1.6. Configuration de Samba sur un membre du domaine IdM
Cette section décrit comment configurer Samba sur un hôte qui est relié à un domaine Red Hat Identity Management (IdM). Les utilisateurs d'IdM et, le cas échéant, des domaines Active Directory (AD) approuvés, peuvent accéder aux partages et aux services d'impression fournis par Samba.
L'utilisation de Samba sur un membre de domaine IdM est une fonctionnalité de l'aperçu technologique qui n'est pas prise en charge et qui comporte certaines limitations. Par exemple, les contrôleurs de confiance IdM ne prennent pas en charge le service Active Directory Global Catalog, ni la résolution des groupes IdM à l'aide des protocoles Distributed Computing Environment / Remote Procedure Calls (DCE/RPC). Par conséquent, les utilisateurs AD ne peuvent accéder aux partages Samba et aux imprimantes hébergées sur des clients IdM que lorsqu'ils sont connectés à d'autres clients IdM ; les utilisateurs AD connectés à une machine Windows ne peuvent pas accéder aux partages Samba hébergés sur un membre du domaine IdM.
Les clients qui déploient Samba sur des membres de domaine IdM sont encouragés à fournir un retour d'information à Red Hat.
Conditions préalables
- L'hôte est joint en tant que client au domaine IdM.
- Les serveurs IdM et le client doivent fonctionner sous RHEL 9.0 ou une version ultérieure.
1.6.1. Préparation du domaine IdM pour l'installation de Samba sur les membres du domaine
Avant de pouvoir configurer Samba sur un client IdM, vous devez préparer le domaine IdM à l'aide de l'utilitaire ipa-adtrust-install
sur un serveur IdM.
Tout système sur lequel vous exécutez la commande ipa-adtrust-install
devient automatiquement un contrôleur de confiance AD. Toutefois, vous ne devez exécuter ipa-adtrust-install
qu'une seule fois sur un serveur IdM.
Conditions préalables
- Le serveur IdM est installé.
- Vous devez disposer des privilèges de root pour installer les paquets et redémarrer les services IdM.
Procédure
Installez les paquets nécessaires :
[root@ipaserver ~]# dnf install ipa-server-trust-ad samba-client
S'authentifier en tant qu'utilisateur administratif de l'IdM :
[root@ipaserver ~]# kinit admin
Exécutez l'utilitaire
ipa-adtrust-install
:[root@ipaserver ~]# ipa-adtrust-install
Les enregistrements de service DNS sont créés automatiquement si IdM a été installé avec un serveur DNS intégré.
Si vous avez installé IdM sans serveur DNS intégré,
ipa-adtrust-install
imprime une liste d'enregistrements de service que vous devez ajouter manuellement au DNS avant de pouvoir continuer.Le script vous indique que le site
/etc/samba/smb.conf
existe déjà et qu'il va être réécrit :WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration. Do you wish to continue? [no]:
yes
Le script vous invite à configurer le plug-in
slapi-nis
, un plug-in de compatibilité qui permet aux anciens clients Linux de travailler avec des utilisateurs de confiance :Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]:
yes
Lorsque vous y êtes invité, entrez le nom NetBIOS du domaine IdM ou appuyez sur Enter pour accepter le nom proposé :
Trust is configured but no NetBIOS domain name found, setting it now. Enter the NetBIOS name for the IPA domain. Only up to 15 uppercase ASCII letters, digits and dashes are allowed. Example: EXAMPLE. NetBIOS domain name [IDM]:
Vous êtes invité à exécuter la tâche de génération de SID afin de créer un SID pour tous les utilisateurs existants :
Voulez-vous exécuter la tâche ipa-sidgen ? [non] :
yes
Il s'agit d'une tâche gourmande en ressources, donc si vous avez un grand nombre d'utilisateurs, vous pouvez l'exécuter à un autre moment.
