SMPFR

hello,

madame et le petit se couchent tôt, il fait nuit tard et ya pas de taf le lendemain.
ça laisse donc du temps pour s'adonner a sa passion favorite, mettre les mains dans le cambouis (non, je parle pas de la trottinette dans le garage )

donc, vu les tarifs des nouveaux kimsufi chez OVH, j'en ai pris un.
la j'attend qu'il soit livré.

a quoi ça va servir:
-- backup des VM a la maison
-- DC secondaire (samba 4)
-- repli des fichiers (j'aurais bien voulu étendre mon DFS avec une repli, mais c'est pas géré par samba)
-- un ti serveur RDP, on va voir si ça plait a madame (elle connait pas du tout linux)


comment ça va se passer:
-- tunnel IPSEC entre la maison et le kimsufi
-- serveur ftp qui va écouter uniquement sur le tunnel
-- samba installé et idem, écoute uniquement sur le tunnel


moyens techniques a mettre en place:
coté OVH:
-- debian 7 de base (pas la version OVH, veut pas me faire chier avec leur tuning/paquets proprio)
-- openswan pour le tunnel IPSEC
-- samba 4 (cf. leur site pour la mise en place du DC et ce qui va autour)
-- rsync pour la repli de fichiers
-- proftpd pour le serveur ftp
-- iptables pour filtrer tout ça (gizmo, je vais reprendre la conf qu'on a vu ensemble, merci )

coté maison (dans une VM sur esxi, puis sur un wyse bricolé si tout va bien)
-- dans la DMZ de la freebox
-- debian 7 de base
-- openswan pour le tunnel IPSEC
-- iptables (bah oui, on sera en DMZ)
-- modifier mon DHCP pour faire pointer les DNS vers le local et le kimsufi + envoyer aux clients la route pour accéder au kimsufi (je garde la freebox en passerelle par défaut, comme ça en cas de panne, ya toujours internet)


a terme:
couper mon esx a la maison !!!!
actuellement, il contiens le DC 2003, DNS évidement, DHCP, file serveur
le but est donc de tout remonter a distance (un peu en mode SAS) et couper la machine locale (bruit/elec etc... )
sauf les services vitaux genre DNS/DHCP/VPN qui seront sur le wyse (7W de conso en full.....)


pour info, on n'utilise a la maison quasi plus de PC, on a tous les 2 un Smartphone, j'ai remplacé les PCs par des clients légers (RDP)
reste le V8, qu'on allume quasi plus (1-2 fois par mois) et le laptop (pour les voyages/vacances/skype avec les mamies du petit qui sont un peu éloignées)

je pense que tout est faisable, je vois rien de bloquant.
comme vous pouvez le constater, pas besoin de ressources monumentales donc un kimsufi 2G devrait suffire (j'ai monté pour le taf des VM avec plus ou moins les mêmes services, le CPU est a 0 en quasi permanence, dépasse jamais 2% et la RAM utilisées est

conf locale (a la maison)
/etc/ipsec.secrets: (la ou sont stockées les clef pour le tunnel et serveur L2TP)

# This file holds shared secrets or RSA private keys for inter-Pluto
# authentication.  See ipsec_pluto(8) manpage, and HTML documentation.

# RSA private key for this host, authenticating it to any other host
# which knows the public part.  Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".

# this file is managed with debconf and will contain the automatically created RSA keys
123.123.123.123 234.234.234.234 : PSK "MACLEF"
123.123.123.123 %any: PSK "MACLEF"
123.123.123.123 : PSK "MACLEF"

include /var/lib/openswan/ipsec.secrets.inc

/etc/ipsec.conf:

# /etc/ipsec.conf - Openswan IPsec configuration file

# This file:  /usr/share/doc/openswan/ipsec.conf-sample
#
# Manual:     ipsec.conf.5


version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        interfaces=%defaultroute
        nat_traversal=yes
        # exclude networks used on server side by adding %v4:!a.b.c.0/24
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!172.16.35.0/24
        oe=off
        protostack=netkey
        plutoopts="--interface=eth0"

