Installation et configuration d’un serveur Samba AD – Partie 3

Sécurisation du serveur Samba-AD

Dans les précédentes parties (ici et ), nous avons vu comment installer, configurer, et manager notre serveur Samba-AD. Nous allons voir ici comment le sécuriser.

 Tous ces paramétrages sont recommandés par Tranquil’IT et sont issus de leur documentation officielle.

Désactiver le listing des utilisateur de façon anonyme

Pour empêcher qu’un utilisateur anonyme ne liste les utilisateurs du serveur, il nous faudra désactiver cet accès. Pour cela nous éditerons le fichier /etc/samba/smb.conf et nous rajouterons le paramètre suivant:

#Edition du fichier de configuration
nano /etc/samba/smb.conf

#Paramètre à rajouter dans la section [global]
restrict anonymous = 2

Désactiver Netbios

Netbios n’étant pas nécessaire si DNS est installé, il vaut mieux le couper:

#Edition du fichier de configuration /etc/samba/smb.conf
nano /etc/samba/smb.conf

#Paramètres à ajouter dans la section [global]
disable netbios = yes
smb ports = 445

Désactiver NTLMv1

NTLMv1 est trop vieux, trop sensible, très dispensable.

#Edition du fichier de configuration /etc/samba/smb.conf 
nano /etc/samba/smb.conf 
#Paramètre à ajouter dans la section [global] ntlm auth = mschapv2-and-ntlmv2-only

Remplacer le certificat par un certificat validé

Produit sécurisé « by design« , Samba-AD génère un certificat à l’installation afin d’utiliser LDAP STRTTLS et LDAPS. Nous pourrons le remplacer par un certificat de notre organisation.

#Edition du fichier de configuration /etc/samba/smb.conf 
nano /etc/samba/smb.conf

#Paramètres à ajouter dans la section [global]
tls enabled = yes
tls keyfile = /etc/samba/tls/srvads.mydomain.lan.key
tls certfile = /etc/samba/tls/srvads.mydomain.lan.crt
tls cafile = /etc/samba/tls/mondomaine_CA.crt

Limiter la plage des ports dynamiques

Ici nous limiterons l’utilisation des ports RPC.

#Edition du fichier de configuration /etc/samba/smb.conf 
nano /etc/samba/smb.conf 

#Paramètre à ajouter dans la section [global]
rpc server dynamic port range = 50000-55000

#Configuration du pare-feu
firewall-cmd --zone=public --remove-port=49152-65535/tcp --permanent
firewall-cmd --zone=public --add-port=50000-50500/tcp --permanent

Auditer les accès aux répertoires SYSVOL et NetLogon

#Edition du fichier de configuration /etc/samba/smb.conf 
nano /etc/samba/smb.conf 

#Paramètres à ajouter dans la section [global]
full_audit:failure = none
full_audit:success = pwrite write rename
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local7
full_audit:priority = NOTICE

#Paramètre à ajouter dans la section [sysvol]
vfs objects = full_audit

#Paramètre à ajouter dans la section [netlogon]
vfs objects = full_audit

Conclusion

Samba-AD est véritablement crédible dans son rôle de contrôleur AD.
La documentation fournit par Tranquil IT vous permettra de pousser l’expérience plus loin en remplaçant le DNS de base par un serveur Bind9 beaucoup plus performant.

Je reste persuadé que cette alternative devrait être installée dans beaucoup de PME qui n’ont pas les moyen de s’offrir un serveur Microsoft.

Français et Open Source ce produit est a mon avis sous coté et devrait faire partis de la trousse à outils de tout bon administrateur système.

%d blogueurs aiment cette page :