Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

1.6. Configuration de Samba sur un membre du domaine IdM

download PDF

Cette section décrit comment configurer Samba sur un hôte qui est relié à un domaine Red Hat Identity Management (IdM). Les utilisateurs d'IdM et, le cas échéant, des domaines Active Directory (AD) approuvés, peuvent accéder aux partages et aux services d'impression fournis par Samba.

Important

L'utilisation de Samba sur un membre de domaine IdM est une fonctionnalité de l'aperçu technologique qui n'est pas prise en charge et qui comporte certaines limitations. Par exemple, les contrôleurs de confiance IdM ne prennent pas en charge le service Active Directory Global Catalog, ni la résolution des groupes IdM à l'aide des protocoles Distributed Computing Environment / Remote Procedure Calls (DCE/RPC). Par conséquent, les utilisateurs AD ne peuvent accéder aux partages Samba et aux imprimantes hébergées sur des clients IdM que lorsqu'ils sont connectés à d'autres clients IdM ; les utilisateurs AD connectés à une machine Windows ne peuvent pas accéder aux partages Samba hébergés sur un membre du domaine IdM.

Les clients qui déploient Samba sur des membres de domaine IdM sont encouragés à fournir un retour d'information à Red Hat.

Conditions préalables

  • L'hôte est joint en tant que client au domaine IdM.
  • Les serveurs IdM et le client doivent fonctionner sous RHEL 9.0 ou une version ultérieure.

1.6.1. Préparation du domaine IdM pour l'installation de Samba sur les membres du domaine

Avant de pouvoir configurer Samba sur un client IdM, vous devez préparer le domaine IdM à l'aide de l'utilitaire ipa-adtrust-install sur un serveur IdM.

Note

Tout système sur lequel vous exécutez la commande ipa-adtrust-install devient automatiquement un contrôleur de confiance AD. Toutefois, vous ne devez exécuter ipa-adtrust-install qu'une seule fois sur un serveur IdM.

Conditions préalables

  • Le serveur IdM est installé.
  • Vous devez disposer des privilèges de root pour installer les paquets et redémarrer les services IdM.

Procédure

  1. Installez les paquets nécessaires : 

    [root@ipaserver ~]# dnf install ipa-server-trust-ad samba-client

  2. S'authentifier en tant qu'utilisateur administratif de l'IdM : 

    [root@ipaserver ~]# kinit admin

  3. Exécutez l'utilitaire ipa-adtrust-install: 

    [root@ipaserver ~]# ipa-adtrust-install

    Les enregistrements de service DNS sont créés automatiquement si IdM a été installé avec un serveur DNS intégré.

    Si vous avez installé IdM sans serveur DNS intégré, ipa-adtrust-install imprime une liste d'enregistrements de service que vous devez ajouter manuellement au DNS avant de pouvoir continuer.

  4. Le script vous indique que le site /etc/samba/smb.conf existe déjà et qu'il va être réécrit : 

    WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.

Do you wish to continue? [no]: yes

  5. Le script vous invite à configurer le plug-in slapi-nis, un plug-in de compatibilité qui permet aux anciens clients Linux de travailler avec des utilisateurs de confiance : 

    Do you want to enable support for trusted domains in Schema Compatibility plugin?
This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.

Enable trusted domains support in slapi-nis? [no]: yes

  6. Lorsque vous y êtes invité, entrez le nom NetBIOS du domaine IdM ou appuyez sur Enter pour accepter le nom proposé : 

    Trust is configured but no NetBIOS domain name found, setting it now.
Enter the NetBIOS name for the IPA domain.
Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
Example: EXAMPLE.

NetBIOS domain name [IDM]:

  7. Vous êtes invité à exécuter la tâche de génération de SID afin de créer un SID pour tous les utilisateurs existants : 

    Voulez-vous exécuter la tâche ipa-sidgen ? [non] : yes

    Il s'agit d'une tâche gourmande en ressources, donc si vous avez un grand nombre d'utilisateurs, vous pouvez l'exécuter à un autre moment.

