Migrer de Samba3 NT4 à Samba-AD

Cette documentation sert à migrer un Samba PDC NT4 vers un Samba Active Directory.

Le type de domaine NT4, aussi appelé classic dans les documentations Samba fait référence à l’ancien mode de fonctionnement qui émulait un contrôleur de domaine NT4.

On peut avoir un Samba4 en mode NT4. Pour ce cas de figure, le mode de migration est le même.

Préparer l’Active Directory SaMBa4

Installez votre nouvelle machine avec Debian Stretch 64bit basique en suivant cette documentation.

Dans cette documentation, on suppose :

  • que le contrôleur de domaine Samba3 utilise OpenLDAP comme backend ;
  • que le serveur existant Samba3 s’appelle samba3 ;
  • que le nouveau serveur en Debian Stretch 64bit que vous venez d’installer en ayant suivi la documentation d’installation de Samba-AD s’appelle srvads et que le niveau de la forêt et du domaine est en 2008R2 ;
  • que le domaine s’appelle mydomain.lan ;

Dans les instructions décrites ci-dessous, vous remplacerez mydomain.lan avec votre propre nom de domaine et srvads avec le nom de machine de votre choix.

Installer les librairies logicielles complémentaires pour la migration

apt-get install python-ldap libldap2-dev

Migrer la base utilisateurs Samba3

Transférer les données du Samba3 vers le Samba4-AD

  • créer le fichier /root/samba3 sur srvads :
mkdir /root/samba3
  • arrêter le service samba sur samba3 et transférer le contenu de l’annuaire du samba3 vers srvads :
/etc/init.d/samba stop
rsync -aP /var/lib/samba/private/secrets.tdb root@IPsrvads:/root/samba3/
rsync -aP /etc/samba/smb.conf root@IPsrvads:/root/samba3/

où IPsrvads est l’adresse IP de votre nouveau serveur SaMBa4.

  • sur srvads, éditer le fichier /root/samba3/smb.conf et remplacer si besoin le nom du serveur :
netbios name = <srvads>

Migrer de Samba3-NT4 à Samba4-AD

  • aspirer les comptes machines et les comptes utilisateurs :
samba-tool domain samba3upgrade --dbdir=/root/samba3/ --realm='''MYDOMAIN.LAN''' /root/samba3/smb.conf

Hint

Erreurs possibles lors de l’aspiration :

  • impossible de se connecter à la ldap. Dans /root/samba3/smb.conf, si l’IP de connection ldap pointe vers 127.0.0.1, remettre l’IP du samba3 ;
  • SID en doublon ;
  • impossible de récupérer l’uid. Vérifier que l’utilisateur en question a bien ses propriétés posix et corriger l’entrée si besoin (manuellement ou par script) ;
  • vieille référence à un contrôleur de domaine BDC qui n’existe plus : supprimer l’entrée ;
  • groupe et utilisateur avec le même nom : supprimer ou renommer l’un des deux ;

post-configuration

  • sur srvads, rajouter le forwarder DNS dans le fichier /etc/samba/smb.conf :
dns forwarder = 8.8.8.8
  • sur srvads, supprimer la ligne suivante du fichier /etc/samba/smb.conf :
idmap_ldb:use rfc2307 = yes

A l’installation des paquets, le service Samba est automatiquement démarré en tant que serveur de fichiers, le plus simple est de redémarrer le serveur :

reboot
  • modifier /etc/resolv.conf pour qu’il pointe sur lui-même :
search mydomain.lan
nameserver 127.0.0.1
  • vérifier que les entrées DNS sont bien renseignées :
dig @127.0.0.1 srvads.mydomain.lan
dig -t SRV @127.0.0.1 _ldap._tcp.mydomain.lan #(doit renvoyer la machine srvads.mydomain.lan)
dig @127.0.0.1 google.fr

Suite à la Migration

  • reconfigurer les /etc/nsswitch.conf des serveurs utilisant nss_ldap pour utiliser nss_winbind ;
  • rajouter les entrées forward et reverse de tous les serveurs du parc ;