# Add connections here

conn L2TP-PSK-SERVER
        authby=secret
        pfs=no
        rekey=yes
        keyingtries=3
        left=192.168.0.254
        leftprotoport=17/1701
        right=%any
        rightprotoport=17/%any
        auto=start

conn NET-TO-NET
        authby=secret
        pfs=no
        rekey=yes
        auth=esp
        esp=3des-sha1
        ike=3des-sha1
        ikev2=no
        compress=no
        keylife=24h
        ikelifetime=8h

    left=192.168.0.254               # Local vitals (IP de la machine, pas publique)
    leftsubnet=192.168.0.0/24
    leftid=123.123.123.123      # on s'en fiche un peu, on met l'IP publique de la machine
    leftnexthop=%defaultroute
    leftsourceip=192.168.0.254

    right=234.234.234.234                 # Remote vitals (ici ip de la machine = ip locale
    rightsubnet=0.0.0.0                     # 172.16.35.0/24
    rightid=234.234.234.234
    rightnexthop=%defaultroute
    rightsourceip=172.16.35.1

    auto=start

/etc/network/if-up.d/iptables (avec un chmod +x) permet de recharger la conf iptables au demarrage

#!/bin/sh -e
echo 1 > /proc/sys/net/ipv4/ip_forward
for i in /proc/sys/net/ipv4/conf/*/send_redirects ; do echo 0 > $i; done
for i in /proc/sys/net/ipv4/conf/*/accept_redirects ; do echo 0 > $i; done
iptables-restore /etc/iptables.conf

/etc/iptables.conf (la conf iptables en elle meme), a mettre a jour avec iptables-save > /etc/iptables.conf

# Generated by iptables-save v1.4.14 on Sun Oct 27 22:35:08 2013
*filter
:INPUT DROP [22:2675]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [44:12616]
:LOG_REJECT_SMTP - [0:0]
-A INPUT -p tcp -m tcp --dport 24 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --name ssh --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 24 -m state --state NEW -m recent --set --name ssh --rsource
-A INPUT -s 61.64.128.0/17 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 122.120.0.0/13 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 168.95.0.0/16 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -p tcp -m tcp --tcp-flags FIN,PSH,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 172.16.35.0/24 -j ACCEPT
-A FORWARD -d 172.16.35.0/24 -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A LOG_REJECT_SMTP -j LOG --log-prefix " SMTP REJECT PAQUET : "
-A LOG_REJECT_SMTP -j DROP
COMMIT
# Completed on Sun Oct 27 22:35:08 2013

on modifie le serveur DHCP pour qu'il envoie l'option 249 (classless static routes)
l'avantage c'est qu'on peut en mettre autant qu'on veut, doncsi je veux router qqch par OVH, c'est ici que ça se passe
172.16.35.0 / 255.255.255.0 / 192.168.0.254 (ça va router tous les paquets destinés au kimsufi vers la passerelle VPN)

conf distante (le kimsufi)
on crée une carte virtuelle pour pas que les paquets sortent a un quelconque moment

tunctl -t eth1

a ajouter a /etc/network/interfaces :

auto eth1
iface eth1 inet static
address 172.16.35.1
netmask 255.255.255.0

a ajouter a /etc/hosts:

172.16.35.1             host.mon-domaine  host

/etc/ipsec.secrets: (la ou sont stockées les clef pour le tunnel et serveur L2TP)

# This file holds shared secrets or RSA private keys for inter-Pluto
# authentication.  See ipsec_pluto(8) manpage, and HTML documentation.

# RSA private key for this host, authenticating it to any other host
# which knows the public part.  Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".

# this file is managed with debconf and will contain the automatically created RSA keys
234.234.234.234 123.123.123.123 : PSK "MACLEF"
234.234.234.234 %any: PSK "MACLEF"
234.234.234.234 : PSK "MACLEF"

include /var/lib/openswan/ipsec.secrets.inc

/etc/ipsec.conf:

# /etc/ipsec.conf - Openswan IPsec configuration file

# This file:  /usr/share/doc/openswan/ipsec.conf-sample
#
# Manual:     ipsec.conf.5


version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        interfaces=%defaultroute
        nat_traversal=yes
        # exclude networks used on server side by adding %v4:!a.b.c.0/24
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!172.16.35.0/24
        oe=off
        protostack=netkey
        plutoopts="--interface=eth0"

