Le Synology En Pdc (primary Domain Controler)

[jlcms]

Bonjour à tous,

Je disposais jusqu'à la semaine dernière d'un serveur de fichier et controleur de domaine sous la forme d'un PC avec une Linux Redhat 7.1.

Malheureusement une coupure EDF a zigouillée mon /root et mon serveur est mort.

J'ai pu récupérer l'ensemble des fichiers utilisateurs sur un autre disque.

Pour éviter de me trouver à nouveau dans cette situation j'ai investi dans un DS207+ avec deux disques WD 500Go (j'ajouterai un onduleur par la suite). Je disposais déjà d'un DS106e qui me permettait de placer mes photos sur internet.

Je pensais utiliser le DS207+ uniquement pour les fichiers et rajouter un serveur d'authentification sous linux, sachant très bien que le DS207+ ne pouvait que se joindre à un domaine et ne pouvait pas être PDC.

Lors de l'installation du DS207+, je me suis rendu compte qu'il était possible de modifier le fichier /usr/syno/etc/smb.conf sans que l'interface de gestion du syno ne massacre les lignes ajoutées.

J'ai donc essayer de rajouter les lignes qui le transforme en PDC, mais en vain.

Je me suis rendu compte que les programmes nmbd et smbd n'étaient pas conforme à ce que l'on peut trouver sous linux avec en particulier des tas d'options manquantes comme -d pour debuger.

Pour arriver à rendre les smbd et nmbd conforme aux vrais serveur samba, il suffirait juste de recompiler samba, soit directement sur le ds207+ en installant les packages de dev et samba, soit avec une compilation croisée.

Quelqu'un saurait-il me les recompiler?

[jlcms]

Bon,

J'ai un peu progressé depuis hier.

Lorsque l'on ajoute les lignes dans le smb.conf:

</P>

[global]

		printcap name=/usr/syno/etc/printcap

		winbind enum groups=yes

		idmap uid=10000-30000

		socket options=TCP_NODELAY

		realm=*

		idmap gid=10000-30000

		passdb backend=smbpasswd

		printing=lprng

		winbind enum users=yes

		load printers=yes

		workgroup=SALADE

		#

		#	   Primary Domain Controler

		#

		security=user

		domain logons = yes

		domain master = yes

		encrypt passwords = yes

		enable privileges = yes

		# optional pdc parameters

		os level = 33

		preferred master = yes

		local master = yes

		#

		#	   Add machines script

		#

		add machine script = /bin/adduser -H -D -g 'NT Domain Machine' -G machines -h /dev/null -s /bin/false '%u'

		delete user script = /bin/deluser %u

[netlogon]

		comment = Netdwork Logon Service

		path = /data/netlogon

		read only = yes

		write list = +ntdomadmins <P>

Ensuite on crée les groupes unix qui vont bien:

addgroup -G 512 ntdomadmins

addgroup machines

ensuite on relance samba avec la ligne

/usr/syno/etc.defaults/rc.d/S80samba.sh restart

On a un controleur de domaine actif. Il me reste à éclaircir comment on ajoute un utilisateur type 'Domain Admins' qui permet de rajouter des stations de travail au domaine. La piste que j'ai est d'utiliser la commande 'net'

Reservoir> net</P> <P>Usage:</P> <P>Usage:

  net time			  to view or set time information

  net lookup			to lookup host name or ip address

  net user			  to manage users

  net group			 to manage groups

  net groupmap		  to manage group mappings

  net join			  to join a domain

  net cache			 to operate on cache tdb file

  net getlocalsid [NAME]		to get the SID for local name

  net setlocalsid SID   to set the local domain SID

  net changesecretpw	to change the machine password in the local secrets data

base only

						this requires the -f flag as a safety barrier

  net status			Show server status

  net usersidlist	   to get a list of all users with their SIDs</P> <P>  net ads #command$	 to run ADS commands

  net rap #command$	 to run RAP (pre-RPC) commands

  net rpc #command$	 to run RPC commands</P> <P>Type  net help #option$  to get more information on that option

Valid targets: choose one (none defaults to localhost)

		-S or --server=#server$		 server name

		-I or --ipaddress=#ipaddr$	  address of target server

		-w or --workgroup=#wg$		  target workgroup or domain</P> <P>Valid miscellaneous options are:

		-p or --port=#port$			 connection port on target

		-W or --myworkgroup=#wg$		client workgroup

		-d or --debuglevel=#level$	  debug level (0-10)

		-n or --myname=#name$		   client name

		-U or --user=#name$			 user name

		-s or --configfile=#path$	   pathname of smb.conf file

		-l or --long					Display full information

		-V or --version				 Print samba version information

		-P or --machine-pass			Authenticate as machine account

Reservoir>

J'ai attrapé ces info sur le forum qnap!

forum qnap sur le PDC

J'ai déjà réussi à voir apparaitre une fenêtre avec 'bienvenue dans le domaine SALADE' mais depuis que j'ai tenté une suppression de compte machine plus rien ne va.

Il faut aussi tenir compte du fait que depuis la version 3 de samba la gestion de l'authentification a changé et ce n'est plus aussi simple.

Je continue mes recherches, mais si quelqu'un veut me donner des pistes je suis preneur.

[ikeke]

Désolé je ne peux t'aider car c'est bien au dela de mes compétences. Cependant tes découvertes m'interessent fortement et j'espère que tu continuera à nous faire part de l'évolution de tes recherches

[jlcms]

Bon,

J'ai questionné le support de synology avec les questions suivantes:

Hello,

I want to transform my DS207+ as a "Windows NT4 Primary Domain Controler".

