Wiki » Historique » Version 20
Gilles Grandgérard, 10/09/2015 17:07
1 | 1 | Luc Bourdot | h2. EOLE Active Directory Domain Controler |
---|---|---|---|
2 | 1 | Luc Bourdot | |
3 | 1 | Luc Bourdot | Comment tester : |
4 | 1 | Luc Bourdot | |
5 | 1 | Luc Bourdot | ================ |
6 | 1 | Luc Bourdot | |
7 | 2 | Gilles Grandgérard | Attention le filesystem qui héberge les partages doit avoir le support des ACL activés (cf:https://wiki.samba.org/index.php/Setup_and_configure_file_shares_with_Windows_ACLs#Preparatory_work) |
8 | 1 | Luc Bourdot | |
9 | 1 | Luc Bourdot | Ce qui donne sur une Eolebase : /dev/mapper/eolebase--vg-root / ext4 errors=remount-ro,barrier=0,acl,user_xattr 0 1 |
10 | 1 | Luc Bourdot | |
11 | 1 | Luc Bourdot | 1°) Installer une machine eolebase 2.5 |
12 | 1 | Luc Bourdot | |
13 | 8 | Gilles Grandgérard | 2°) Mettre à jour avec les derniers paquest |
14 | 8 | Gilles Grandgérard | |
15 | 8 | Gilles Grandgérard | *Maj-Auto* |
16 | 1 | Luc Bourdot | |
17 | 1 | Luc Bourdot | 3°) Installer les paquets suivants : |
18 | 1 | Luc Bourdot | |
19 | 2 | Gilles Grandgérard | *apt-get install samba samba-common python-samba samba-dsdb-modules samba-libs samba-vfs-modules winexe ldb-tools winbind acl* |
20 | 1 | Luc Bourdot | |
21 | 2 | Gilles Grandgérard | *apt-get install make git* |
22 | 1 | Luc Bourdot | |
23 | 1 | Luc Bourdot | Si il en manque (patch welcome ;) |
24 | 1 | Luc Bourdot | |
25 | 1 | Luc Bourdot | 3°) Cloner le dépôt git sur la machine |
26 | 1 | Luc Bourdot | |
27 | 9 | Gilles Grandgérard | *git config --global http.sslVerify "false"* |
28 | 9 | Gilles Grandgérard | |
29 | 3 | Gilles Grandgérard | *git clone https://dev-eole.ac-dijon.fr/git/eole-ad-dc.git* |
30 | 1 | Luc Bourdot | |
31 | 10 | Gilles Grandgérard | GG : ici snapshot nebula 'eole_ad_dc-2.5.0.fi' |
32 | 10 | Gilles Grandgérard | |
33 | 1 | Luc Bourdot | 4°) Installer les dico/templates/scripts ... |
34 | 1 | Luc Bourdot | |
35 | 7 | Gilles Grandgérard | *cd eole-ad-dc* |
36 | 10 | Gilles Grandgérard | |
37 | 10 | Gilles Grandgérard | *git pull* |
38 | 1 | Luc Bourdot | |
39 | 7 | Gilles Grandgérard | *make install* |
40 | 7 | Gilles Grandgérard | |
41 | 1 | Luc Bourdot | 5°) Lancer gen_config |
42 | 1 | Luc Bourdot | |
43 | 1 | Luc Bourdot | Configurer le serveur. |
44 | 1 | Luc Bourdot | |
45 | 15 | Gilles Grandgérard | *Activer_ad_smb = oui* |
46 | 15 | Gilles Grandgérard | *Nom du workgroup AD = EOLE (ad_workgroup)* |
47 | 15 | Gilles Grandgérard | *Nom du domaine AD = EOLE.LAN (ad_realm)* |
48 | 15 | Gilles Grandgérard | *Nom netbios du serveur = DC1 (ad_netbios_name)* |
49 | 16 | Gilles Grandgérard | *IP du serveur DNS maitre = 127.0.0.1 (ad_dns_forwarder) (car j'utilise SAMBA_INTERNAL !!)* |
50 | 11 | Gilles Grandgérard | *Nom du partage = (ad_share)* |
51 | 11 | Gilles Grandgérard | *Répertoire a partager = (ad_share_path)* |
52 | 11 | Gilles Grandgérard | *Activer le mode lecture seule sur le partage = (ad_share_ro)* |
53 | 11 | Gilles Grandgérard | *Répetoire des home utilisateurs = (home_share_path)* |
54 | 11 | Gilles Grandgérard | |
55 | 11 | Gilles Grandgérard | *Rappel : adresse_ip_dns sera imposé à 127.0.0.1 !* |
56 | 1 | Luc Bourdot | |
57 | 1 | Luc Bourdot | Attention : Par mesure de sécurité je met le "Nom du workgroup AD" dans "Nom du domaine AD" |
58 | 1 | Luc Bourdot | |
59 | 1 | Luc Bourdot | A voir pour l'avenir, on pourrais très bien utiliser "Nom de domaine académique" et |
60 | 1 | Luc Bourdot | |
61 | 1 | Luc Bourdot | "Suffixe du nom de domaine académique" ou "Nom de domaine privé du réseau local" |
62 | 1 | Luc Bourdot | |
63 | 1 | Luc Bourdot | 6°) Lancer l'instance |
64 | 1 | Luc Bourdot | |
65 | 1 | Luc Bourdot | 7°) ouvrir le firewall (cf #11498) |
66 | 1 | Luc Bourdot | |
67 | 7 | Gilles Grandgérard | *iptables -I eth0-root -p udp -m udp --dport 137 -j ACCEPT* |
68 | 18 | Gilles Grandgérard | |
69 | 18 | Gilles Grandgérard | *iptables -I eth0-root -p udp -m udp --dport 138 -j ACCEPT* |
