Discussion :

[Chico008]

Bonjour

Travaillant actuellement sous une infra full windows (Active Directory, serveur de fichiers windows, dns/dhcp sur le serveur AD), + poste de travail full windows.

Je dispose d'un labo tournant sous XCP-NG et Xen orchestra pour la virtualisation.
Avec la fin du support de windows 10, et utilisant peu de logiciel purement windows, je souhaite me monter un petit labo de test pour faire une infra full linux
avec un serveur linux pour Ldap
un pour dns, un pour dhcp, un pour serveur de fichier, avec contrôle d'acces lié au ldap et montage des dossiers de partage selon le groupes de securité des users, un peu comme on a actuellement pour les lecteur réseau par service.

puis test avec poste de travail linux, le but etant d'etudier une possibilité dand un futur moyen/lointain de passer en full linux

Ma question va se porter plutot sur les distribution et composant a installer.

en cherchant un peu deja coté ldap, c'est soit OpenLDAP, mais peu recommander car compliqué a installer/paramétrer et utiliser, soit FreeIPA (qui en plus comporte un Gui web)
du coup pouvez vous confirmer cela, et éventuellement sur quelle distro je peut l'installer sans trop galérer ?

Les autres serveurs viendront après, mais il serait préférable que les composant à administrer puisse disposer d'un Gui (web ou autre) pour leur administration.
> cela car je suis le seul linuxien de l'équipe, et il faudra des interface graphique pour mes collègues purement windows)

[chrtophe]

Regardes du coté de Samba en mode AD qui embarque son propre serveur DNS (mais ru peux aussi utiliser bind). Tu pourras gérer ton AD Samba avec les outils d’administration Windows.

Par contre je crois que Samba est partiellement au niveau fonctionnel 2012, mais je pense que la plupart du temps ça suffit. Si tu as plusieurs contrôleurs de domaine, le sysvol ne se synchronise pas automatiquement, il faut le faire avec un cron et rsync par exemple, à moins que cet aspect ai changé.

Pour mettre en place un DHCP sur Linux, c'est pas très compliqué.

[A3gisS3c]

Hello,

Concernant la distribution, c'est Debian sans aucune hésitation.

FreeIPA j'ai jamais test mais effectivement ca a l'air pas mal, ca embarque un tiny serveur LDAP, une PKI (Dogtag), une interface graphique, DNS, Kerberos, NTP... Et ca a l'air plus facile que son homologue OpenLDAP/Fusiondirectory/Named/OpenXPKI/krb5-*/ntpsec...

Perso je connais par coeur OpenLDAP et son interface web Fusion directory mais effectivement la prise en main est assez compliquée.

Donc oui j te conseilles plutôt FreeIPA si tu n'es pas trop à l'aise avec Linux.

[Chico008]

OK

Pour la partie DNS et DHCP
j'ai donc 2 serveurs distint
un serveur DNs sous ubuntu serveur
et un serveur DHCp sous ubuntu serveur egalement.
les 2 semblent fonctionner, avec un client linux j'arrive bien a avoir une IP

par contre j'ai un doute avec le serveur dns
depuis un client si je fait un nslookup, c'est la resolution interne qui me repond et pas le serveur dns
comment puis je verifier ?

pour le controleur de domaine, je vais tester dans les prochains jours FreeIPA du coup, car ils conseille une distrop basée sur Redhat, donc je vais tester avec un Rocky9.

[A3gisS3c]

Hello,

Oublie nslookup, c'est obsolète et les comportements de cet outil sont inconsistants.
Utilise Dig ou Drill.

Pour freeIPA qui est un outil Redhat, oui je comprends que tu veuilles du Redhat-like.

[Chico008]

Du coup j'ai mon infra
un serveur qui fait office de routeur entre lan LABo isolé et mon lan entreprise/internet (Ubuntu serveur 24)
un serveur dhcp (Ubuntu serveur 24)
un serveur domaien FreeIPA + DNS (Rocky 9)
un serveur de fichier (Ubuntu serveur 24)
deux client linux (ubuntu destop 24 et uu Zorin 19)

routeur, dhcp, domaine OK.
mes clients linux ont pu rejoindre le domaine et j'ai pu y ouvrir une session avec un compte renseigné sous Freeipa.

dernière etape mais ou je bloque, le serveur de fichier.
le serveur a rejoint el domain et samba est actif.
J'ai pu crée un partage accessible par n'importe qui, pas de soucis.

par contre, je cherche a faire un partage accessible que a certains groupe d'utiliateurs (groupe renseigné dans FreeIPA), et la ca coince.
j'ai beau chercher partout, je tombe sur des docs incompletes, ou obsolètes, ou contradictoire, ou pas adaptée >_<
Du coup cette partie est bloquée pour le moment.

Auriez vous une aide complete, de ce qu'il me manquerais comme configuration, etc.
pas de problème pour repartir de 0 pour la conf du serveur de fichier si besoin.

[Chico008]

Bon, n'arrivant avec samba pour le moment, je me suis monter un 2nd serveur de fichier qui fait du partage via NFS.
plus simple a mettre en place et on peut gerer l'acces aux dossiers partagé directement via les droits posix sur les dossiers en mettant les groupe IPA sur les dossiers.

Par contre du coup j'ai une question par rapport a NFS
pour le moment j'ai dossiers mono service.
c'est a dire dans freeipa j'ai mettons un groupe rh, dsi et batiment.
j'ai 3 dossiers nfs exporté : personnel, informatique, batiment.
coté serveur nfs j'ai mis les droits lecture/ecriture sur le dossier selon le groupe, cad que le dossier informatique est en 770 pour root:dsi

Cependant, si je souhaite crée un dossier interservice, accessible a la fois par le groupe dsi et rh, comment je peut positionner les droits coté nfs ?
je ne trouve pas de réponse sur le sujet

[A3gisS3c]

Hello,

Alors malheureusement je ne suis pas expert en NFS (j'ai pas lu le man entier de nfs-kernel-server )

Mais! je te suggère de regarder du coté des ACL Posix (qui sont bien plus flexible que les ACL Unix) -> setfacl et getfacl.
Pour une meilleure compatibilité, NFSv4 bien évidemment.

[Chico008]

Merci je vais aller zieuter cela

[Chico008]

Bon, mon partage via NFS semble fonctionner, mais j'ai un comportement etrange.

J'ai un user qui a le droit d'acceder a un partage nfs.
le serveur est un rocky9 qui fait serveur NFS lié a Freeipa

mon client est un ubuntu dans le domaine, avec un utilisateur du domaine connecté
ce dernier peut monter un lecteur nfs sur lequel il est autorisé (via un sudo mount -t nfs srvfic:/exportnfs /mnt)
par contre, en passant par l'explorateur de fichier, en allant dans autre emplacement, et en tapant nfs://srvfic:/exportnfs je me prend un refus de permission

une idée d'ou viendrais le problème ?