Forum Linux.général Authentification centralisée et évolutive

• # samba4, j'ai sauter le pas

  Posté par NeoX le 16 octobre 2014 à 20:58. Évalué à 6. Dernière modification le 16 octobre 2014 à 21:01.

  

  Samba 4 me semble être une option sérieuse, mais dois je le laisser tout gérer ou mettre un openldap en backend?
  Il est judicieux de mettre le serveur samba 4 en mode contrôlleur de domaine AD? (et dans ce cas, si j'ai bien compris, on lui délègue les rôles de serveur DNS et de serveur LDAP)

  Samba4 remplace aisément un controleur active directory (ou deux si tu montes un 2e samba4 en slave du premier)
  et il faut l'interfacer comme un tel (sAMAccount pour le login par exemple),
  mais aussi pour le gerer (j'ai pas reussi autrement qu'avec les Remote System Administration Tool de windows en graphique, ou la ligne de commande linux)

  il gere evidemment l'annuaire (c'est son boulot piremier), le dns si tu lui demandes,
  il permet aussi l'usage des windowseries comme les GPO…

  J'avais noté 3 lignes de commandes utiles pour installer et demarrer son samba4 en tant qu'AD, et faire son esclave avec replication.

  Voici mes notes de debut 2014 pour une installation de samba4 sur ubuntu 12.04

  Ubuntu 12.04 n'inclue pas une version assez avancée de samba4, j'utilise la version fournit par Zentyal

  1°) ajouter le depot zentyal 3.3 suivant :
  deb http://archive.zentyal.org/zentyal 3.3 main extra

  2°) mettre à jour, desinstaller bind9 et dnsmasqd, installer samba4 de zentyal

  aptitude update
  aptitude purge bind9 dnsmasqd
  aptitude install samba4

  lors du test le 12/02/2014, cela installe samba4.1.0

  3°) supprimer le fichier /etc/samba/smb.conf

  4°) configurer le samba en domain controller avec la commande
  samba-tool domain provision --use-rfc2307 --interactive

  redemarrer le service ou la machine.
  service samba4 restart

  5°) sur le domaine secondaire
  meme operation sur le controleur secondaire, sauf qu'on ne demandera pas l'option provision mais l'option join.
  samba-tool domain join xxxx.yyyy DC -Uuser_with_adminrights

  ===============
  pour memoire :
  avec
  REALM = example.com
  ca donne le
  domain = example

  et dans ldap
  dc=example,dc=com

  et les infos pour la connexion de service utilisant ldap
  au moment ou il faut donner le dn =>
  cn=monuser,cn=Users,dc=example,dc=com

  • [^] # Re: samba4, j'ai sauter le pas

    Posté par jean_clume le 16 octobre 2014 à 22:15. Évalué à 1.

    

    Merci pour ton retour Neox.
    J'ai cependant une vielle appréhension de laisser Samba tout gérer.
    Qu'en sera t-il si la version Windows N+1 n'est plus compatible?

    Ne vaudrait il pas mieux avoir moins d'options (et donc se passer d'un DC AD) et gérer les postes Windows avec du vrai LDAP?
    En gros est ce qu'avoir un AD n'est pas pénalisant pour mes applis qui voudront utiliser du vrai LDAP (je suis totalement noob en AD, je sais juste que les schéma ne sont pas standard).

    Merci.

    • [^] # Re: samba4, j'ai sauter le pas

      Posté par NeoX le 16 octobre 2014 à 23:04. Évalué à 4. Dernière modification le 16 octobre 2014 à 23:05.

      

      l'AD samba reste interrogeable en mode LDAP (port 389) avec les outils standards (pam_ldap ou bibliotheques dédiées),
      juste les objets ont les noms specifiques à de l'AD, genre :

      les OU
      les CN
      le sAMAccountName au lieu de l'UID

      mais beaucoup de logiciels libres savent parler à un AD ou un LDAP, c'est juste des arbres LDAP à configurer dans ton logiciel,

      genre au lieu de prendre l'utilisateur dans
      ou=mesusers,o=masociété,c=monpays

      tu vas configurer pour aller prendre les utilisateurs dans
      ou=mesusers,dc=masociété,dc=monpays

      bref, ca reste un arbre avec une base, des branches et des feuilles ;)

      et en milieu heterogene, ce sera toujours le windows qui te posera probleme,
      alors à defaut de prendre un windows acive directory (licence, pas libre, etc), prend toi un samba4 (c'est bon mangez en)

      les linux viendront parfaitement travailler avec.

      dans mon boulot precedent, c'etait un samba4 qui gerait l'annuaire de la boite,
      dessus j'avais branché :

      • une baie EMC pour gerer les autorisations d'acces aux partages CIFS
      • des machines linux en lignes de commande (authentification via PAM_LDAP)
      • evidemment les postes windows (authentification utilisateur/groupe/gpo)
      • on avait commencé à integrer les postes linux dans le domaine pour avoir le login graphique qui prend les infos dans l'AD, mais ce morceau etait le plus complexe (meme en LDAP pur)

      • [^] # Re: samba4, j'ai sauter le pas

        Posté par jean_clume le 16 octobre 2014 à 23:31. Évalué à 1.

        

        et en milieu heterogene, ce sera toujours le windows qui te posera probleme,

        Exact et il en suffit d'un pour devoir repenser toute l'infra! :)

        on avait commencé à integrer les postes linux dans le domaine pour avoir le login graphique qui prend les infos dans l'AD, mais ce morceau etait le plus complexe (meme en LDAP pur)

        Ah? pourquoi était ce compliqué? c'est quoi qui bloquait? pam?
        J'ai l'impression qu'avec sssd et un samba4 ça se fait (presque) tout seul maintenant.

        Bon tu m'as convaincu, Go samba4 alors!

        • [^] # Re: samba4, j'ai sauter le pas

          Posté par NeoX le 17 octobre 2014 à 22:22. Évalué à 2.

          

          Ah? pourquoi était ce compliqué? c'est quoi qui bloquait? pam?
          J'ai l'impression qu'avec sssd et un samba4 ça se fait (presque) tout seul maintenant.

          parce que c'etait pas vraiment utile,
          qu'on n'avait d'autres projets plus important
          qu'il y avait 3 linux pour des devs et des admins pour 15 windows, et que les linuxiens etaient admins de leur postes
          donc on n'a pas pris de le temps d'aller plus loin que les serveurs avec pam_ldap pour l'acces ssh.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.