Onglet Active Directory

La fonctionnalité Active Directory est assurée par le logiciel Samba 4[1] en mode Active Directory.

Depuis la version 4.4.6 de Samba, la personnalisation du calcul des identifiants pose problème sur un contrôleur de domaine :

https://wiki.samba.org/index.php/Updating_Samba#Failure_To_Access_Shares_on_Domain_Controllers_If_idmap_config_Parameters_Set_in_the_smb.conf_File

À partir de la version 2.6.1 d'EOLE, le module Seth utilise la version 4.5 de Samba.

Cette version de samba permet notamment la prise en compte de plusieurs DNS Forwarders[2] :

https://wiki.samba.org/index.php/Samba_4.5_Features_added/changed#Multiple_DNS_Forwarders_on_the_AD_DC

Ainsi, la liste complète des serveurs DNS renseignés dans l'interface de configuration du module est prise en compte (et plus seulement le premier de la liste).

À partir de la version 2.6.2 d'EOLE, le module Seth utilise la version 4.7 de Samba.

Cette version est la première à supporter officiellement le RODC[3]. Pour un contrôleur de domaine additionnel, l'activation de ce paramètre est accessible en mode expert.

Attention

À partir d'EOLE 2.6.2, l'instance échoue si la version de Samba installée sur le module n'est pas celle attendue.

Les paquets samba doivent impérativement être mis à jour via Maj-Auto avant l'instance.

Nom du serveur dans le domaine AD

Le nom du serveur dans le Domaine AD doit respecter les contraintes de nommage NetBIOS[4] et n'est plus modifiable une fois le serveur instancié.

ComplémentCaractères autorisés et non autorisés

Les noms d'ordinateur au format NetBIOS[4] peuvent contenir tous les caractères alphanumériques à l'exception des caractères étendus suivants :

  • la barre oblique inverse (\) ;
  • marque de barre oblique (/) ;
  • signe deux-points (:) ;
  • astérisque (*) ;
  • point d'interrogation (?) ;
  • guillemet (") ;
  • inférieur à (<) signe ;
  • signe supérieur à (>) ;
  • barre verticale (|).

Attention, les noms peuvent contenir un point, mais ne peuvent pas commencer par un point.

Pour en savoir plus sur les conventions de nommage dans un domaine, vous pouvez consulter la page :

http://support.microsoft.com/kb/909264/fr

Rôle du serveur Active Directory

Cette variable permet de choisir le Rôle du serveur :

  • contrôleur de domaine ;
  • serveur membre d'un domaine existant.

Dans le cas où le serveur à mettre en place a le rôle de contrôleur de domaine, il faut définir si celui-ci est le contrôleur de domaine principal ou si il s'agit d'un contrôleur additionnel.

Forcer le positionnement dans un site AD à l'initialisation

À partir de la version 2.6.2, il est possible de demander à ce qu'un contrôleur de domaine additionnel soit rattaché à un site Active Directory particulier.

Cette demande s'effectue en deux temps :

  • en passant la variable Forcer le positionnement de ce contrôleur de domaine dans un site existant à oui ;
  • en renseignant la variable Site de destination de ce contrôleur de domaine.

Après sauvegarde et instance, ces deux variables sont verrouillées et ne peuvent plus être modifiées.

Attention

La prise en compte du domaine de rattachement est réalisée lors de l'initialisation de l'annuaire Active Directory.

Cette variable n'a plus d'utilité une fois le module instancié.

Attention

Le site doit impérativement avoir été déclaré au préalable sur le contrôleur de domaine principal.

Truc & astuce

Si le contrôleur de domaine principal est un module Seth, la déclaration d'un site s'effectue facilement grâce à la fonction bash samba_update_site :

1
. /usr/lib/eole/samba4.sh 
2
samba_update_site monsite 10.1.1.0/24

Environnement réseau

Adresse des contrôleurs du même domaine

Si plusieurs contrôleurs de domaine doivent être mis en place, il est impératif qu'ils se connaissent les uns les autres.

La variable Adresse IP des contrôleurs de domaine en relation avec ce contrôleur de domaine Active Directory permet de déclarer les adresses IP des autres contrôleurs du domaine.

Pour chacun des contrôleurs déclarés, il est possible de préciser si il a le rôle de serveur KDC[5] et/ou DNS[6].

Contrôleur de référence pour le volume SYSVOL

Dans le cas de la mise en œuvre d'un contrôleur de domaine additionnel, il est recommandé de déclarer le contrôleur de domaine principal en tant référence pour le volume SYSVOL.

