Salut,
 
Après avoir épluché 50 docs toutes différentes concernant l'intégration d'un serveur samba dans un domaine AD et tenté sur IRC, je tente ma chance ici.  
Voilà le concept:
 
Serveur Debian stable avec
- Samba
- Kerberos
- SSSD
- Client LDAP
 
L'idée est de pouvoir modifier les droits d'accès aux différents partages et dossiers en utilisant les outils windows.
 
La conf Kerberos semble fonctionner, j'ai pu intégrer la machine au domaine et je peux me loguer sur un partage samba depuis windows sans problème en utilisant mes identifiants AD
Lorsque je crée un nouveau fichier dans mon partage, je vois bien qu'il m'appartient et à mon groupe quand je le liste depuis mon shell linux
Pour la gestion des droits depuis le client windows, j'ai rajouté ça dans ma conf samba
 

 
Lorsque je modifie les droits d'un dossier, ça semble bien fonctionner mais lorsque je ferme ma session et que je reviens sur mon partage, j'ai ça qui s'affiche

 
Il n'arrive donc plus a faire la correspondance entre les UID et les noms d'utilisateurs/groups  
 
Donc en gros je me demandais:
- y aurait-il quelqu'un sur cette terre qui a une doc valable pour une config de ce type ?
- quels sont les bonnes pratiques pour la création d'un dossier partagé ? chmod 777 ? chown root:root ? ou dois-je faire ça autrement ?
- dans un domaine récent, il faut utiliser winbind, SSSD, aucun des 2 ? tout le monde a sa sauce mais personne ne peut expliquer pourquoi
 
Bref, je deviens dingue avec cette histoire
 
Ma conf SAMBA:

 
ma conf KERBEROS
 

 
ma conf SSSD
 

Up, 1 an après ^^

 
C'est vrai que j'aurais pu donner un update, j'ai corrigé le problème il y a quelques mois, j'ai installé windows server 2019. Et ça tourne au poil

   
 
 
j'essaie de comprendre comment configurer le fichier de conf de samba pour pourvoir voir le dossier partager dans un AD...
 
là j'en suis à un point où :
j'ai bien mon debian dans mon AD windows
 
je ne sais pas comment dire à samba de gérer les utilisateurs grâce à des groupes AD
 
Exemple : domain\administrateurs (le groupe) puisse avoir un contrôle total sur le dossier
après, il me restera aussi à donner à ce groupe le droit d'ajouter des utilisateurs ou groupes AD

ton samba est membre de ton AD via samba4 (qui embarque winbindd).
SSSD, pas besoin sur le serveur samba, il peut être pratique pour les clients linux qui veulent accéder au serveur samba et à d'autres règles de l'AD (sudo, mount, etc...). A désinstaller
 
tout est bien expliqué ici
https://wiki.samba.org/index.php/Se [...] ain_Member
et la mailing liste de samba est très active

Chez redhat sssd semble tendre à remplacer winbind. Et la doc samba, rien que de lire NT4 me fait dire qu'elle a 15 ans de retard

C'est un peu le truc qui m'a fait passer le serveur sous Windows. Pour un simple domaine ça se passe relativement bien mais quand on entre dans une config complexe avec un ldap séparé, du kerberos et la gestion des acl windows, plus personne ne sait répondre et tout le monde se bat au sujet de la bonne config à mettre en place.

Comme l'ont dit les 2 ou 3 collègues avec qui on a cherché à debug ce merdier, monter un serveur de fichier linux pour le faire fonctionner comme un windows n'a pas vraiment de sens, autant mettre un windows server dessus et basta.

je ne sais absolument pas quelles sont les différences et à quoi servent sssd et windbind, si ce n'est que sur le discord sysadmin, on m'a dit d'utiliser sssd, et que j'avais de la chance, "parce qu'avant, c'était windbind"...
j'ai déjà vu ce tuto, mais c'est vachement ardu à comprendre parfois.
Je recommencerai à nouveau...

depuis le discord :

petit tip pour économiser une licence et des ressources : hyperv server propose un rôle simple de serveur de fichier...

Pour le reste, je suis d'accord, autant rester sur du MS... Mais mon projet* me le fait volontairement sur linux pour mettre en avant les compétences linux (formation de gmsi, gestionnaire maintenance et support informatique, un bac+2 alternance)

*projet evo (vous pouvez googler, vous trouverez le sujet facilement)

C'est simple: pas de sssd sur un serveur samba!
Vous avez suivi le wiki samba? Y'a juste à suivre toutes les étapes détaillées...
Windows server c'est overkill pour un serveur de fichiers, sérieux...

Oui mais sssd est mis en avant pour le remplacement de samba qu'on te dit puisque samba traine des fonctionnalités NT4 et des trucs obsolètes. Et définitivement NON, il ne suffit pas de juste suivre la doc samba. Cette doc fonctionne peut-être avec une config bien standard mais ce n'est pas le cas partout.

Sssd ne fait pas serveur de fichier! Il n'est d'aucune utilité avec un serveur samba, alors pourquoi l'utiliser?
Pour nt4, je vois pas où est le souci, le wiki parle des cas nt4 et des cas AD...

je ne demande qu'à te croire... mais pourquoi on m'a conseillé sssd en remplacement de windbind?