# Add connections here

conn L2TP-PSK-SERVER
        authby=secret
        pfs=no
        rekey=yes
        keyingtries=3
        left=91.121.99.206
        leftprotoport=17/1701
        right=%any
        rightprotoport=17/%any
        auto=start

conn NET-TO-NET
        authby=secret
        pfs=no
        rekey=yes
        auth=esp
        esp=3des-sha1
        ike=3des-sha1
        ikev2=no
        compress=no
        keylife=24h
        ikelifetime=8h

    left=234.234.234.234                 # Local vitals IP locale a la machine = ip publiqe
    leftsubnet=0.0.0.0/0                  # 172.16.35.0/24
    leftid=234.234.234.234         # on utilise l'IP publique comme ID
    leftnexthop=%defaultroute
    leftsourceip=172.16.35.1

    right=123.123.123.123                 # Remote vitals IP publique distante
    rightsubnet=192.168.0.0/24
    rightid=123.123.123.123          # on s'en fiche un peu, on prend l'IP publique distante
    rightnexthop=%defaultroute
    rightsourceip=192.168.0.254

    auto=start

/etc/network/if-up.d/iptables (avec un chmod +x) permet de recharger la conf iptables au demarrage

#!/bin/sh -e
echo 1 > /proc/sys/net/ipv4/ip_forward
for i in /proc/sys/net/ipv4/conf/*/send_redirects ; do echo 0 > $i; done
for i in /proc/sys/net/ipv4/conf/*/accept_redirects ; do echo 0 > $i; done
iptables-restore /etc/iptables.conf

/etc/iptables.conf (la conf iptables en elle meme), a mettre a jour avec iptables-save > /etc/iptables.conf

# Generated by iptables-save v1.4.14 on Fri Oct  3 11:49:24 2014
*nat
:PREROUTING ACCEPT [173939:24345914]
:INPUT ACCEPT [76206:3243445]
:OUTPUT ACCEPT [182776:37617803]
:POSTROUTING ACCEPT [2650:194038]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 172.16.35.2:3389
-A POSTROUTING ! -s 172.16.35.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 172.16.35.0/24 ! -d 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Oct  3 11:49:24 2014
# Generated by iptables-save v1.4.14 on Fri Oct  3 11:49:24 2014
*filter
:INPUT DROP [63638:18931695]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [394186:74356250]
:LOG_REJECT_SMTP - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --name ssh --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource
-A INPUT -s 61.64.128.0/17 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 122.120.0.0/13 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 168.95.0.0/16 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -p tcp -m tcp --tcp-flags FIN,PSH,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -s 172.16.35.0/24 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -s 234.234.234.234/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3390 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.35.0/24 -j ACCEPT
-A FORWARD -d 172.16.35.2/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A LOG_REJECT_SMTP -j LOG --log-prefix " SMTP REJECT PAQUET : "
-A LOG_REJECT_SMTP -j DROP
COMMIT
# Completed on Fri Oct  3 11:49:24 2014

install de samba4 (on rejoins un domaine existant, 192.168.0.2 est le PDC/DNS, le fqdn du domaine est mon-domaine)
d'abord faut savoir que les package sur le repo debian sont juste antédiluviens (beta 2)
du coup, on va aller chercher les build samba directement:

on installe de quoi recuperer des package en https:

apt-get install apt-transport-https

on installe la clef des repo samba

wget http://ftp.sernet.de/pub/sernet-samba-k ... .4_all.deb
dpkg -i sernet-samba-keyring_1.4_all.deb

on ajoute les repo samba: vi /etc/apt/sources.list

deb http://debian.mirrors.ovh.net/debian/ wheezy main
deb-src http://debian.mirrors.ovh.net/debian/ wheezy main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main

deb ftp://ftp.debian.org/debian stable main contrib non-free

deb https://USER:KEY@download.sernet.de/pac ... 4.1/debian wheezy main
deb-src https://USER:KEY@download.sernet.de/pac ... 4.1/debian wheezy main

