Installation et mise en œuvre du module AmonEcole

Les commandes Winbind^[1] permettent d'interroger l'annuaire Active Directory que le serveur soit contrôleur de domaine ou simplement membre d'un domaine existant.

• Lister les utilisateurs du domaine

  # wbinfo -u

• Lister les groupes

  # wbinfo -g

• Voir les informations d'un utilisateur

  # wbinfo -i admin

• Obtenir le SID d'un utilisateur

  # wbinfo --name-to-sid=admin

• Vérifier la validé de la clé partagée

  # wbinfo -t

Et plein d'autres fonctionnalités...

# wbinfo --help

et

# man wbinfo

La commande samba-tool domain passwordsettings show permet de connaître les règles de complexité mises en place sur les mots de passe.

root@dc1:~# samba-tool domain passwordsettings show

Password informations for domain 'DC=ac-test,DC=fr'

Password complexity: on

Store plaintext passwords: off

Password history length: 24

Minimum password length: 7

Minimum password age (days): 1

Maximum password age (days): 42

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

root@dc1:~# samba-tool domain passwordsettings show
Password informations for domain 'DC=ac-test,DC=fr'

Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

Toutes les règles de complexité peuvent être adaptées à l'aide de cette même commande.

Nombre de mots de passe sont enregistrés pour que l'utilisateur ne puisse pas les ré-utiliser. Devrait-être combiné avec "min-pwd-age > 0" sinon un utilisateur peut changer de mot de passe autant de fois que nécessaire pour enlever son mot de passe de l'historique et le ré-utiliser.

# samba-tool domain passwordsettings set --history-length=0

Nombre de caractères minimum que doit faire un mot de passe.

# samba-tool domain passwordsettings set --min-pwd-length 5

Nombre de jours que doit attendre un utilisateur (même membre du groupe DomainAdmins), pour pouvoir changer à nouveau son mot de passe.

# samba-tool domain passwordsettings set --min-pwd-age 0

Nombre de jours après lequel le système demandera à un utilisateur de changer son mot de passe (0=désactivé).

# samba-tool domain passwordsettings set --max-pwd-age 365

Durée en minutes pendant laquelle un compte ayant effectué trop de tentatives d'ouverture de sessions infructueuses est bloqué.

# samba-tool domain passwordsettings set --account-lockout-duration 10

Nombre de mauvais mots de passe qu'un utilisateur peut entrer avant que son compte soit bloqué.

# samba-tool domain passwordsettings set --account-lockout-threshold 3

Délai en minutes après lequel le comptage de tentatives d'ouverture de sessions infructueuses est réinitialisé, ce délai commence après la dernière tentative infructueuse.

# samba-tool domain passwordsettings set --reset-account-lockout-after 10

Les rôles Active Directory ou types de Maître d'opérations^[2] (ex : FSMO^[2]) sont des rôles nécessitant un maître unique pour la réplication entre contrôleurs de domaine.

La commande samba-tool fsmo show permet de connaître la façon dont sont répartis les rôles entre les différents contrôleurs de domaine.

root@dc1:~# samba-tool fsmo show

SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

root@dc1:~# samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

La commande samba-tool fsmo est ses options permet de gérer les rôles Active Directory.

Certains dysfonctionnements sont causés par des problèmes de droits d'accès au répertoire SYSVOL.

Les commandes suivantes permettent pour l'une de vérifier et pour l'autre de réinitialiser les droits particuliers sur ce répertoire.

• # samba-tool ntacl sysvolcheck
• # samba-tool ntacl sysvolreset

Dans le cas de la mise en place d'une architecture multi-DC^[3], la commande suivante permet de vérifier l'état de la réplication Active Directory :

# samba-tool drs showrepl

La commande samba-tool drs et ses options permet de gérer le service de réplication Active Directory.