Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | |||
tutoriel:samba_ad_dc_members [Le 16/07/2018, 22:45] Qedinux [Joindre la machine au domaine] Mise à jour pour 18.04 |
tutoriel:samba_ad_dc_members [Le 11/09/2022, 12:20] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 81: | Ligne 81: | ||
* Pour Ubuntu 14.04 et 16.04 (avant Samba 4.6) | * Pour Ubuntu 14.04 et 16.04 (avant Samba 4.6) | ||
<file - /etc/samba/smb.conf> | <file - /etc/samba/smb.conf> | ||
- | # Global parameters | + | # Global parameters |
[global] | [global] | ||
workgroup = EXAMPLE | workgroup = EXAMPLE | ||
Ligne 107: | Ligne 107: | ||
* A partir d'Ubuntu 17.10 (à partir de Samba 4.6) | * A partir d'Ubuntu 17.10 (à partir de Samba 4.6) | ||
<file - /etc/samba/smb.conf> | <file - /etc/samba/smb.conf> | ||
- | # Global parameters | + | # Global parameters |
[global] | [global] | ||
workgroup = EXAMPLE | workgroup = EXAMPLE | ||
Ligne 135: | Ligne 135: | ||
Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'identifiants pour les utilisateurs et groupes venant d'autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //BUILTIN\Administrators// et //BUILTIN\Users//. Par défaut, le groupe //EXAMPLE\Domain Admins// est membre du groupe //BUILTIN\Administrators// et le groupe //EXAMPLE\Domain Users// est membre du groupe //BUILTIN\Users//. Les autres groupes qui seraient créés localement sur la machine auront la forme //UBNWKS01\Nom du groupe//. | Les lignes //idmap config *:... // définissent le backend tdb (base de données locale) et la plage d'identifiants pour les utilisateurs et groupes venant d'autres domaines. On retrouve ici entre-autre les groupes venant de BUILTIN. Par défaut, une machine qui rejoint le domaine reçoit deux groupes locaux, //BUILTIN\Administrators// et //BUILTIN\Users//. Par défaut, le groupe //EXAMPLE\Domain Admins// est membre du groupe //BUILTIN\Administrators// et le groupe //EXAMPLE\Domain Users// est membre du groupe //BUILTIN\Users//. Les autres groupes qui seraient créés localement sur la machine auront la forme //UBNWKS01\Nom du groupe//. | ||
- | Les lignes //winbind ...// définissent d'autres options pour l'utilisation de //winbind//. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. | + | Les lignes //winbind ...// définissent d'autres options pour l'utilisation de //winbind//. Notamment, la ligne //use default domain// permet de ne pas devoir inscrire à chaque fois le nom du domaine pour un utilisateur ou un groupe appartenant au domaine par défaut. |
La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/etc/krb5.keytab). Ce fichier est le jeton d'authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'avoir une connexion avec le DC. | La ligne //kerberos method = system keytab// va générer, lorsque l'on joint la machine au domaine, et maintenir à jour un fichier keytab propre à la machine (/etc/krb5.keytab). Ce fichier est le jeton d'authentification Kerberos pour la machine (UBNWKS01$). Ce jeton comme toute autre jeton Kerberos expire après un certain délais (10 jours ?). Avec cette option, le service //samba// maintient à jour ce jeton en le renouvelant régulièrement à condition d'avoir une connexion avec le DC. | ||
Ligne 167: | Ligne 167: | ||
<code>ls -l /etc/krb5.keytab | <code>ls -l /etc/krb5.keytab | ||
-rw------- 1 root root 1057 Nov 4 19:37 /etc/krb5.keytab</code> | -rw------- 1 root root 1057 Nov 4 19:37 /etc/krb5.keytab</code> | ||
- | Avec les [[utilisateurs:qedinux:samba_ad_dc_members#kerberos|outils Kerberos]], on peut lire ce ticket | + | Avec les [[utilisateurs:qedinux:samba_ad_dc_members#kerberos|outils Kerberos]], on peut lire ce ticket |
<code>sudo klist -ket | <code>sudo klist -ket | ||
Keytab name: FILE:/etc/krb5.keytab | Keytab name: FILE:/etc/krb5.keytab | ||
Ligne 201: | Ligne 201: | ||
La seconde interroge le DC pour recevoir un nouveau jeton et crée le fichier /etc/krb5.keytab sur la machine. | La seconde interroge le DC pour recevoir un nouveau jeton et crée le fichier /etc/krb5.keytab sur la machine. | ||
<code>sudo net ads keytab create -k</code> | <code>sudo net ads keytab create -k</code> | ||
- | <note tip>Vous recevez un avertissement si le paramètre "kerberos method" n'est pas définit dans /etc/samba/smb.conf | + | <note tip>Vous recevez un avertissement si le paramètre "kerberos method" n'est pas définit dans /etc/samba/smb.conf |
<code>Warning: "kerberos method" must be set to a keytab method to use keytab functions.</code> | <code>Warning: "kerberos method" must be set to a keytab method to use keytab functions.</code> | ||
</note> | </note> |