USER:KEY est a remplacer par les votre bien sur, il faut vous enregistrer ici pour les avoir: https://portal.enterprisesamba.com/ (GPL)
accessoirement, les package sont maintenus directement par samba, donc on est assuré d'avoir un truc qui marche (mieux que recuperer les sources et compiler je pense)

on verifie qu'il n'y a pas de DNS deja installé:

netstat -an |grep ":53"

ne doit rien retourner => sinon, on vire les packets qui font server DNS

on installe les packets: (ça va vous proposer d'installer les dependances, faites vous plaisir)

apt-get upgrade
apt-get install sernet-samba
apt-get install sernet-samba-ad
apt-get install sernet-samba-client
apt-get install sernet-samba-common
apt-get install sernet-samba-libs
apt-get install sernet-samba-winbind

on verifie que ça s'est installé:

~# samba -V
Version 4.1.2-SerNet-Debian-7.wheezy

c'est le moment de verifier que le nom de la machine est correct et que le domaine aussi !

~# cat /etc/hostname
host.mon-domaine
~# cat /etc/resolv.conf
nameserver 172.16.35.1
nameserver 192.168.0.2
search mon-domaine
domain mon-domaine

vous remarquerez en passant que la recherche DNS s'effectue en priorité en local puis sur le serveur DNS deja en prod (qui est aussi le PDC). evidement, pour l'instant, rien ne repondra en local

ne pas oublier de mettre les options dans le /etc/fstab (necessite un reboot !): par exemple

/dev/hda3               /home                   ext4    user_xattr,acl,barrier=1     1 1

user_xattr,acl sont indispensables
barrier=1 est optionnel, desactive le cache en ecriture pour securiser la base AD. a mettre si soucis de stabilité de la machine ou EDF !!!!
après reboot, on verifie que l'option est bien active sur les partoches:

/# dmesg | grep "mounted filesystem"
[    3.813227] EXT4-fs (sda5): mounted filesystem with ordered data mode. Opts: (null)
[    8.739069] EXT4-fs (sda5): re-mounted. Opts: (null)
[    8.989177] EXT4-fs (sda5): re-mounted. Opts: errors=remount-ro,user_xattr,acl
[   12.107620] EXT4-fs (sda1): mounted filesystem with ordered data mode. Opts: errors=remount-ro
[   12.142708] EXT4-fs (sda7): mounted filesystem with ordered data mode. Opts: user_xattr,acl
[   12.168033] EXT4-fs (sda8): mounted filesystem with ordered data mode. Opts: acl
[   12.366813] EXT4-fs (sda9): mounted filesystem with ordered data mode. Opts: acl

j'ai bien l'option acl sur /, /home, /var, et /data (pas necessaire, mais RFU)

la suite de la doc est l'application du tuto officiel de samba4 ici: http://wiki.samba.org/index.php/Samba4/ ... in_as_a_DC

quelques infos necessaire avant l'application bete et mechante du tuto:
j'ai eu des soucis avec l'IP virtuelle:
il faut ajouter dans /etc/samba/smb.conf 2 petites lignes de rien du tout:

        interfaces = eth1
        bind interfaces only = true

la premiere pour indiquer sur quelle interface/IP ecouter (sinon ça prend par defaut eth0 et lo) et la seconde pour dire de n'ecouter QUE sur les interfaces specifiées et ne pas ecouter sur celles par defaut.