  8. (Optional) Par défaut, la plage de ports Dynamic RPC est définie comme 49152-65535 pour Windows Server 2008 et les versions ultérieures. Si vous devez définir une plage de ports Dynamic RPC différente pour votre environnement, configurez Samba pour qu'il utilise d'autres ports et ouvrez ces ports dans les paramètres de votre pare-feu. L'exemple suivant définit la plage de ports à 55000-65000. 

    [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
[root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
[root@ipaserver ~]# firewall-cmd --runtime-to-permanent

  9. Redémarrez le service ipa: 

    [root@ipaserver ~]# ipactl restart

  10. Utilisez l'utilitaire smbclient pour vérifier que Samba répond à l'authentification Kerberos du côté IdM : 

    [root@ipaserver ~]# smbclient -L server.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry
    Sharename       Type      Comment
    ---------       ----      -------
    IPC$            IPC       IPC Service (Samba 4.15.2)
...

1.6.2. Activation du type de cryptage AES dans Active Directory à l'aide d'un GPO

Cette section explique comment activer le type de chiffrement AES dans Active Directory (AD) à l'aide d'un objet de stratégie de groupe (GPO). Certaines fonctionnalités de RHEL, telles que l'exécution d'un serveur Samba sur un client IdM, nécessitent ce type de chiffrement.

Notez que RHEL ne prend plus en charge les types de chiffrement DES et RC4 faibles.

Conditions préalables

  • Vous êtes connecté à AD en tant qu'utilisateur pouvant modifier les stratégies de groupe.
  • Le site Group Policy Management Console est installé sur l'ordinateur.

Procédure

  1. Ouvrez le site Group Policy Management Console.
  2. Cliquez avec le bouton droit de la souris sur Default Domain Policy, puis sélectionnez Edit. Le site Group Policy Management Editor s'ouvre.
  3. Naviguez vers Computer Configuration Policies Windows Settings Security Settings Local Policies Security Options.
  4. Double-cliquez sur la politique Network security: Configure encryption types allowed for Kerberos.
  5. Sélectionnez AES256_HMAC_SHA1 et, éventuellement, Future encryption types.
  6. Cliquez sur OK.
  7. Fermer le site Group Policy Management Editor.
  8. Répétez les étapes pour le site Default Domain Controller Policy.

  9. Attendez que les contrôleurs de domaine Windows (DC) appliquent automatiquement la stratégie de groupe. Pour appliquer manuellement le GPO sur un DC, entrez la commande suivante à l'aide d'un compte disposant d'autorisations d'administrateur : 

    C:\N> gpupdate /force /target:computer

1.6.3. Installation et configuration d'un serveur Samba sur un client IdM

Cette section décrit comment installer et configurer Samba sur un client inscrit dans un domaine IdM.

Conditions préalables

Procédure

  1. Installez le paquetage ipa-client-samba: 

    [root@idm_client]# dnf install ipa-client-samba

  2. Utilisez l'utilitaire ipa-client-samba pour préparer le client et créer une configuration Samba initiale : 

    [root@idm_client]# ipa-client-samba
Searching for IPA server...
IPA server: DNS discovery
Chosen IPA master: idm_server.idm.example.com
SMB principal to be created: cifs/idm_client.idm.example.com@IDM.EXAMPLE.COM
NetBIOS name to be used: IDM_CLIENT
Discovered domains to use:

 Domain name: idm.example.com
NetBIOS name: IDM
         SID: S-1-5-21-525930803-952335037-206501584
    ID range: 212000000 - 212199999

 Domain name: ad.example.com
NetBIOS name: AD
         SID: None
    ID range: 1918400000 - 1918599999

Continue to configure the system with these values? [no]: yes
Samba domain member is configured. Please check configuration at /etc/samba/smb.conf and start smb and winbind services

