Installer et configurer Bind-DLZ pour Samba-AD

Bien que Samba-AD vienne par défaut avec son propre serveur DNS interne, Tranquil IT recommande l’usage de Bind-DLZ.

Le serveur Samba-AD sera probablement sur un réseau NATé et il sera alors préférable de configurer un forwarder DNS :

• Installer le paquet Bind :

  apt-get install bind9
  

• Modifier la section options du fichier /etc/bind/named.conf.options (penser à modifier le forwarder) :

  options {
    directory "/var/cache/bind";
  
    forwarders {
            1.1.1.1;
    };
  
    allow-query {  any;};
  
    dnssec-validation no;
  
    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { any; };
  
    tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
  
    minimal-responses yes;
  };
  

• Modifier la section local du fichier /etc/bind/named.conf.local :

  dlz "mydomain.lan" {
  # For BIND 9.10.0
  database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so";
  };
  

• Désactiver le bind en IPv6 sur le réseau local, dans /etc/default/named :

  # run resolvconf?
  RESOLVCONF=no
  
  # startup options for the server
  OPTIONS="-4 -u bind"
  

Indication

Le plugin DLZ doit accéder directement aux bases LDB de Samba (l’équivalent de NTDS.DIT). Ce mode de fonctionnement n’est certes pas optimal pour la séparation des services au sein de l’AD. Toutefois, il est nécessaire.

• Dans le fichier /etc/samba/smb.conf, ajouter la ligne suivante et commenter la ligne dns forwarders :

  [global]
  ...
  server services = -dns
  # dns forwarder =
  

Indication

Les commandes suivantes vont créer un compte dans le serveur AD pour le serveur Bind. Cela n’est pas nécessaire si l’on ne veut pas bénéficier des mises à jour dynamiques (ce qui peut être éventuellement souhaitable).

• Créer deux répertoires dans /var/lib/samba :

  mkdir /var/lib/samba/bind-dns
  mkdir /var/lib/samba/bind-dns/dns
  

• Configurer les mises à jour dynamiques des entrées DNS :

  samba_upgradedns --dns-backend=BIND9_DLZ
  

• Enfin relancer les services samba et bind :

  systemctl restart samba-ad-dc
  systemctl restart bind9
  

Vérifier la bonne configuration de Bind et de DLZ

• Vérifier que c’est bien le serveur bind qui écoute sur le port 53 :

  netstat -tapn | grep 53
    tcp     0    0 192.168.149.11:53    0.0.0.0:*    LISTEN      5291/named
  

• Tester des requêtes locales et des requêtes en récursion :

  dig @localhost google.fr
  dig @localhost srvads.mydomain.lan
  dig -t SRV @localhost _ldap._tcp.mydomain.lan
  

Félicitations, votre configuration avance et vous venez de franchir un pas supplémentaire vers la solidité et l’efficacité de votre installation Samba-AD.

Maintenant, nous allons configurer le service NTP pour que votre Samba-AD et les stations de travail de votre réseau soient tous bien à la bonne heure et synchronisés !!