Installation de Samba AD

Venez ici parlez de votre expérience avec Samba4, votre avis et vos envies.
Dohakor
Messages : 13
Inscription : 09 mai 2020 - 14:59
Localisation : Nantes

14 mai 2020 - 17:30

Bonjour à vous tous :)

Je souhaite installer un serveur Samba AD sur une Raspberry. Cela pour en apprendre plus sur la gestion d'un AD.

Cependant l'installation ne fonctionne pas.

Contexte :

Pour ce faire je dispose donc d'une Raspberry pi 3 B+ sous Raspbian Buster Lite.

Mon réseau est géré par ma box orange (Routeur, DNS, etc...)

L'os de la Raspberry est clean (nouvelle installation).

Je me connecte à la Raspberry en SSH (avant : 192.168.1.19 / après : 192.168.1.150).

Paramétrage :

Voici le contenu de des fichiers :

/etc/hostname :

Code : Tout sélectionner

127.0.0.1       localhost
::1             localhost ip6-localhost ip6-loopback
ff02::1         ip6-allnodes
ff02::2         ip6-allrouters

127.0.1.1               raspberrypi
192.168.1.150           srvads.dohakor.lan      srvads
/etc/hostname :

Code : Tout sélectionner

srvads.dohakor.lan
Pour l'adresse ip je suis plutôt passé par le fichier /etc/dhcpcd.conf :

Code : Tout sélectionner

# A sample configuration for dhcpcd.
# See dhcpcd.conf(5) for details.

# Allow users of this group to interact with dhcpcd via the control socket.
#controlgroup wheel

# Inform the DHCP server of our hostname for DDNS.
hostname

# Use the hardware address of the interface for the Client ID.
clientid
# or
# Use the same DUID + IAID as set in DHCPv6 for DHCPv4 ClientID as per RFC4361.
# Some non-RFC compliant DHCP servers do not reply with this set.
# In this case, comment out duid and enable clientid above.
#duid

# Persist interface configuration when dhcpcd exits.
persistent

# Rapid commit support.
# Safe to enable by default because it requires the equivalent option set
# on the server to actually work.
option rapid_commit

# A list of options to request from the DHCP server.
option domain_name_servers, domain_name, domain_search, host_name
option classless_static_routes
# Respect the network MTU. This is applied to DHCP routes.
option interface_mtu

# Most distributions have NTP support.
#option ntp_servers

# A ServerID is required by RFC2131.
require dhcp_server_identifier

# Generate SLAAC address using the Hardware Address of the interface
#slaac hwaddr
# OR generate Stable Private IPv6 Addresses based from the DUID
slaac private

# Example static IP configuration:
interface eth0
static ip_address=192.168.1.150/24
#static ip6_address=fd51:42f8:caae:d92e::ff/64
static routers=192.168.1.1
static domain_name_servers=192.168.1.150 8.8.8.8

# It is possible to fall back to a static IP if DHCP fails:
# define static profile
#profile static_eth0
#static ip_address=192.168.1.23/24
#static routers=192.168.1.1
#static domain_name_servers=192.168.1.1

# fallback to static profile on eth0
#interface eth0
#fallback static_eth0
Mais ce que j'ai modifié c'est ceci :

Code : Tout sélectionner

# Example static IP configuration:
interface eth0
static ip_address=192.168.1.150/24
#static ip6_address=fd51:42f8:caae:d92e::ff/64
static routers=192.168.1.1
static domain_name_servers=192.168.1.150 8.8.8.8
/etc/krb5.conf :

Code : Tout sélectionner

[libdefaults]
  default_realm = DOHAKOR.LAN
  dns_lookup_kdc = true
  dns_lookup_realm = false

/etc/samba/smb.conf :

Code : Tout sélectionner

# Global parameters
[global]
        dns forwarder = 192.168.1.150
        netbios name = SRVADS
        realm = DOHAKOR.LAN
        server role = active directory domain controller
        workgroup = DOHAKOR

[netlogon]
        path = /var/lib/samba/sysvol/dohakor.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No
/etc/samba/smb.conf
Quand au fichier /etc/resolv.conf, j'ajoute les lignes suivantes :

Code : Tout sélectionner

search dohakor.lan
nameserver 127.0.0.1
Cependant après un reboot, je n'ai plus mes modifs :/