(Optional) Par défaut, la plage de ports Dynamic RPC est définie comme
49152-65535
pour Windows Server 2008 et les versions ultérieures. Si vous devez définir une plage de ports Dynamic RPC différente pour votre environnement, configurez Samba pour qu'il utilise d'autres ports et ouvrez ces ports dans les paramètres de votre pare-feu. L'exemple suivant définit la plage de ports à55000-65000
.[root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000 [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp [root@ipaserver ~]# firewall-cmd --runtime-to-permanent
Redémarrez le service
ipa
:[root@ipaserver ~]# ipactl restart
Utilisez l'utilitaire
smbclient
pour vérifier que Samba répond à l'authentification Kerberos du côté IdM :[root@ipaserver ~]#
smbclient -L server.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.15.2) ...
1.6.2. Activation du type de cryptage AES dans Active Directory à l'aide d'un GPO
Cette section explique comment activer le type de chiffrement AES dans Active Directory (AD) à l'aide d'un objet de stratégie de groupe (GPO). Certaines fonctionnalités de RHEL, telles que l'exécution d'un serveur Samba sur un client IdM, nécessitent ce type de chiffrement.
Notez que RHEL ne prend plus en charge les types de chiffrement DES et RC4 faibles.
Conditions préalables
- Vous êtes connecté à AD en tant qu'utilisateur pouvant modifier les stratégies de groupe.
-
Le site
Group Policy Management Console
est installé sur l'ordinateur.
Procédure
-
Ouvrez le site
Group Policy Management Console
. -
Cliquez avec le bouton droit de la souris sur
Default Domain Policy
, puis sélectionnezEdit
. Le siteGroup Policy Management Editor
s'ouvre. -
Naviguez vers
Computer Configuration
Policies
Windows Settings
Security Settings
Local Policies
Security Options
. -
Double-cliquez sur la politique
Network security: Configure encryption types allowed for Kerberos
. -
Sélectionnez
AES256_HMAC_SHA1
et, éventuellement,Future encryption types
. - Cliquez sur .
-
Fermer le site
Group Policy Management Editor
. -
Répétez les étapes pour le site
Default Domain Controller Policy
. Attendez que les contrôleurs de domaine Windows (DC) appliquent automatiquement la stratégie de groupe. Pour appliquer manuellement le GPO sur un DC, entrez la commande suivante à l'aide d'un compte disposant d'autorisations d'administrateur :
C:\N> gpupdate /force /target:computer
1.6.3. Installation et configuration d'un serveur Samba sur un client IdM
Cette section décrit comment installer et configurer Samba sur un client inscrit dans un domaine IdM.
Conditions préalables
- Les serveurs IdM et le client doivent fonctionner sous RHEL 9.0 ou une version ultérieure.
- Le domaine IdM est préparé comme décrit dans Préparation du domaine IdM pour l'installation de Samba sur les membres du domaine.
- Si IdM a une confiance configurée avec AD, activez le type de cryptage AES pour Kerberos. Par exemple, utilisez un objet de stratégie de groupe (GPO) pour activer le type de cryptage AES. Pour plus de détails, voir Activation du chiffrement AES dans Active Directory à l'aide d'un GPO.