70 | 7 | Gilles Grandgérard | |
71 | 1 | Luc Bourdot | *iptables -I eth0-root -p tcp -m tcp --match multiport --sports 1024:5000 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT* |
72 | 7 | Gilles Grandgérard | |
73 | 16 | Gilles Grandgérard | Il faut supprimer le fichier '/etc/samba/smb.conf' pour eviter les confilts ! |
74 | 7 | Gilles Grandgérard | *rm /etc/samba/smb.conf* |
75 | 16 | Gilles Grandgérard | |
76 | 1 | Luc Bourdot | *samba-tool domain provision --use-rfc2307 --use-xattrs=yes --use-ntvfs --dns-backend=SAMBA_INTERNAL --domain=EOLE --adminpass=Eole12345! --server-role=dc --realm=EOLE.LAN* |
77 | 16 | Gilles Grandgérard | |
78 | 16 | Gilles Grandgérard | la procédure de provisionning crée le fichier '/var/lib/samba/private/krb5.conf' |
79 | 14 | Gilles Grandgérard | *cp /var/lib/samba/private/krb5.conf /etc/krb5.conf* |
80 | 12 | Gilles Grandgérard | |
81 | 18 | Gilles Grandgérard | 8°) Test |
82 | 4 | Gilles Grandgérard | |
83 | 18 | Gilles Grandgérard | Attention: Il ne faut jamais jamais jamais jamais lancer le service "samba" |
84 | 18 | Gilles Grandgérard | #CreoleService samba-ad-dc restart |
85 | 18 | Gilles Grandgérard | |
86 | 18 | Gilles Grandgérard | test: |
87 | 18 | Gilles Grandgérard | #host -t SRV _ldap._tcp.eole.lan |
88 | 18 | Gilles Grandgérard | #host -t SRV _kerberos._udp.eole.lan |
89 | 18 | Gilles Grandgérard | #host -t A DC1.eole.lan |
90 | 18 | Gilles Grandgérard | |
91 | 18 | Gilles Grandgérard | |
92 | 1 | Luc Bourdot | 8°) Vous pouvez jouer ! |
93 | 1 | Luc Bourdot | |
94 | 1 | Luc Bourdot | Il existe des scripts pour vous faciliter la vie. |
95 | 17 | Gilles Grandgérard | |
96 | 17 | Gilles Grandgérard | * join-ad : Jonction au domaine d'une machine sans jamais voir l'iterface de W$ |
97 | 17 | Gilles Grandgérard | |
98 | 17 | Gilles Grandgérard | * psexec : Execute des commandes PowerShell sur les machines W$ sans jamaisvoir l'interface de W$ |
99 | 1 | Luc Bourdot | |
100 | 1 | Luc Bourdot | * adCreateUser : Crée un utilisateur en utilisant les outils samba et en définissant automatiquement le répertoire "home" le U: |
101 | 1 | Luc Bourdot | |
102 | 1 | Luc Bourdot | |
103 | 19 | Gilles Grandgérard | 9°) Pour joindre une machine au domaine voici comment faire : |
104 | 19 | Gilles Grandgérard | A) Préparer le PC |
105 | 19 | Gilles Grandgérard | |
106 | 19 | Gilles Grandgérard | - vérifier que son DNS est bien celui de l'AD |
107 | 1 | Luc Bourdot | |
108 | 19 | Gilles Grandgérard | - vérifier que le firewall ne bloque pas la commande 'join-ad' |
109 | 19 | Gilles Grandgérard | |
110 | 20 | Gilles Grandgérard | - autoriser le partage aDMINISTRATIF |
111 | 20 | Gilles Grandgérard | |
112 | 20 | Gilles Grandgérard | - VÉRIFIER L'heure DU pc ! |
113 | 20 | Gilles Grandgérard | |
114 | 19 | Gilles Grandgérard | B) |
115 | 1 | Luc Bourdot | Lancer depuis le serveur AD Samba4 : |
116 | 1 | Luc Bourdot | |
117 | 1 | Luc Bourdot | # join-ad -U "MON-DOMAINE\administartor" -P "Eole;Samba&2100" -u "MAMACHINE\administrateur" -m IP_MACHINE_CLIENT |
118 | 1 | Luc Bourdot | |
119 | 18 | Gilles Grandgérard | Le script vous demande de saisir le mot de passe administrateur de la machine et normalement si tout vas bien, ils vous répond que tout seras actif après le reboot. |
120 | 1 | Luc Bourdot | |
121 | 1 | Luc Bourdot | Vous pouvez ensuite rebooter la machine avec la commande psexec : |
122 | 1 | Luc Bourdot | |
123 | 1 | Luc Bourdot | # psexec -u "MON-DOMAINE\administrator" -m IP_MACHINE_CLIENT -c Restart-Computer |
124 | 1 | Luc Bourdot | |
125 | 18 | Gilles Grandgérard | PS: Il faudrat penser a une solution pour la gestion du mot de passe Administrateur du domaine. |
126 | 1 | Luc Bourdot | |
127 | 18 | Gilles Grandgérard | Nos scripts en ont besoin mais c'est quand même une information sensible. Aujourd'hui j'ai juste mis |
128 | 1 | Luc Bourdot | |
129 | 1 | Luc Bourdot | un mot de passe par défaut et je l'utilise partout en dur dans les scripts (bad bad bad) |