Samba 4 AD viable avec une infra Azure / 365 ?

Lecbee · 12 mai 2022 - 21:02

Bonjour,

Je suis administrateur système et réseau dans une PME (~300 personnes à travers le monde), notre infra est aujourd'hui pas mal orientée Microsoft, même si y'a pas mal de Linux à droite à gauche

On a une infra Active Directory qui n'est plus toute jeune... et un projet de mise à jour prochainement.

Mais depuis des années déjà je rêve secrètement de migrer tout sur Samba

Mais bon il suffit pas de rêver, il faut voir la réalité en face des choses. La réalité est que nous sommes aujourd'hui très dépendant d'Azure (enfin Office 365, Teams, Exchange online, etc. quoi) par historique et aussi parce que nous devons nous adapter à nos clients. Abandonner ces outils est juste inconcevable.

Aujourd'hui notre AD est synchronisé sur Azure. Ma question est donc très simple, avant de parler de Samba 4 AD au reste de mon équipe, est-ce qu'une infra Samba 4 AD est compatible avec Azure, etc. ?
Si c'est clairement non, au moins je sais que je peux passer mon chemin

Ou bien est-ce possible seulement avec des bidouilles ? Ou au contraire c'est clairement supporté et vous offrez du support dans ce genre d'architecture ?

Merci

17 mai 2022 - 15:41

Bonjour lecbee,

Lecbee a écrit : ↑12 mai 2022 - 21:02 Je suis administrateur système et réseau dans une PME (~300 personnes à travers le monde), notre infra est aujourd'hui pas mal orientée Microsoft, même si y'a pas mal de Linux à droite à gauche On a une infra Active Directory qui n'est plus toute jeune... et un projet de mise à jour prochainement.

Mais depuis des années déjà je rêve secrètement de migrer tout sur Samba Mais bon il suffit pas de rêver, il faut voir la réalité en face des choses. La réalité est que nous sommes aujourd'hui très dépendant d'Azure (enfin Office 365, Teams, Exchange online, etc. quoi) par historique et aussi parce que nous devons nous adapter à nos clients. Abandonner ces outils est juste inconcevable.

Aujourd'hui notre AD est synchronisé sur Azure. Ma question est donc très simple, avant de parler de Samba 4 AD au reste de mon équipe, est-ce qu'une infra Samba 4 AD est compatible avec Azure, etc. ?
Si c'est clairement non, au moins je sais que je peux passer mon chemin Ou bien est-ce possible seulement avec des bidouilles ? Ou au contraire c'est clairement supporté et vous offrez du support dans ce genre d'architecture ?

il est possible de "hacker" l'install de Azure AD Connect pour qu'il synchronise directement avec AzureAD. Toutefois, le fait que Samba ne supporte pas actuellement les gMSA (group managed service account) nécessite de faire quelques pirouettes [1]. Je ne suis pas un fan, mais il y a des gens chez qui ça marche.

Une autre option est de conserver un AD microsoft (non visible par les postes) juste pour la synchro AzureAD, ça fonctionne mais je ne suis pas un grand fan. Il faut bien faire attention à la définition des sites et aux configurations firewall.

L'autre option c'est de mettre en place des scripts de synchro en python (vous pouvez chercher un exemple pour inspiration sur github pour gapps [2]), ça marche bien, mais Microsoft n'a pas publié l'API pour changer les mots de passe à partir du hash NT. En effet la seule manière de faire une maj de mdp est de l'envoyer en clair (donc seulement possible au moment du changement de mdp par l'utilisateur mais pas après). Le hash chez Azure est un dérivé pbkdf2 du hash NT, donc on peut le reproduire, mais on ne peut pas le pousser...

Pour pousser le mdp une manière est d'utiliser le paramètre smb.conf check password script.

Donc si vous êtes motivé par Samba-AD, c'est possible. Si c'est juste l'achat de licence qui vous pose problème, ce n'est pas forcément cela qui faut mettre dans la balance. Samba-AD est beaucoup plus facile à maintenir sur la durée, et beaucoup plus facile à sécuriser. C'est vraiment là qu'on gagne en coût et en productivité.

