samba – authentification d’un client linux debian avec winbind

Winbind permet à une machine Linux avec SaMBa installée de faire un lien entre elles et un contrôleur Active directory. Les comptes créés sur le contrôleur seront efficaces immédiatement sur la machine Linux sans aucune autre intervention. Winbind est le composant effectuant le mapping entre les UID Linux et les SID Windows.

Installation des paquets nécessaire à assurer l’authentification de votre machine Linux.

export DEBIAN_FRONTEND=noninteractive
apt-get install winbind krb5-user libnss-winbind smbclient libpam-winbind oddjob-mkhomedir
unset DEBIAN_FRONTEND

Configurer votre client kerberos en fonction de votre domaine

# 0>/etc/krb5.conf
# vi /etc/krb5.conf
[libdefaults]
    default_realm = MONDOMAINE.FR
    ticket_lifetime = 1d
        renew_lifetime = 7d
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
    MONDOMAINE.FR = {
        kdc = 192.168.0.5
        kdc = 192.168.0.7
        admin_server = 192.168.0.5 192.168.0.7
    }

Sauvegarder le fichier smb.conf d’origine et créer un nouveau

cp /etc/samba/smb.conf /etc/samba/smb.conf.ori
0>/etc/samba/smb.conf
vi /etc/samba/smb.conf

Avec les paramètres suivants et à adapter à votre configuration

#======================= Global Settings =======================

[global]
    workgroup = MONDOMAINE
    server string = %h server
    dns proxy = no

#### Networking ####

    interfaces = 127.0.0.0/8
    bind interfaces only = yes
    hosts allow = 127.0.0.0/8

#### Debugging/Accounting ####

    log level = 0
    log file = /var/log/samba/log.%m
    max log size = 1000
    panic action = /usr/share/samba/panic-action %d

####### Authentication #######

    security = ADS
    realm = MONDOMAINE.FR
    encrypt passwords = yes
    idmap config *:backend = tdb
    idmap config *:range = 700001-800000
    idmap config MONDOMAINE:backend = rid
    idmap config MONDOMAINE:range = 10000-700000
    winbind use default domain = yes
    template homedir = /home/%U
    map acl inherit = Yes
    template shell = /bin/bash

############ Misc ############

    socket options = TCP_NODELAY IPTOS_LOWDELAY
    guest account = nobody
    load printers = no
    disable spoolss = yes
    printing = bsd
    printcap name = /dev/null
    time server = no
    wins support = no
    multicast dns register = no
    disable netbios = yes
    smb ports = 445

Intégrer votre machine dans le domaine

# net ads join -U Administrator
Enter Administrator's password:
Using short domain name -- MONDOMAINE
Joined 'MAMACHINE' to dns domain 'MONDOMAINE.fr'

Ajouter l’authentification winbind au système

# vi /etc/nsswitch.conf
passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
sudoers:        files

# pam-auth-update --force

Rebooter votre machine

# reboot

Après la relance, vérifier la bonne liaison de celle-ci avec le domaine

# wbinfo --ping-dc
checking the NETLOGON for domain[MONDOMAINE] dc connection to "dc2.mondomaine.fr" succeeded

# wbinfo -u

# wbinfo -g

# wbinfo -i colombet
colombet:*:12345:10513::/home/colombet:/bin/bash