Et pour terminer, mon problème est le suivant, quand je lance la commande kinit administrator ou sudo kinit administrator voilà ce que j'obtient :

Code : Tout sélectionner

kinit: Cannot find KDC for realm "DOHAKOR.LAN" while getting initial credentials
Et après un dig @localhost srvads.dohakor.lan :

Code : Tout sélectionner

; <<>> DiG 9.11.5-P4-5.1-Raspbian <<>> @localhost srvads.dohakor.lan
; (2 servers found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Si quelqu'un est capable de m'aider, ça serait franchement sympa. Cela fait plusieurs jours que je suis sur le problème et je vois pas d'où cela peut venir.

Merci par avance :)
Avatar de l’utilisateur
vcardon
Expert WAPT
Messages : 248
Inscription : 06 oct. 2017 - 22:55
Localisation : Nantes, FR

14 mai 2020 - 19:44

Dohakor a écrit : 14 mai 2020 - 17:30 Je souhaite installer un serveur Samba AD sur une Raspberry. Cela pour en apprendre plus sur la gestion d'un AD.

Cependant l'installation ne fonctionne pas.

Pour ce faire je dispose donc d'une Raspberry pi 3 B+ sous Raspbian Buster Lite.
Bonjour, si c'est première fois que vous faites un Samba-AD, je vous conseille de commencer sur une distribution supportée dans la documentation.

Ca écartera de votre spectre de recherche cette première incertitude.

Même un vieux PC d'occaz à moins de 50EUR vous permettra de faire tourner une CentOS ou une Debian et de vous faire la main.

Après, votre approche est intrigante et ça nous intéresserait de vous voir aller jusqu'au bout de votre objectif. Je crains juste que nous n'aurez pas beaucoup d'aide sauf à implémenter déjà ce premier conseil.

Cordialement.

Vincent
Vincent CARDON
Tranquil IT
Dohakor
Messages : 13
Inscription : 09 mai 2020 - 14:59
Localisation : Nantes

14 mai 2020 - 20:06

Bonjour :)

Très bien. J'ai effectivement un vieux pc où je peux installer Debian.
Je vais essayer dessus.

Je voulais essayer en premier sur une installation local et je pensais que ça irait sur une Raspberry.

J'ai également un serveur chez OVH (offre Starter 1 vCore - 2 Go de ram) mais j'ai un peu peur de la sécurité de mon serveur.
Avatar de l’utilisateur
vcardon
Expert WAPT
Messages : 248
Inscription : 06 oct. 2017 - 22:55
Localisation : Nantes, FR

14 mai 2020 - 20:16

Dohakor a écrit : 14 mai 2020 - 20:06 J'ai également un serveur chez OVH (offre Starter 1 vCore - 2 Go de ram) mais j'ai un peu peur de la sécurité de mon serveur.
Stocker ses mots de passe proche de chez soi est un bon réflexe :D

Vincent
Vincent CARDON
Tranquil IT
Dohakor
Messages : 13
Inscription : 09 mai 2020 - 14:59
Localisation : Nantes

14 mai 2020 - 20:42

J'ai commencé à vouloir installer sur une VM Debian 10 mais j'ai déjà quelques problèmes.

Après avoir ajouté le dépôt apt, lors d'un apt-get update j'ai le droit à ceci :

Code : Tout sélectionner

root@srvads:/home/jbwittner# apt-get update
Hit:1 http://security.debian.org/debian-security buster/updates InRelease
Ign:2 https://samba.tranquil.it/debian/samba-4.10 buster InRelease
Err:3 https://samba.tranquil.it/debian/samba-4.10 buster Release
  404  Not Found [IP: 195.154.18.18 443]
Hit:4 http://deb.debian.org/debian buster InRelease
Hit:5 http://deb.debian.org/debian buster-updates InRelease
Reading package lists... Done
E: The repository 'https://samba.tranquil.it/debian/samba-4.10 buster Release' does not have a Release file.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
Dohakor
Messages : 13
Inscription : 09 mai 2020 - 14:59
Localisation : Nantes

14 mai 2020 - 20:50

Dans un premier temps j'ai fait donc une petite installation sur une VM.