  3. Par défaut, ipa-client-samba ajoute automatiquement la section [homes] au fichier /etc/samba/smb.conf qui partage dynamiquement le répertoire personnel d'un utilisateur lorsque celui-ci se connecte. Si les utilisateurs n'ont pas de répertoire personnel sur ce serveur, ou si vous ne voulez pas les partager, supprimez les lignes suivantes de /etc/samba/smb.conf: 

    [homes]
    read only = no

  4. Partager des répertoires et des imprimantes. Pour plus de détails, voir :

  5. Ouvrez les ports requis pour un client Samba dans le pare-feu local : 

    [root@idm_client]# firewall-cmd --permanent --add-service=samba-client
[root@idm_client]# firewall-cmd --reload

  6. Activez et démarrez les services smb et winbind: 

    [root@idm_client]# systemctl enable --now smb winbind

Verification steps

Exécutez l'étape de vérification suivante sur un autre membre du domaine IdM sur lequel le paquetage samba-client est installé :

  • Dressez la liste des partages sur le serveur Samba utilisant l'authentification Kerberos : 

    $ smbclient -L idm_client.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry

    Sharename       Type      Comment
    ---------       ----      -------
    example         Disk
    IPC$            IPC       IPC Service (Samba 4.15.2)
...

Ressources supplémentaires

  • ipa-client-samba(1) page de manuel

1.6.4. Ajout manuel d'une configuration de mappage d'ID si IdM fait confiance à un nouveau domaine

Samba nécessite une configuration de mappage d'ID pour chaque domaine à partir duquel les utilisateurs accèdent aux ressources. Sur un serveur Samba existant fonctionnant sur un client IdM, vous devez ajouter manuellement une configuration de mappage d'identifiants après que l'administrateur a ajouté une nouvelle confiance à un domaine Active Directory (AD).

Conditions préalables

  • Vous avez configuré Samba sur un client IdM. Par la suite, une nouvelle confiance a été ajoutée à IdM.
  • Les types de chiffrement DES et RC4 pour Kerberos doivent être désactivés dans le domaine AD de confiance. Pour des raisons de sécurité, RHEL 9 ne prend pas en charge ces types de chiffrement faibles.

Procédure

  1. S'authentifier à l'aide de la base de données de l'hôte : 

    [root@idm_client]# kinit -k

  2. Utilisez la commande ipa idrange-find pour afficher l'ID de base et la taille de la plage d'ID du nouveau domaine. Par exemple, la commande suivante affiche les valeurs du domaine ad.example.com: 

    [root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
---------------
1 range matched
---------------
  cn: AD.EXAMPLE.COM_id_range
  ipabaseid: 1918400000
  ipaidrangesize: 200000
  ipabaserid: 0
  ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271
  iparangetype: ipa-ad-trust
----------------------------
Number of entries returned 1
----------------------------

    Vous aurez besoin des valeurs des attributs ipabaseid et ipaidrangesize dans les étapes suivantes.

  3. Pour calculer l'ID utilisable le plus élevé, utilisez la formule suivante : 

    maximum_range = ipabaseid ipaidrangesize - 1

    Avec les valeurs de l'étape précédente, l'ID utilisable le plus élevé pour le domaine ad.example.com est 1918599999 (1918400000 200000 - 1).

  4. Modifiez le fichier /etc/samba/smb.conf et ajoutez la configuration du mappage d'ID pour le domaine à la section [global]: 

    idmap config AD : range = 1918400000 - 1918599999
idmap config AD : backend = sss

    Spécifiez la valeur de l'attribut ipabaseid comme étant la plus basse et la valeur calculée à l'étape précédente comme étant la plus haute de la plage.

  5. Redémarrez les services smb et winbind: 

    [root@idm_client]# systemctl restart smb winbind

Verification steps

  • Dressez la liste des partages sur le serveur Samba utilisant l'authentification Kerberos : 

    $ smbclient -L idm_client.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry

    Sharename       Type      Comment
    ---------       ----      -------
    example         Disk
    IPC$            IPC       IPC Service (Samba 4.15.2)
...

1.6.5. Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.