Mise à jour d’un contrôleur de domaine Samba + bind de Debian10 vers Debian11
Cas d’usage : Contrôleur de domaine Samba 4.14.10 + bind9 sous Debian10 (Buster)
Depuis la dernière CVE, les administrateurs Samba sont invités à mettre à jour en 4.15.5 pour corriger le défaut. Voici la procédure.
Attention
Si vous rencontrez un problème lors de la mise à jour du dépôt et si vous obtenez les erreurs gpg : aucune donnée OpenPGP valide trouvée
ou wget : impossible de résoudre l'adresse de l'hôte "mydomain.lan"
, vous devrez vérifier le fichier /etc/resolv.conf
puis ajoutez les lignes suivantes à la fin de /root/.bashrc
:
export http_proxy="http://proxy:3128";
export https_proxy="http://proxy:3128";
Sauvegarder votre contrôleur de domaine (Création du répertoire de sauvegarde)
mkdir /root/backup_samba mkdir /root/backup_samba/named
Arrêt des services
systemctl stop samba-ad-dc systemctl stop bind9
Rsync des données
rsync -aPv /var/lib/samba /root/backup_samba/ rsync -aPv /etc/samba/smb.conf /root/backup_samba/ rsync -aPv /var/lib/samba/bind-dns/ /root/backup_samba/named/ rsync -aPv /etc/default/bind9 /root/backup_samba/named/ rsync -aPv /etc/bind/named.conf.local /root/backup_samba/named/ rsync -aPv /etc/bind/named.conf.options /root/backup_samba/named/
Mettre à jour le dépôt TIS Samba :
wget -qO- https://samba.tranquil.it/tissamba-pubkey.asc | tee /etc/apt/trusted.gpg.d/tissamba.asc sha256sum /etc/apt/trusted.gpg.d/tissamba.asc b3cd8395e3d211a8760e95b9bc239513e9384d6c954d17515ae29c18d32a4a11 /etc/apt/trusted.gpg.d/tissamba.asc echo "deb https://samba.tranquil.it/debian/samba-4.15/ bullseye main" > /etc/apt/sources.list.d/tissamba.list
Changer le fichier source de Debian
/etc/apt/sources.list
:deb http://deb.debian.org/debian bullseye main deb-src http://deb.debian.org/debian bullseye main deb http://deb.debian.org/debian-security/ bullseye-security main deb-src http://deb.debian.org/debian-security/ bullseye-security main deb http://deb.debian.org/debian bullseye-updates main deb-src http://deb.debian.org/debian bullseye-updates main
Vérifier
/etc/apt/sources.list.d/
puis sélectionner tissamba.list et changer la version de Samba si nécessaire :deb https://samba.tranquil.it/debian/samba-4.19/ bullseye main
Mettre à jour la machine
export DEBIAN_FRONTEND=noninteractive apt-get update -y apt-get dist-upgrade -y unset DEBIAN_FRONTEND
Redémarrer la machine
reboot
Après redémarrage, vérifier la version de bind9
[root@srvads1.mydomain.lan bind]# named -V BIND 9.16.22-Debian (Extended Support Version)
Modifier le fichier
/etc/bind/named.conf.local
pour que la version de bind9 correspondedlz "mydomain.lan" { database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_16.so"; };
Après modification, vous pouvez redémarrer le service
systemctl restart bind9
Tests et validation :
samba-tool --version samba-tool drs showrepl --summary samba-tool dbcheck --cross-ncs --fix --yes dig @localhost google.fr dig @localhost $(hostname -d) kinit klist