I know it is not a supported feature.

I need to have "profile" feature on my network and I don't want to add another PC only for domain autentification. The reason is that I choose Synology for power consumption + performance.

So I have edit the smb.conf file (joined)

With my Windows XP Pro system I can add Workstation to the domain, and I have seen many times the message: "welcome in SALADE domain".

The problem is when I want to connect to the domain with a user I get a message "Unable to join the domain controler ..."

1. Is it a limitation? Did you compile a special version of samba in order to remove this feature from samba? Did you cancel all "netlogon/profile/home" services and shares?

If this is like that I will not spend anymore time on this "underground mods".

2. If there is no limitation: Did you change a standard default parameter of samba witch is in conflict with the PDC feature?

3. If this is a complet standard version of samba, Is it possible to get nmbd and smbd deamon witch produce more information on log file (another compilation of smbd,nmbd). Because I didn't get any clear message even changing "log" option in smb.conf file.

Ils m'ont répondu:

Dear Jean-Louis,

Thank you for your feedback.

As to the samba issue, yes we have modified samba, which may let you struggle in this mod. Maybe you could visit our forum, which includes many powerful users in modding:

http://www.synology.com/enu/forum/index.php?c=8

As to the question3, it seems that you want to check if your defined event show in the log. If I understand correctly, please flow the steps below:

1. edit /usr/syno/synosdk/texts/enu/events and add his string:# vi /usr/syno/synosdk/texts/enu/events [90000000]

90000001 = "This is my log." 2. run syslogset1 to set log: # synologset1 sys info 0x90000001 USAGE : synologset1 [sys | man | conn] [info | warn | err] eventID(%X)

If you have further questions or suggestions, please feel free to contact Synology support again.

Sincerely,

Adair

Leur réponse peut laisser penser que réaliser un PDC sans modifier le code reste difficile.

Je vais d'abord examiner les logs comme ils l'indiquent pour voir si j'ai fait une boulette (ce qui est le plus probable).

De plus j'ai commandé le source GPL du firmware 518, je pourrai donc examiner à quel endroit ils ont bloqué quelque chose (s'ils ont bloqué ce qui n'est pas sûr).

Ensuite je m'oriente vers une recompilation de Samba à partir des sources www.samba.org.

Enfin pour ceux que cela intéresse je recommande la lecture de "Samba, Installation et mise en oeuvre" 3ème edition, aux éditions O'Reilly.

[jlcms]

Juste un truc pour compléter les info du forum QNAP:

Pour ajouter un lien entre les groupes Unix et les groupes NT il faut utiliser la commande "net groupmap modify" à la place de la commande "net groupmap add". En effet les groupes NT sont déjà présents dans la liste et mappé vers quelque chose (-1) et il faut juste rajouter le lien.

Je ne sais pas si ça peut aider ceux qui tentent comme moi de transformer le DS207+ en PDC.

[jlcms]

J'ai aussi trouvé des packages pour le DS207+ qui peuvent servir:

http://ipkg.nslu2-linux.org/feeds/optware/....2.12-1_arm.ipk

http://ipkg.nslu2-linux.org/feeds/optware/....0.28-1_arm.ipk

Apparemment ce sont des sambas précompilés pour le processeur du DS207+ DS107+

[ikeke]

J'ai aussi trouvé des packages pour le DS207+ qui peuvent servir:

http://ipkg.nslu2-linux.org/feeds/optware/....2.12-1_arm.ipk

http://ipkg.nslu2-linux.org/feeds/optware/....0.28-1_arm.ipk

Apparemment ce sont des sambas précompilés pour le processeur du DS207+ DS107+

Ils font effectivement partis des 900 packages dispos pour 107+, 207+, CS407 et RS407.

[jlcms]

Bonsoir,

Les choses s'amméliorent.

J'ai installé ipkg.

J'ai installé le package samba 3:

Samba 3.0.28

J'ai replacé mes smb.conf et compagnie dans les bons repertoires.

J'ai stoppé les deamon samba à la main.

Je les ai redémarrés.

J'ai enfin pu avoir une connexion à mon domaine avec un profile utilisateur.

Il reste à évaaluer comment intégrer tous ça sans perdre de fonctionalité.

Apparemment je vais perdre les journaux de connexion.

Je creuse le sujet et je vous tiens au courant.

En tout cas on peut le transformer en pdc.

[jlcms]

Désolé je ne peux t'aider car c'est bien au dela de mes compétences. Cependant tes découvertes m'interessent fortement et j'espère que tu continuera à nous faire part de l'évolution de tes recherches

Comme tu l'as vu j'ai posté un tuto sur le sujet.

En revanche le redémarrage du Syno n'est pas clean.

En effet le shell /usr/syno/etc/rc.d/S80samba.sh ne se lance pas automatiquement au démarrage.

De plus le Syno vient modifier le smb.conf, lorsque l'on arrête le Syno. Il rajoute des sections dans le fichier correspondants aux partages utilisateurs de la section [homes], en remplacant les %U par les valeurs des utilisateurs.

Pour s'en sortir j'aurais besoin de déclancher un script à chaque fois que le Syno vient modifier le fichier smb.conf, uniquement lors des demande de l'utilisateur de manière à sauvegarder le smb.conf fabriqué à ce moment par le syno.

Quelqu'un a un tuyau?