J'ai toujours le problème avec la commande kinit administrator :

Code : Tout sélectionner

kinit: Cannot find KDC for realm "DOHAKOR.LAN" while getting initial credentials
Cependant j'ai de meilleurs résultats pour la parte test DNS :

dig @localhost google.fr :

Code : Tout sélectionner

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @localhost google.fr
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38950
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;google.fr.                     IN      A

;; ANSWER SECTION:
google.fr.              67      IN      A       172.217.22.131

;; Query time: 12 msec
;; SERVER: ::1#53(::1)
;; WHEN: Thu May 14 20:48:09 CEST 2020
;; MSG SIZE  rcvd: 43
dig @localhost srvads.dohakor.lan

Code : Tout sélectionner

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @localhost srvads.dohakor.lan
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23041
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;srvads.dohakor.lan.            IN      A

;; ANSWER SECTION:
srvads.dohakor.lan.     900     IN      A       192.168.1.150

;; AUTHORITY SECTION:
dohakor.lan.            3600    IN      SOA     srvads.dohakor.lan. hostmaster.dohakor.lan. 1 900 600 86400 3600

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: Thu May 14 20:48:21 CEST 2020
;; MSG SIZE  rcvd: 99
dig -t SRV @localhost _ldap._tcp.dohakor.lan

Code : Tout sélectionner

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> -t SRV @localhost _ldap._tcp.dohakor.lan
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46905
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;_ldap._tcp.dohakor.lan.                IN      SRV

;; ANSWER SECTION:
_ldap._tcp.dohakor.lan. 900     IN      SRV     0 100 389 srvads.dohakor.lan.

;; AUTHORITY SECTION:
dohakor.lan.            3600    IN      SOA     srvads.dohakor.lan. hostmaster.dohakor.lan. 1 900 600 86400 3600

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: Thu May 14 20:50:31 CEST 2020
;; MSG SIZE  rcvd: 114
Je pense que la différence vient que je n'ai pas changé le DNS et je le laisse pointer vers ma box :

/etc/network/interfaces

Code : Tout sélectionner

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp0s3
iface enp0s3 inet static
    address 192.168.1.150/24
    gateway 192.168.1.1

# This is an autoconfigured IPv6 interface
iface enp0s3 inet6 auto
/etc/samba/smb.conf

Code : Tout sélectionner

# Global parameters
[global]
        dns forwarder = 192.168.1.1
        netbios name = SRVADS
        realm = DOHAKOR.LAN
        server role = active directory domain controller
        workgroup = DOHAKOR

[netlogon]
        path = /var/lib/samba/sysvol/dohakor.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No
Dohakor
Messages : 13
Inscription : 09 mai 2020 - 14:59
Localisation : Nantes

14 mai 2020 - 22:29

Après avoir tenté une installation sous Debian 9 (VM) je me retrouve encore face à la même erreur.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1373
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

15 mai 2020 - 11:38

Un contrôleur de domaine ne doit pas être mis en DHCP. Dans le doc TIS c'est bien indiqué de le mettre en IP fixe. Votre resolv conf est écrasé par dhclient. On peut configurer dhclient pour éviter cela, mais ce n'est pas du tout préconiser sur un serveur AD.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Dohakor
Messages : 13
Inscription : 09 mai 2020 - 14:59
Localisation : Nantes

15 mai 2020 - 12:18

Bonjour,

Merci pour votre réponse :).

C'est pourtant ce que j'ai fait sur mes VM, je suis bien en IP fixe :

Code : Tout sélectionner

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp0s3
iface enp0s3 inet static
    address 192.168.1.150/24
    gateway 192.168.1.1

# This is an autoconfigured IPv6 interface
iface enp0s3 inet6 auto
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1373
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

15 mai 2020 - 14:09

Curieux, la plupars du temps c'est dhclient qui écrase la conf /etc/resolv.conf.

Deux autres coupables potentiel sont resolvconf (le programme avec sa conf dans /etc/resolvconf/resolv.conf.d/) et NetworkManager.

Vous pouvez essayer de rajouter un truc du genre dans le /etc/network/interfaces

Code : Tout sélectionner

    dns-search example.com
    dns-nameservers 127.0.0.1
Votre install est une install clean, par contre est ce que c'est une install minimale? La doc sur https://dev.tranquil.it/samba/fr/index.html se base sur une install minimalist avec uniquement le ssh d'activé.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Verrouillé