/# /usr/bin/samba-tool domain join mon-domaine DC -Uadministrateur --realm=mon-domaine --ipaddress=172.16.35.1
Finding a writeable DC for domain 'mon-domaine'
Found DC dcwindows.mon-domaine
Password for [WORKGROUP\administrateur]:
workgroup is MON-DOMAINE
realm is mon-domaine
checking sAMAccountName
Adding CN=HOST,OU=Domain Controllers,DC=mon-domaine
Adding CN=HOST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mon-domaine
Adding CN=NTDS Settings,CN=HOST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mon-domaine
Adding SPNs to CN=HOST,OU=Domain Controllers,DC=mon-domaine
Setting account password for HOST$
Enabling account
Calling bare provision
Provision OK for domain DN DC=mon-domaine
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=mon-domaine] objects[402] linked_values[0]
Schema-DN[CN=Schema,CN=Configuration,DC=mon-domaine] objects[804] linked_values[0]
Schema-DN[CN=Schema,CN=Configuration,DC=mon-domaine] objects[1206] linked_values[0]
Schema-DN[CN=Schema,CN=Configuration,DC=mon-domaine] objects[1266] linked_values[0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=mon-domaine] objects[402] linked_values[0]
Partition[CN=Configuration,DC=mon-domaine] objects[804] linked_values[0]
Partition[CN=Configuration,DC=mon-domaine] objects[1206] linked_values[0]
Partition[CN=Configuration,DC=mon-domaine] objects[1525] linked_values[0]
Replicating critical objects from the base DN of the domain
Partition[DC=mon-domaine] objects[94] linked_values[0]
Partition[DC=mon-domaine] objects[310] linked_values[0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=mon-domaine
Partition[DC=DomainDnsZones,DC=mon-domaine] objects[76] linked_values[0]
Replicating DC=ForestDnsZones,DC=mon-domaine
Partition[DC=ForestDnsZones,DC=mon-domaine] objects[6] linked_values[0]
Partition[DC=ForestDnsZones,DC=mon-domaine] objects[12] linked_values[0]
Committing SAM database
descriptor_sd_propagation_recursive: DC=DomainDnsZones,DC=mon-domaine not found under DC=mon-domaine
descriptor_sd_propagation_recursive: DC=ForestDnsZones,DC=mon-domaine not found under DC=mon-domaine
Sending DsReplicateUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain MON-DOMAINE (SID S-1-5-21-1436941627-3871854106-3516682030) as a DC

on verifie la replication:

samba-tool drs showrepl

on doit voir le partnaire (le dcwindows) et evidement, pas d'erreur

tant qu'on y est, on verifie dans l'eventlog du DCwindows qu'il n'y a pas d'erreur dans la section Directory Services (les logs de l'AD)
en l'occurence j'avais des erreurs sur la repli du shema. resolu par:

samba-tool drs replicate host dcwindows CN=Schema,CN=Configuration,DC=mon-domaine --sync-forced --local -Uadministrator
samba-tool drs replicate host dcwindows CN=Configuration,DC=mon-domaine --sync-forced --local -Uadministrator
samba-tool drs replicate host dcwindows DC=mon-domaine --sync-forced --local -Uadministrator
samba-tool drs replicate host dcwindows DC=ForestDnsZones,DC=mon-domaine --sync-forced --local -Uadministrator
samba-tool drs replicate host dcwindows DC=DomainDnsZones,DC=mon-domaine --sync-forced --local -Uadministrator

ça force la repli du shema de dcwindows vers host

on force une MAJ du DNS:

samba_dnsupdate --no-credentials --option="interfaces = lo eth1"

on vérifie que l'authentification fonctionne bien !

root@host:~# kinit administrator
Password for administrator@MON-DOMAINE:
root@host:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MON-DOMAINE

Valid starting       Expires              Service principal
26/12/2013 08:19:19  26/12/2013 18:19:22  krbtgt/MON-DOMAINE@MON-DOMAINE
        renew until 27/12/2013 08:19:19

c'est du a un conflit entre la conf kerberos système et celle de samba.
en fait, il faut forcer le système a utiliser celui de samba qui est plus ou moins configuré automatiquement avec les infos du domaine

root@host:~# locate krb5.conf
/etc/krb5.conf
/usr/share/kerberos-configs/krb5.conf.template
/usr/share/samba/setup/krb5.conf
/var/lib/samba/private/krb5.conf

le système utilise celui dans /etc, samba celui dans /var/lib/samba/private
resolu par

ln -s /var/lib/samba/private/krb5.conf /etc/krb5.conf

après les verifs d'usage, (requete DNS en local, creation/suppression d'un utilisateur coté Windows et verification de l'ajout/suppression coté samba, eventlog, etc...)
installation de samba comme service:
https://wiki.samba.org/index.php/Samba4/InitScript

le partage sysvol/netlogon a remplir a partir du dcwindows:
http://smpfr.mesdiscussions.net/smpfr/S ... htm#t29209

