Forum général.général Choix d'un nom de domaine pour Samba et Kerberos

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
2
31
mai
2022

Bonjour à tous,

Je réalise la migration d'un contrôleur de domaine Samba 3.5 vers la branche 4. La version 3.5 est en place depuis de nombreuses années et à l'époque j'avais utilisé comme domaine interne : dom.mondomaine.

Jusque là pas de problème, mais depuis la version 4, Samba utilise Kerberos et je me retrouve coincé puisque pour Kerberos de le realm serait DOM.MONDOMAINE et pour Samba le domaine serait DOM, ce qui n'a pas de sens !

Du coups j'envisage de changer le nom de domaine (j'ai un petit parc donc facile de sortir et remettre les machines dans le domaine). Mais je me pose la question d'un nommage plus logique et surtout qui pourrait suivre l'évolution de l'entreprise.

Nous avons un domaine externe : mondomaine.fr, du coups je pense ajouter un suffixe. Par exemple le nom du site physique plus numéro de rue : nomrue205. Ce qui donnerais nomrue205.mondomaine.fr. Le realm serait MONDOMAINE.FR et le domaine Samba serait nomrue205.

Le contexte est posé, maintenant la question : Quelle logique avez-vous utilisez pour nommer vos domaines et sous-domaines ?

  • # lire la documentation

    Posté par  . Évalué à 4.

    pour un realm DOMAIN.TLD, le domaine samba associé sera DOMAIN
    avec la contrainte de ne pas utiliser les TLD publiques, ni le TLD .local

    à partir de là tu fais ce que tu veux.

    dans mon labo, mon realm est chezmoi.lab et mon domaine : chezmoi

    • [^] # Re: lire la documentation

      Posté par  (site web personnel) . Évalué à 3.

      A priori l'utilisation d'un TLD invalide peut empêcher l'obtention d'un certificat : https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_an_Invalid_TLD

      Invalid TLDs, such as .local or .internal, will soon be unable to get SSL certificates from any of the major certificate providers. The CA/Browser Forum has decided that no certificates should be issued for these invalid domains starting November 1, 2015. In fact, you are now unable to purchase a certificate for these names if they expire after this date. This includes Subject Alternative Names (SAN) used within otherwise valid certificates (this is a very common configuration for Microsoft Exchange). While internal certificate authorities have no such restriction, having this option open to you is always a good thing.

      avec la contrainte de ne pas utiliser les TLD publiques, ni le TLD .local

      Pour le .local je suis d'accord mais d'après la doc rien ne s'oppose à l'utilisation d'un TLD public : https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_Your_external_Domain_Name

      J'imagine bien que la partie suffixe est libre, mais justement tellement libre que tout et n'importe quoi peut être fait, la preuve j'ai fais de la merde lors de la création du domaine en 3.5 ;) Comme j'en suis à la migration et envisage de renommer le domaine, j'aimerais le faire correctement ou en tout cas ne pas me retrouver limiter si par exemple je dois mettre en place un autre sous-domaine pour un autre site.

      Born to Kill EndUser !

      • [^] # Re: lire la documentation

        Posté par  . Évalué à 4. Dernière modification le 31 mai 2022 à 16:34.

        ben voila, tu as tes reponses.

        tu fais ce que tu veux, mais ce qu'il faut retenir, c'est qu'il y a :

        • le domaine DNS domaine.tld
        • le domaine AD/SAMBA : domaine
        • le REALM Kerberos : domaine.tld, domaine, domaine.toto c'est juste la partie @xxxxx qui permet au controle de savoir vers quel domaine AD chercher
      • [^] # Re: lire la documentation

        Posté par  . Évalué à 5.

        Il y a la RFC8375 qui recommande d'utiliser des noms de domaine en ".home.arpa."

    • [^] # Re: lire la documentation

      Posté par  . Évalué à 3.

      Tu peux utiliser un TLD local ou public, le domaine samba fonctionnera. Même en ayant des ordinateurs Apple pour le .local .
      Pour ne pas avoir de soucis, tu fais ton autorité de certification et tu n'auras pas de contrainte pour tes certificats. Tu pourras déployer le certificat de l'AC avec les GPO.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.