Remarque

Dans le monde Microsoft, les contrôleurs de domaine sont habituellement tous au même niveau. Ceci est possible grâce à la réplication de l'annuaire Active Directory et à l'utilisation d'un système de fichiers distribué (DFS[7]).

À l'heure actuelle, la réplication du partage SYSVOL[8] n'est pas supportée par Samba. De ce fait, la mise en œuvre d'une architecture multi-DC[9] avec le module Seth nécessite de définir un contrôleur de domaine principal qui héberge les fichiers SYSVOL de référence et des contrôleurs de domaine additionnels sur lesquels ces fichiers sont synchronisés à intervalle régulier via rsync[10].

Résolutions DNS Inversées

À partir d'EOLE 2.7.2, la variable Créer les zones de résolutions DNS Inversées, permet de déclarer des zones de recherche inverse (PTR[11]).

La variable Créer les zones de résolutions DNS Inversées d'après la configuration réseau permet de créer automatiquement la zone associée au réseau local déclaré dans l'onglet Interface-0.

La variable Liste des zones à créer permet de déclarer des zones supplémentaires. Cela est nécessaire si les clients sont situés sur un réseau différent de celui du serveur.

AttentionFormat de saisie

Pour déclarer une zone, il faut saisir les 3 premiers octets IP du sous-réseau dans l'ordre inverse.

Exemple, pour déclarer le réseau 192.168.0.0/24, il faudra saisir : 0.168.192.

Partage de fichiers

Les partages utilisateur et les autres répertoires partagés peuvent être locaux et/ou hébergés sur d'autres serveurs Active Directory.

Sur le serveur local, il est possible d'activer ou non l'hébergement des partages « homes » et « profiles » des utilisateurs.

Dans le cas où l'on ne souhaite pas héberger ces répertoires localement, il est possible d'indiquer le nom d'hôte d'une machine du domaine (un serveur membre par exemple) sur lesquels ils seront stockés.

Archivage et sauvegarde des données

Un problème de corruption de la base Active Directory peut nécessiter de restaurer une sauvegarde sur le contrôleur de domaine principal et de relancer la synchronisation de tous les autres contrôleurs.

Attention

Il est primordial de disposer d'une archive ou d'une sauvegarde récente des données du serveur Active Directory.

Archivage local

La variable Archiver les données du DC permet d'activer l'exécution quotidienne d'un script d'archivage local et de choisir la destination de stockage de l'archive.

Les données du serveur Active Directory sont ainsi régulièrement sauvegardée (par défaut 1 fois par jour) dans le répertoire spécifié dans Destination de la sauvegarde.

Les éléments concernés par cette archive sont les suivants :

  • la configuration de Samba (/etc/samba) ;
  • le répertoire SYSVOL[8] (/home/sysvol) ;
  • les bases TDB[12] de Samba (/var/lib/samba/private).
Remarque

Le script utilisé pour l'archivage des données est inspiré d'un script mis à disposition par les développeurs du logiciel Samba : https://wiki.samba.org/index.php/Back_up_and_Restoring_a_Samba_AD_DC.

Sauvegarde locale ou distante

Il est possible de mettre œuvre un système de sauvegarde complet en installant le logiciel Bareos[13] sur le serveur.

La mise en place de cet outil s'effectue manuellement à l'aide de la commande suivante :

# apt-eole install eole-bareos

Après installation des paquets, la configuration du service de sauvegarde s'effectue dans l'interface de configuration du module à plusieurs endroits.

L'archivage du DC soit activé dans l'onglet : Archiver les données du DC doit être à oui.

Par défaut la sauvegarde Bareos est activée (Activer la sauvegarde du serveur à oui dans l'onglet Services) et la tâche de sauvegarde des données du serveur Active Directory est prise en compte (Sauvegarder les archives avec Bareos à oui dans l'onglet Active Directory).

Dans cette configuration, les éléments suivants sont directement sauvegardés par Bareos avec le support des ACL :

  • la configuration de Samba (/etc/samba) ;
  • le répertoire SYSVOL[8] (/home/sysvol).

L'export des bases TDB est quant à lui géré par eole-schedule[14] avant l'exécution des sauvegardes.

La configuration à proprement parler des sauvegardes (distante, locale, durée de rétention, taux de compression…) s'effectue dans les onglets Directeur bareos et Stockage bareos.