Enjoy

pas de soucis pour l'iptables ^^

je l'ai modifié un peu pour ajouter des services mais sinon ca tourne au poil, ossec me remonte quasi plus de tentatives d'accès

par contre soit pas trop pressé pour l'avoir le ks car j'ai commandé jeudi dernier et je l'ai toujours pas

le miens me servira aussi de backup mais c'est tout car connexion de merde

par contre soit pas trop pressé pour l'avoir le ks car j'ai commandé jeudi dernier et je l'ai toujours pas

OVH répète en continu qu'ils tiendront les délais max annoncés a savoir 10jours après commande/paiement.
après savoir si c'est ouvrés / calendaires

je suis car je m’ennuie un peu et cela me donne des idées aussi

je suis aussi
si j'ai du courage, je fais un post quand je commence à mettre mon lab en place (que ne ferait-on pas pour bosser 2 a 3 jours par semaine à la maison ?)

Ah je suis pas le seul à mettre les mains dans le cambouis pendant les vacs.
Par contre moi c'est tout de suite moins util ^^'

Achat d'un Nom domaine chez OVH (6€ ).
Récupération d'un Optiplex 755 qui traînait dans ma chambre et je lui ai mis un petit 2To dans le bide.
Passage à Ubuntu server 12.04 et là c'est parti pour le grand n'importe quoi.

WNDR4000
DD-WRT v24 sp2 Mega

Optiplex 755:
-mail (Postfix + dovecot)
-webmail (roundcube)
-stream (subsonic)
-forum pour ma classe (phpbb3)
-Serveur de jeu (Minecraft 1.5.2, CoD2)
-Cloud (Owncloud)
-Pastebin
-Samba
-Dlna (Mediatomb)

Je galère pour le serveur mail par contre ... Voilà si ça peu te donner des idées

serveur CoD2 miammmmm ! !!!!! je l'ai encore sur le pc d'ailleurs
quel pied avec cod-uo et cod1

espère avoir ma nouvelle voiture pour installation alarme personnalisée

installé une partie de mon materiel , cela c'est entassé et retrouve des trucs neuf de 2 ans sur mon bureau jamais déballé .....

serveur CoD2 miammmmm ! !!!!! je l'ai encore sur le pc d'ailleurs
quel pied avec cod-uo et cod1

On pourra bientôt faire des parties si tu veux.

Sinon le projet en est où ?

le projet a un peu avancé hier soir, j'ai la VM linux a la maison. je suis en train de jouer avec en attendant d'avoir le KS

coté OVH ça chie dans la colle terrible.

ma commande est toujours en stand-by, OVH a annoncé avoir annulé les commandes par paypal (ce qui est mon cas) mais rien n'a bougé :/

donc j'attends..... fait chier

Les Ks victimes de leur succès ? ^^
Vm qui tourne sous Esx ?

de mon coté refonte du réseau wifi et drôle de surprise
je suis obligé de reamplifier mon signal pour couvrir toute la maison
Moin point d'acces ne broadcaste pas le ssid (mon choix) mais le réamplificateur si

Les Ks victimes de leur succès ? ^^
Vm qui tourne sous Esx ?

1/ non, organisation ovh merdique
2/ oui, ca me permet de valider quelques trucs en attendant le ks

après appel au service commercial OVH, les commandes sont bien annulées, les bons de commande n'ont pas ét émis a jour.
je viens de repasser commande par CB (impossible de faire annuler le reglement sur l'ancienne et repayer par CB)

C'est bête ca :/
Et pour qu'elle raison c'est annulé ? trop de commandes ?

Impossible de vérifier la limitation a 3/personne

après appel au service commercial OVH, les commandes sont bien annulées, les bons de commande n'ont pas ét émis a jour.
je viens de repasser commande par CB (impossible de faire annuler le reglement sur l'ancienne et repayer par CB)

C'est le cas uniquement pour ta commande ?

entre-temps j'ai lu que cétait toutes les commandes paypal

voila, tout est dit.

ma commande est (enfin) apparue dans le manager OVH.
paiement validé, commande en cours de realisation.