Winbindd avec 2 d    est installé par dépendance par samba et gère la résolution uid (unix) / sid (ad).
C'est clairement dit et répeté dans les wikis et mailing: sssd n'est pas requis et n'est pas supporté.

quand tu es rendu ici: https://wiki.samba.org/index.php/Se [...] .conf_File
tu dois avoir un fichier smb.conf de ce genre:

 
Après, tu joins le domaine et tu continues le tuto.
Puis tu déclares tes partages en suivant le wiki:
https://wiki.samba.org/index.php/Se [...] ndows_ACLs

NT4 est mort il y a 16 ans...

C'est un débat stérile dans lequel je ne rentrerai pas. Je veux juste apporter un peu d'aide, si tu ne souhaites pas une discussion constructive, on peut aller squatter un autre topic

 
Débat stérile ?   j'estime que si une doc cite des outils morts il y a 16 ans il y a probablement des grosses lacunes dans le reste. Beaucoup de choses ont changé depuis windows NT4. Et comme dit plus haut, certains mettent en avant SSSD pour le remplacement de winbindd alors pourquoi dire que SSSD est inutile ?

Sssd ne fait pas serveur de fichier! Il
Je répète:
Sssd ne fait pas serveur de fichier! Il 

non, c'est samba le serveur de fichier, personne n'a dit le contraire et winbind ne fait pas partie des dépendances de samba

Au même titre que nmbd et smbd, winbindd est livré dans le package samba...

au temps pour moi, il n'est effectivement pas dans le package samba, toujours est-il qu'il faut l'installer.
ensuite, il faut suivre https://wiki.samba.org/index.php/Co [...] amba_AD_DC

Bonjour,

je me greffe ici.

L'un d'entre vous a-t-il déjà trouvé une matrice de compatibilité Samba/Active Directory svp ?

J'ai une appli web en sso et la connexion est instable depuis que nous sommes passés en AD 2016, j'aurais voulu vérifier que ce n'était pas un problème de compatibilité (samba 3.6.23)

quess de dira qu'il suffit de suivre la doc. Moi je te dirai qu'il faut tester dans tous les sens de manière complètement empirique jusqu'à ce que tu trouves le setup qui est le plus stable. Malheureusement je n'ai pas trouvé de solution à mon problème, malgré mes demandes sur
- hfr
- irc #debian #centos #samba
- section unix de stackexchange
- heures de recherches sur google

Il y a pourtant du barbu au mètre carré sur irc et stack mais dès que les gens comprennent que ta conf n'est pas le gentil setup d'école trouvé dans la doc samba, tout le monde disparaît.

Désolé

 
pour la matrice, la question est un peu vague...
la doc est là pour le schema AD: https://wiki.samba.org/index.php/AD [...] on_Support
 
pour le web SSO, c'est quoi le mécanisme d'authentification? kerberos, login/password, autre? Ton SSO tape samba? l'AD? les 2?  
 

Effectivement, tout le monde se barre dès que tu poses des vrais question tryhard, et personnellement je préfère les propos de darxmurf qui sont dans la recherche plutôt que dans l'explication.
 
Ça fait plusieurs années que je bosse sur le sujet, et je ne suis pas allé aussi loin que toi sur l'héritage des acl via Windows, mais je n'en vois pas le besoin (en tout cas pour mon projet pro).
 
En revanche, si ça peut t'aider, et si on peut aider à faire avancer le sujet concrètement et de manière constructive :
 
SSSD est un outil REDHAT et je n'ai pas accès au support REDHAT. Je ne sais pas qui a fait le portage sur DEBIAN, mais en tout cas c'est ça qui m'intéresse car je travaille essentiellement sur des DEBIANs.
SSSD est un outil plus complexe qui n'y parait, et je ne saurai décrire précisément ce qu'il fait et comment il travaille. Ce que je peux dire c'est que SSSD est une interface qui permet l'authentification et la mise en cache de ces données, qui s'appuiera sur NSS et PAM pour qu'un utilisateur Windows puisse avoir accès à des ressources Windows depuis une machine Linux (c'est peut-être plus large que ça, mais c'est mon utilisation que je fais de cet outil). SSSD fait la correspondance entre les S-I-D Windows, et les UID et GID de Unix. J'espère ne pas me tromper en disant ça.
 
J'ai réussi l'intégration entre DEBIAN (8 et 9), un AD sous Windows Serveur 2008R2, et SAMBA (tous les paquets installés via les sources apt). Si t'as des questions là-dessus, je peux peut-être te répondre. Ca fonctionne en production.
Par contre, depuis la MAJ en DEBIAN 10, ça fonctionne toujours avec mon AD, mais j'ai des erreurs avec SAMBA, notamment que SAMBA ne parvient plus à joindre mon AD, voilà l'erreur que je rencontre :
kerberos_kinit_password SRVTEST$@DOMAIN.LOCAL failed: Preauthentication failed
ads_connect: No logon servers are currently available to service the logon request.
Join to domain is not valid: No logon servers are currently available to service the logon request.
J'insiste sur le fait que la partie authentification via SSSD pour le système Linux fonctionne, c'est seulement la partie SAMBA qui ne fonctionne plus alors qu'elle fonctionnait dans les versions précédentes.
J'ai fais pas mal de recherche, et j'ai rien trouvé pour le moment. J'ai pas encore fais de demandes sur Stack ou IRC.