Cordialement,

Denis

[1] https://wiki.samba.org/index.php/Azure_AD_Sync
[2] https://github.com/baboons/samba4-gaps

Lecbee · 31 mai 2022 - 19:44

Bonsoir,

Merci beaucoup pour votre réponse, ça m'aiguille déjà mieux sur les limites et possibilités.

A chaud, la solution d'un AD Microsoft qui se connecte à Azure, me semble la plus "propre". Mais je ne connais pas les limitations de cette solution. Vous dites ne pas être fan de cette solution.
Je me suis renseigné encore un peu plus de mon côté, Samba 4 manque apparemment encore de pas mal de "fonctionnalités" des derniers AD (2012/2016/2019) donc est-ce que ça sera limitant dans ce cas d'usage ? Je ne sais pas.

Sinon, sur un sujet légèrement différent, est-ce que Tranquil-IT offre également du support sur la partie partage de fichiers (SMB/CIFS) de Samba (dans le cas d'utilisation d'un serveur de fichiers Samba) ?
Ou uniquement du support sur la partie AD de Samba ?

01 juin 2022 - 15:51

Lecbee a écrit : ↑31 mai 2022 - 19:44 A chaud, la solution d'un AD Microsoft qui se connecte à Azure, me semble la plus "propre". Mais je ne connais pas les limitations de cette solution. Vous dites ne pas être fan de cette solution.
Je me suis renseigné encore un peu plus de mon côté, Samba 4 manque apparemment encore de pas mal de "fonctionnalités" des derniers AD (2012/2016/2019) donc est-ce que ça sera limitant dans ce cas d'usage ? Je ne sais pas.

Sauf si vous êtes une boite à fond Microsoft (sharepoint, exchange on premise, etc.) il y a rarement des "fonctionnalités" réellement manquantes. D'un point de vu sécu, un Samba-AD c'est beaucoup plus facile à sécuriser qu'un Microsoft-AD, plus facile à sauvegarder, restaurer, maintenir. On a des clients avec plusieurs dizaines de milliers d'utilisateurs dans leur Samba-AD, et un avec plus de 100k users et 100k machines. Donc ça peut marcher à l'échelle.

En gros si vous êtes à l'aise en ligne de commande et en Linux, Samba-AD est probablement le meilleur choix, et c'est facile d'arriver à une note ORADAD 3 de l'ANSSI.

Si vous aimez cliquez et la syntaxe powershell ne vous fait pas pleurer, et que vous aimez passer des jours et des jours à dérouler le guide de sécurisation de l'ANSSI, Microsoft-AD est la bonne solution.

D'un point de vu sécu, le seul truc vraiment important qui manquait par rapport au FL2k12, c'était les Protected Users, et c'est déjà dans le git master samba, sortie prévu en septembre prochain (financé par la DGFiP, c'est vos impôts qui travaillent ! cocorico! ).

Lecbee a écrit : ↑31 mai 2022 - 19:44 Sinon, sur un sujet légèrement différent, est-ce que Tranquil-IT offre également du support sur la partie partage de fichiers (SMB/CIFS) de Samba (dans le cas d'utilisation d'un serveur de fichiers Samba) ?
Ou uniquement du support sur la partie AD de Samba ?

On fait des migrations AD et des accompagnements post-migration, ce qui inclus bien évidemment la partie serveur de fichiers. Mais on ne fait pas d'assistance ponctuelle. Désolé.

Denis

Lecbee · 13 juin 2022 - 22:25

Désolé de répondre avec beaucoup de latence

Dans mon cas, le problème c'est qu'on a effectivement des choses liés à Microsoft (Exchange Online et AzureAD, peut-être Sharepoint un jour

), et surtout je suis le seul à vraiment être à l'aise sur Linux. Pas forcément évidemment pour les collègues...

D'un point de vu sécu, un Samba-AD c'est beaucoup plus facile à sécuriser qu'un Microsoft-AD, plus facile à sauvegarder, restaurer, maintenir

Ça j'en suis persuadé

En tout cas merci beaucoup pour ces réponses, au moins ça m'oriente bien !

19 mai 2023 - 11:42

Pour information samba4.18 prend mieux en charge le client azure ad connect windows

J'ai également dev un client azure ad connect pour samba4 en pur python, si cela peu vous intéresse :

https://github.com/sfonteneau/AzureADConnect_Samba4