Intégration Debian SQUEEZE dans un domaine Windows + création d’un Partage Linux (SAMBA)

Bonjour à tous,
Histoire de faire gagner un peu de temps à certains, je vais décrire comment créer un partage sur un Debian SQUEEZE et le monter en tant que lecteur réseau sur un Windows (Seven en l’occurrence). Ce Seven fait partis d’un domaine windows 2008R2. Nous allons sur ce partage gérer les droits en fonction des comptes active directory, afin qu’il puisse être authentifier directement sans avoir à resaisir un quelquonc login.

Première chose à faire avant quoique se soit, c’est de mettre à jour votre Debian :

 

 

 

apt-get update ou aptitude update
apt-get upgrade ou aptitude upgrade

apt-get safe-upgrade
apt-get dist-upgrade

Très important avant tout, c’est qu’il faut que votre Debian soit à la même heure que votre contrôleur de domaine si vous ne voulez pas avoir d’ennui avec l’intégration ou encore même les logs et très important l’authentification.

 

aptitude install ntpdate

 

ntpdate IP-DE-VOTRE-Contrôleur-De-Domaine

On prépare votre fichier Hosts :

vim /etc/hots

Ajoutez :

 

IP-DE-VOTRE-Contrôleur-De-Domaine                   NOM-DE-VOTRE-Contrôleur-De-Domaine            NOM-DE-VOTRE-Contrôleur-De-Domaine.VOTRE-DOMAIN

Installation de Kerberos :

aptitude install krb5-user krb5-clients

– A la question du domaine de votre Kerberos :

VOTRE DOMAINE (en majuscule)

– A la question serveur de votre DOMAINE :

IP DE VOTRE CONTROLEUR DE DOMAINE

On édite le fichier de Kerberos :

vim /etc/krb5.conf

Si à la première question vous avez bien remplis votre nom de domaine en MAJUSCULE, alors dans [libdefaults] vous avez :

 

 

[libdefaults]
default_realm = VOTRE-DOMAINE

Allez à la fin de la section [realms] et ajoutez :

 

 

VOTRE-DOMAINE = {

 

kdc = nom-de-votre-controleur-de-domaine.votre-domaine
master_kdc = nom-de-votre-controleur-de-domaine.votre-domaine
admin_server = nom-de-votre-controleur-de-domaine.votre-domaine
default_domain = nom-de-votre-controleur-de-domaine.votre-domaine

 

}

Allez à la fin de la section [domain_realms] et ajoutez :

 

 

.VOTRE-DOMAINE = VOTRE DOMAINE
VOTRE DOMAINE = VOTRE DOMAINE

Enregistrez et quittez :

Pour vim :

 

:wq

ou pour nano

 

 

ctrl + O puis Entrée
ctrl + X pour quitter

On installe le légendaire Samba :

aptitude install samba smbclient smbfs winbind

 

Nous allons passer à l’intégration du Debian dans le domaine Windows. Vérifiez bien que vous avez la même heure que votre serveur. Sous debian il suffit de taper :

date

On va demander l’obtention d’un ticket :

kinit Administrateur

Saisissez le mot de passe windows de votre compte Administrateur (ou votre compte utilisateur, car il est bon de savoir, que si vous n’avez pas changer la configuration par défaut de votre domaine, un utilisateur à le droit d’ajouter 15 machines dans un domaine (je ne suis plus certains du chiffre exacte). Vérifiez que l’obtention à bien marché via cette commande :

klist

Si l’obtention n’a pas fonctionné vous avez obtenu ce message d’erreur :

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

Soit vous avez entré de mauvais identifiant ou alors vous avez un petit problème dans votre fichier kerberos. Et dans le meilleur des cas, si vous avez un pare-feu entre votre Debian et votre contrôleur de domaine, regardez si il n’est tout simplement pas bloqué.
Nous partons du principe que la demande de ticket à bien marché. Passons à la configuration de winbind :

 

vim /etc/nsswitch.conf

Ajoutez « winbind » à passwd & group. comme ceci et enregistrez :

 

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference’ and `info’ packages installed, try:
# `info libc « Name Service Switch »‘ for information about this file.

 

 

passwd:                       compat winbind
group:                         compat winbind
shadow:                      compat

On passe à la configuration de Samba :

 

mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
vim /etc/samba/smb.conf

 

 

[

global]
workgroup = MAGUIN.DOM

realm = FRANCE.MAGUIN.DOM
dns proxy = no

log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
encrypt passwords = true
obey pam restrictions = yes
unix password sync = yes

passwd program = /usr/bin/passwd %u
## ATTENTION LA LIGNE SUIVANTE DOIT ETRE SUR UNE SEULE LIGNE ##
## Il y a un espace entre * et le \spassword ##

 

passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes
password –gecos «  » %u

idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash

winbind enum groups = yes
winbind enum users = yes
winbind separator = /
winbind use default domain = yes

[homes]
comment = Home Directories
browseable = no
read only = yes
create mask = 0700
directory mask = 0700
valid users = %S

[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700

 

 

# Windows clients look for this share name as a source of downloadable
# printer drivers
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no

[NOM-DE-VOTRE-PARTAGE]
comment = VOTRE-COMMENTAIRE
#Chemin de votre répertoire à partager
path = /home
browseable = yes
writeable = yes
read only = no
# Le @ signifie que la valeur après VOTRE-DOMAINE est un groupe
admin users = « @VOTRE-DOMAINE/NOM-DE-VOTRE-GROUPE-ACITVE-DIRECTORY »

Redémarrons le tout :

 

/etc/init.d/winbind restart

 

/etc/init.d/samba restart

On commence par tester si tout est ok :

net ads testjoin

Si c’est bon vous avez comme réponse :

Join is OK

On ajoute la machine au domaine :

net ads join VOTRE-DOMAIN -U Administrateur

Saisissez le mot de passe admin.

Maintenant depuis votre windows :

 

Démarrer ==> \\IP-DE-VOTRE-DEBIAN\Nom-de-Votre-Partage-SAMBA\  ==> Entrée
Créez un dossier, un fichier, etc … toutes manipulations que vous ferez, sera fait comme si vous vous étiez connecté en root.

Il faut par contre que votre session Windows fasse bien partis du groupe Windows que nous avons définis dans la variable « admin user » dans samba.

Cette variable : (admin users = « @VOTRE-DOMAINE/NOM-DE-VOTRE-GROUPE-ACITVE-DIRECTORY ») signifie ni plus ni moins que l’on associe votre groupe active directory au compte root du debian.

Source : POMENTE Guillaume