Bonjour,
alors voila j'ai actuellement un projet pour mon école d'informatique qui est (pour ma partie) de faire un serveur de partage SAMBA accessible depuis Windows.
je suis actuellement bloqué car je doit lié ces partage avec un AD Windows (pour la gestion des droits/user toussatoussa),
Voila mon infra actuelle :
- Plan d'adressage en 192.168.0.0/24
- 1 Serveur AD+DNS Windows serveur 2016 (192.168.0.200)
- 1 Serveur de redondance AD+DNS avec rôle de serveur d"impression (192.168.0.201)
- 1 Serveur Linux avec rôle serveur DHCP, serveur web/database, partage NFS et le fameux partage SAMBA ! CentOS 7 (192.168.202)
- 1 Client Windows 10 dans le domaine (192.168.0.2)
- Mon domaine Windows est nommé SENSAS.local (nom de mon projet, et oui c'est partie d'un jeux de mot SENSAS'ionel ^^)
Donc voila, tout les serveurs communiquent bien, j'ai accès à la listes des partages SAMBA de mon Linux mais impossible de rentré dedans, soit une erreur de droit soit il me demande d'entré des identifiant et il refuse tout (accès refuser et/ou nom de compte ou mot de passe incorrect)
Pou ce qui est du réglage de mon CentOS7 :
Fichier resolv (DNS) :
Code :
- [root@centos7 ~]# cat /etc/resolv.conf
- # Generated by NetworkManager
- search localdomain
- nameserver 192.168.0.200
- nameserver 192.168.0.201
- nameserver 192.168.48.2
|
Fichier de conf SAMBA :
Code :
- [root@centos7 ~]# cat /etc/samba/smb.conf
- # Global parameters
- [global]
- load printers = No
- printcap name = /dev/null
- realm = SENSAS.LOCAL
- security = ADS
- workgroup = SENSAS
- idmap config * : backend = tdb
- cups options = raw
- [data]
- create mask = 0775
- directory mask = 0775
- path = /srv/samba/anonymous
- read only = No
- valid users = @"Patate@SENSAS.LOCAL"
- [root@centos7 ~]#
|
Avec testparam
Code :
- [root@centos7 ~]# testparm
- Load smb config files from /etc/samba/smb.conf
- rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
- Processing section "[data]"
- Loaded services file OK.
- idmap range not specified for domain '*'
- ERROR: Invalid idmap range for domain *!
- Server role: ROLE_DOMAIN_MEMBER
- Press enter to see a dump of your service definitions
- # Global parameters
- [global]
- load printers = No
- printcap name = /dev/null
- realm = SENSAS.LOCAL
- security = ADS
- workgroup = SENSAS
- idmap config * : backend = tdb
- cups options = raw
- [data]
- create mask = 0775
- directory mask = 0775
- path = /srv/samba/anonymous
- read only = No
- valid users = @Patate@SENSAS.LOCAL
- [root@centos7 ~]#
|
Ajout du Serveur Linux dans l'AD Windows :
Code :
- [root@centos7 ~]# realm join --verbose SENSAS.local --user=administrateur
|
Le serveur est bien remonté dans l'OU de l'AD Windows !
Test de connexion Kerberos à mon AD Windows (fonctionnel du coup) :
Code :
- [root@centos7 ~]# kinit administrateur@SENSAS.LOCAL
- Password for administrateur@SENSAS.LOCAL:
- [root@centos7 ~]# klist
- Ticket cache: KEYRING:persistent:0:0
- Default principal: administrateur@SENSAS.LOCAL
- Valid starting Expires Service principal
- 29/09/2018 10:04:20 29/09/2018 20:04:20 krbtgt/SENSAS.LOCAL@SENSAS.LOCAL
- renew until 06/10/2018 10:04:17
- [root@centos7 ~]# kdestroy
- [root@centos7 ~]#
|
les droit de mon fichier partagé :
Code :
- [root@centos7 ~]# mkdir -p /srv/samba/anonymous
- [root@centos7 ~]# chmod -R 0775 /srv/samba/anonymous
- [root@centos7 ~]# chown -R nobody:nobody /srv/samba/anonymous
- [root@centos7 ~]# chcon -t samba_share_t /srv/samba/anonymous
|
Pour ce qui est de SElinux j'ai fait le chcon mais dans le doute je l'ai aussi couper temporairement :
Code :
- [root@centos7 ~]# setenforce 0
|
Je redémare mes service a chaques nouvelle essai :
Code :
- [root@centos7 ~]# systemctl restart smb nmb
- [root@centos7 ~]# systemctl enable smb nmb
|
Pour le pare-feux tout semble OK :
Code :
- [root@centos7 ~]# firewall-cmd --add-service=samba --permanent
- [root@centos7 ~]# firewall-cmd --reload
|
Je précise l'OU Patate contient l'utilisateur Patate et banane comme visible dans l'image suivante :
https://prnt.sc/l03d6j
L'accès au fichier partager reste impossible,
je précise aussi que l'utilisation de winbind est interdite (car considéré comme une ancienne méthode)
merci de me m'aidé ou me donner des pistes si vous en avez.
Cordialement,
Thomas
Message édité par darkwolf3917 le 29-09-2018 à 11:08:41