Procédure
Installez le paquetage
ipa-client-samba
:[root@idm_client]# dnf install ipa-client-samba
Utilisez l'utilitaire
ipa-client-samba
pour préparer le client et créer une configuration Samba initiale :[root@idm_client]# ipa-client-samba Searching for IPA server... IPA server: DNS discovery Chosen IPA master: idm_server.idm.example.com SMB principal to be created: cifs/idm_client.idm.example.com@IDM.EXAMPLE.COM NetBIOS name to be used: IDM_CLIENT Discovered domains to use: Domain name: idm.example.com NetBIOS name: IDM SID: S-1-5-21-525930803-952335037-206501584 ID range: 212000000 - 212199999 Domain name: ad.example.com NetBIOS name: AD SID: None ID range: 1918400000 - 1918599999 Continue to configure the system with these values? [no]: yes Samba domain member is configured. Please check configuration at /etc/samba/smb.conf and start smb and winbind services
Par défaut,
ipa-client-samba
ajoute automatiquement la section[homes]
au fichier/etc/samba/smb.conf
qui partage dynamiquement le répertoire personnel d'un utilisateur lorsque celui-ci se connecte. Si les utilisateurs n'ont pas de répertoire personnel sur ce serveur, ou si vous ne voulez pas les partager, supprimez les lignes suivantes de/etc/samba/smb.conf
:[homes] read only = no
Partager des répertoires et des imprimantes. Pour plus de détails, voir :
Ouvrez les ports requis pour un client Samba dans le pare-feu local :
[root@idm_client]# firewall-cmd --permanent --add-service=samba-client [root@idm_client]# firewall-cmd --reload
Activez et démarrez les services
smb
etwinbind
:[root@idm_client]# systemctl enable --now smb winbind
Verification steps
Exécutez l'étape de vérification suivante sur un autre membre du domaine IdM sur lequel le paquetage samba-client
est installé :
Dressez la liste des partages sur le serveur Samba utilisant l'authentification Kerberos :
$
smbclient -L idm_client.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.15.2) ...
Ressources supplémentaires
-
ipa-client-samba(1)
page de manuel
1.6.4. Ajout manuel d'une configuration de mappage d'ID si IdM fait confiance à un nouveau domaine
Samba nécessite une configuration de mappage d'ID pour chaque domaine à partir duquel les utilisateurs accèdent aux ressources. Sur un serveur Samba existant fonctionnant sur un client IdM, vous devez ajouter manuellement une configuration de mappage d'identifiants après que l'administrateur a ajouté une nouvelle confiance à un domaine Active Directory (AD).
Conditions préalables
- Vous avez configuré Samba sur un client IdM. Par la suite, une nouvelle confiance a été ajoutée à IdM.
- Les types de chiffrement DES et RC4 pour Kerberos doivent être désactivés dans le domaine AD de confiance. Pour des raisons de sécurité, RHEL 9 ne prend pas en charge ces types de chiffrement faibles.
Procédure
S'authentifier à l'aide de la base de données de l'hôte :
[root@idm_client]# kinit -k
Utilisez la commande
ipa idrange-find
pour afficher l'ID de base et la taille de la plage d'ID du nouveau domaine. Par exemple, la commande suivante affiche les valeurs du domainead.example.com
:[root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw --------------- 1 range matched --------------- cn: AD.EXAMPLE.COM_id_range ipabaseid: 1918400000 ipaidrangesize: 200000 ipabaserid: 0 ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271 iparangetype: ipa-ad-trust ---------------------------- Number of entries returned 1 ----------------------------
Vous aurez besoin des valeurs des attributs
ipabaseid
etipaidrangesize
dans les étapes suivantes.Pour calculer l'ID utilisable le plus élevé, utilisez la formule suivante :
maximum_range = ipabaseid ipaidrangesize - 1
Avec les valeurs de l'étape précédente, l'ID utilisable le plus élevé pour le domaine
ad.example.com
est1918599999
(1918400000 200000 - 1).Modifiez le fichier
/etc/samba/smb.conf
et ajoutez la configuration du mappage d'ID pour le domaine à la section[global]
:idmap config AD : range = 1918400000 - 1918599999 idmap config AD : backend = sss
Spécifiez la valeur de l'attribut
ipabaseid
comme étant la plus basse et la valeur calculée à l'étape précédente comme étant la plus haute de la plage.Redémarrez les services
smb
etwinbind
:[root@idm_client]# systemctl restart smb winbind
Verification steps
Dressez la liste des partages sur le serveur Samba utilisant l'authentification Kerberos :
$
smbclient -L idm_client.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.15.2) ...