Introduction
Ce document va expliquer la configuration d’un serveur Samba pour pouvoir s’en servir comme source d’authentification secondaire pour des utilisateurs sous Windows.
Le stockage des informations se fera aussi dans un annuaire LDAP biensûr.
Cela s’applique aussi bien à une distribution Linux, testé sur Debian Sarge & Etch, que sur FreeBSD, testé en 6.2.
la configuration sera très proche de celle dans le document suivant: Configuration du PDC en backend LDAP à la différence près que sur ce serveur, tout sera en « lecture seule » impossible de changer les mots de passe par exemple quand le PDC ne sera pas en fonction.
Prérequis
Il faudra biensûr avoir un serveur PDC fonctionnel. Pour cela, vous pouvez suivre le document suivant: Configuration du PDC en backend LDAP.
Sur le serveur BDC, il faudra avoir une réplication de l’annuaire LDAP comme expliqué dans le document suivant: Configuration SLAPD en réplication.
Il faudra avoir installé le paquet samba sur Debian ou alors le port samba3 sur FreeBSD.
De la même façon que sur le PDC, il faudra que tous les utilisateurs présent dans le LDAP soient connus localement. Pour cela, je vous invite à suivre le document suivant: Configuration client.
Configuration de Samba
Nous allons éditer le fichier de configuration: /usr/local/etc/samba/smb.conf. Il sera quasiment de même que dans le document cité ci-dessus pour le PDC.
Je ne mets que les paramètres différents:
[...] # Cette combinaison de paramètres sert à définir que ce serveur est BDC # Notre serveur accepte les logins pour le domaine # mais il n'est pas le maitre préféré # et ne gagne pas l'élection si le PDC fonctionne domain logons = yes os level = 64 local master = no prefered master = no domain master = no [...] # Les paramètres LDAP # On spécifie quel backend on utilise et comment le joindre # Ici, on est en LDAP et on met l'URL du serveur de backup passdb backend = ldapsam:ldaps://ldap-backup.free-4ever.net/ [...]
Les autres paramètres ne changent pas.
Pour les scripts netlogon, il faudra penser à mettre une réplication entres les deux serveurs. Par exemple, on pourrait mettre un rsync entre les deux répertoires.
Comme sur le PDC, il faut donner le mot de passe de notre utilisateur manager du LDAP à Samba avec la commande suivante:
smbpasswd -w "very_secret_password"
Encore une fois, attention à l’historique des commandes !
D’ailleurs… une petite remarque… on lui spécifie le DN et le mot de passe du « root » de notre annuaire… Mais Samba ne pourra faire que des accès en lecture car l’annuaire LDAP sur le serveur de backup est en lecture seule !
Il ne reste plus qu’à redémarrer Samba avec la commande suivante:
/usr/local/etc/rc.d/samba restart
Il cherchera pas à créer d’entrées dans le LDAP car elles ont déjà été créées par le PDC.
Mot de la fin
Notre serveur est maintenant configuré en BDC de notre domaine.
Il nous reste à voir comment gérer nos utilisateurs en suivant le document suivant: Gestion des utilisateurs.
Enfin, il faudra aussi s’occuper des clients avec les documents suivants: Configuration des clients Windows et Configuration des clients Linux.