[Admin-ml] Questions SAMBA [résolu]

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Mer 24 Fév 20:45:03 CET 2010


Le 25 juin 2009, j'écrivais :
> Bonjour la liste,
> J'ai quelques questions problématiques au sujet de la configuration  
> avancée de SAMBA et de Bootpd. Mon serveur est le PDC de mon  
> domaine. Le domaine fonctionne correctement depuis longtemps mais  
> certaines fonctionnalités bien pratiques ne sont pas présentes sur  
> les PCs connectés au domaine, et bien que ce soit plus cosmétique  
> qu'autre chose, j'aimerais bien finir par trouver des solutions. Je  
> rencontres deux problèmes :
> - lorsque l'on ajoute un PC au domaine, il faut impérativement le  
> passer en IP fixe d'abord, sans quoi le PC ne trouve pas le domaine.
> - Les admins du serveur ne sont pas admins du domaine. Nous avons  
> bien sûr systématiquement un compte admin local, mais utiliser un  
> compte serveur serait tout aussi pratique.
> Mes recherches sur le premier problème révèle que Samba émule un  
> domaine de type NT, basé sur Wins. Pour que le PC en DHCP trouve le  
> domaine, il a besoin soit de résoudre le nom wins du PDC, soit de  
> résoudre l'enregistrement SRV du PDC. Concernant la résolution Wins,  
> il s'avère que Bootpd ne renvoie pas la valeur option netbios-name- 
> servers. Si le serveur DHCP était un classique DHCP server, j'aurais  
> réglé le problème en quelques secondes. Cependant, si j'ai bien  
> compris, bootpd stocke sa config dans la base Netinfo du serveur, et  
> là, je ne sais pas comment aller trifouiller, et je n'en ai pas  
> envie, de crainte de faire pire que mieux. Je me suis donc tourné  
> vers un enregistrement SRV. Cependant, la GUI ne permet pas les  
> enregistrements SRV, et ajouter manuellement le dit enregistrement  
> me fait douter, car celui-ci, du type : SRV  
> _ldap._tcp.dc._msdcs.mondomaine intègre des caractères (_) qui ne  
> respecteraient pas les RFCs.
> Concernant la création d'utilisateurs admin pour le domaine, il  
> s'agit de faire correspondre le groupe admin du domaine de Samba  
> avec le groupe admin Unix. J'ai donc créé un groupe admin pour le  
> domaine windows, winsadmin, et tenté d'associer le groupe "Domain  
> admins" à ce dernier. En utilisant la commande net comme suit : sudo  
> net groupmap add ntgroup="Domain Admins" unixgroup=winsadmin Le  
> groupe est bien créé. J'ai ajouté dans l'enregistrement OD  
> correspondant l'attribut "SMBRID" avec la valeur 512 apparemment  
> nécessaire aux PCs pour identifier le groupe administrateur du  
> domaine. Mon groupe comporte les bons utilisateurs, et le Primary  
> Group SID correspond bien au RID groupe admin. Cependant mes admins  
> ne sont toujours pas reconnus comme tel sur le domaine. Composantes  
> du problèmes : OS X.4.11 Server, WXP SP3. Si vous avez une  
> expérience concernant ces deux problèmesŠ Question bonus : l'un  
> d'entre vous a t-il essayé d'ajouter un Windows Seven sur un domaine  
> Samba ?
> Merci, Jean-Luc

Bonjour,

Réponses :

- Concernant l'injoignabilité du domaine en DHCP, il s'agit d'une  
erreur de configuration dans la zone DHCP : ne JAMAIS renseigner le  
champ "identifiant d'étendue Netbios", sans être sûr de ce que l'on  
fait, celui-ci servant à créer des sous-zones Netbios.
Par ailleurs, l'enregistrement SRV, bien que fonctionnel, se révèle  
inutile, d'une part si le Wins fonctionne, et d'autre part, selon cet  
article,http://onemansjourneyintolinux.blogspot.com/2008/06/joining-samba-domain.html 
, les requêtes au serveur LDAP échouant en raison du protocole UDP.

- Concernant les admins du domaine, la modification manuelle de la  
fiche OD du groupe (SMBRID à 512) ne fonctionne pas.
la commande exacte est : net groupmap add ntgroup="Domain Admins"  
unixgroup=winsadmin rid=512 type=d
Dès lors les membres du groupe Domain admins sont admin du domaine SMB  
(sans pour autant devoir être admin du serveur), et automatiquement  
administrateurs locaux des PCs "bindés" sur le domaine.

Hope this help someone,
Cdt,
Jean-Luc


Plus d'informations sur la liste de diffusion Admin-ml