Pratique des Techniques Informatiques (PTI) n° 5 : Intégration d'une station Linux dans un environnement AD (Linux Debian et 2003 server)

Extraits

[...] On va éditer ensuite le fichier /etc/nsswitch.conf pour ajouter le support winbind à NSS et rajouter : passwd : compat winbind group : compat winbind On teste ensuite l'importation des utilisateurs locaux et de l'AD avec la commande : On change ensuite la façon de s'identifier sur la station pour taper dans Active Directory : Dans le fichier /etc/pam.d/common-account : Dans le fichier /etc/pam.d/common-auth : Dans le fichier /etc/pam.d/common-session : On teste enfin l'authentification en mode console en tapant «login» puis le mot de passe de l'utilisateur. On peut voir qu'on est connecté avec «utilisateur@nompostelinu» Conclusion Il est possible à une station linux de s'intégrer dans un domaine AD windows server 2003 et de s'authentifier. Cela peut permettre d'utiliser une seule base d'utilisateurs pour différents services. [...]

[...] Kdestroy permet de détruire les tickets de kerberos Installation de Samba et Winbind pour joindre le domaine On tape la commande suivante : On fait une sauvegarde du fichier de configuration de Samba puis on configure un nouveau fichier /etc/samba/smb.conf : [global] security = ads # AD gère la sécurité des ressources partagées realm = HICHAM.LOCAL # domaine kerberos password server = IPDUSERVEUR workgroup = HICHAM # domaine # winbind separator = + # caractère de séparation domaine/nom d'user idmap uid = 10000-20000 # correspondances UID linux- AD idmap gid = 10000-20000 # correspondances GID linux- AD winbind enum users = yes # liste les users au démarrage de winbind winbind enum groups = yes # pareil pour les groupes template homedir = /home/%D/%U # répertoire home par defaut template shell = /bin/bash # shell par défaut client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes winbind use default domain = yes # utilise le domaine par défaut (pas de restrict anonymous = 2 On créera un dossier dans /home pour stocker les utilisateurs avec la commande «mkdir /home/NOMDEDOMAINENETBIOS». On redémarre ensuite les services : On va maintenant joindre le domaine. On se connecte tout d'abord à Kerberos avec l'administrateur avec la commande «kinit» puis on peut taper la commande suivante : On teste ensuite en demandant la liste des utilisateurs : On obtient la liste des utilisateurs d'active directory. [...]

[...] Installation de NTPDATE et KERBEROS Il faut que le serveur et la station aient la même heure à cause de Kerberos. Pour cela, nous devons installer NTPDATE Il faut taper ensuite la commande suivante pour synchroniser l'heure de la station : On vérifiera que le fichier /etc/hosts possède bien un nom FQDN sinon on lui ajoutera : machine.hicham.local localhost machine IPDUSERVEUR nomduserveur.hicham.local nomduserveur Kerberos est un système d'authentification qui permet aux serveurs d'authentifier les utilisateurs et de communiquer en sécurité. [...]