLIENT

 Le script vous demande de saisir le mot de passe administrateur de la machine et normalement si tout vas bien, ils vous répond

que tout seras actif après le reboot.

 Vous pouvez ensuite rebooter la machine avec la commande psexec : 

 # psexec -u "MON-DOMAINE\administrator" -m IP_MACHINE_CLIENT -c Restart-Computer

PS: Il faudras penser a une solution pour la gestion du mot de passe Administrateur du domaine.

Nos scripts en ont besoin mais c'est quand même une information sensible. Ajourd'hui j'ai juste mis 

un mot de passe par défaut et je l'utilise partout en dur dans les scripts (bad bad bad)