INTEGRATION DE DEBIAN 6 SQUEEZE DANS UN DOMAINE ACTIVE DIRECTORY WINDOWS 2008 R2

1 Installation des pré-requis

Kerberos (krb5-user, krb5-clients) : permet d’obtenir un ticket auprès du contrôleur de domaine

Ntpdate (ntpdate) : permet d’indiquer le ou les domaines de recherche et les différents serveurs DNS à utiliser

Resolvconf (resolvconf) : permet la résolution des noms (DNS)

Samba (samba, smbclient, smbfs) : permet l’intégration de la machine dans le domaine et le partage des données

Winbind (winbind) : permet l’authentification (user / password) sur un Active Directory

aptitude install krb5-user krb5-clients ntpdate resolvconf samba smbclient smbfs winbind

Fichier Hosts :

127.0.0.1 localhost ipvotreserveur.domaine

xx.xx.xx.xx ipdevotreserveur ipvotreserveur.domaine

Fichier /etc/network/interfaces

auto lo

iface lo inet loopback

 

# The primary network interface

allow-hotplug eth0

iface eth0 inet static

address xx.xx.xx.xx

netmask 255.255.0.0

network xxx.xxx.0

broadcast xxx.xxx.255.255

gateway xxx.xxx.255.254

dns-nameservers xxx.xxx.xxx.xxx

2- Configuration Kerberos

Modifier le fichier /etc/krb5.conf avec un éditeur de texte.

nano /etc/krb5.conf

[libdefaults]

    default_realm = VOTREDOMAINE.FR

[realms]

    DOMAINE = {

        kdc = VOTREDOMAINE.FR

        admin_server = nomserveurAD.votredomaine

        default_domain = VOTREDOMAINE

    }

[domain_realm]

    .VOTREDOMAINE = VOTREDOMAINE

VOTREDOMAINE = VOTREDOMAINE


3 -Test Kerberos

Tout d’abord, il faut que l’heure soit identique au contrôleur de domaine.

ntpdate nomserveurAD

Test d’obtention d’un ticket kerberos

kinit administrateur

saisir le mot de passe puis appuyer sur [ENTREE]

Password for administrateur@VOTREDOMAINE.FR : mot-de-passe-administrateur-DC

Vérifier que le ticket a bien été délivré avec la commande klist. Ça permet d’afficher les tickets et leur validité

klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrateur@VOTREDOMAINE.FR

Valid starting Expires Service principal

09/14/11 16:18:40 09/15/11 02:22:24 krbtgt/ VOTREDOMAINE.FR @ VOTREDOMAINE.FR

renew until 09/15/11 16:18:40

 4- Configuration de Samba et Winbind

Configuration de Samba et Winbind. Tous les paramètres de configuration se font à partir du fichier /etc/samba/smb.conf

Faire une sauvegarde du fichier original

cp /etc/samba/smb.conf /etc/samba/smb.conf.original

Éditer le fichier smb.conf

nano /etc/samba/smb.conf

 

[global]

workgroup = VOTREDOMAINE.FR

server string = nomserveur.domaine

realm = VOTREDOMAINE.FR

 

####### Authentication #######

security = ADS

encrypt passwords = yes

obey pam restrictions = yes

 

############ Misc ############

idmap uid = 10000-20000

idmap gid = 10000-20000

template shell = /bin/bash

winbind enum groups = yes

winbind enum users = yes

winbind separator = /

winbind use default domain = yes

 

Modifier le fichier /etc/nsswitch.conf afin qu’il interroge Windbind pour l’authentification des utilisateurs et des groupes

 

nano /etc/nsswitch

 

passwd: compat winbind

group: compat winbind

shadow: compat

 

hosts: files dns

networks: files

 

protocols: db files

services: db files

ethers: db files

rpc: db files

netgroup: nis


Redémarrer le service Samba et Winbind

 

/etc/init.d/samba restart && /etc/init.d/winbind restart

 

5- Intégration au domaine

Une fois tous les fichiers de configuration édités, il suffit de joindre la machine client au domaine.

net ads join votredomaine.fr -U administrateur

Commandes utiles :

wbinfo –u : Liste les utilisateurs présents dans l’AD

wbinfo – g : Liste les utilisateurs présents dans l’AD

 6 -Autoriser les utilisateurs du domaine à se connecter sur l’ordinateur

Il faut modifier des fichiers systèmes afin que celui-ci interroge Winbind pour l’authentification.

Éditer le fichier /etc/pam.d/common-auth saisir la ligne suivante avant pam_unix.so

nano /etc/pam.d/common-auth

auth sufficient pam_winbind.so

Éditer le fichier /etc/pam.d/common-account saisir la ligne suivante avant pam_unix.so

nano /etc/pam.d/common-account

account    sufficient pam_winbind.so

Éditer le fichier /etc/pam.d/common.session saisir la ligne suivante après « session required pam_unix.so » pour que le home directory se créé automatiquement

nano /etc/pam.d/common-session

session required pam_mkhomedir.so skel=/etc/skel umask=0077

7- Test

Pour tester, rien de bien compliqué. Taper la commande suivante

net ads testjoin

Si tout fonctionne correctement, vous devriez avoir ceci :

Join is OK

8 -Ajout d’un dossier partagé avec Samba et authentification active directory

Éditer le fichier /etc/samba/smb.conf

nano /etc/samba/smb.conf

Ajouter les lignes suivantes à la fin du fichier.

[nom_partage]

comment = Installation

path = /home

browseable = yes

writeable = yes

read only = no

# Les utilisateurs autorisés à accéder au partage. le »@ » signifie un groupe.

valid users = @DOMAINE/ »Utilisateurs du domaine »

# Les utilisateurs autorisés à écrire au partage. le « @ » signifie un groupe

write list = @DOMAINE/ »Admins du domaine »

 

Il est maintenant possible depuis un poste du domaine de pouvoir accéder au partage samba avec une authentification Active Directory

 

Auteur : POMENTE Guillaume, LUSSAGNET Yannick

 

4 réponses à “INTEGRATION DE DEBIAN 6 SQUEEZE DANS UN DOMAINE ACTIVE DIRECTORY WINDOWS 2008 R2

  1. Excellent, un grand merci.

    Juste une remarque qui m’a posé quelques problème de message NT_STATUS_ACCESS_DENIED :

    Dans la partie 8 Ajout d’un dossier de partage, il faut bien préciser la ligne valid users (en tout cas, moi j’avais mal compris au début).

    Un exemple, pour ajouter l’utilisateur moi du domaine AD DOMAINE, il faut mettre :
    valid users = DOMAINE/moi

    Pour ma part, les groupes de l’AD (ainsi que les utilisateurs) sont vu sous linux comme un utilisateur déclarer dans le fichier /etc/passwd ou /etc/group. Du coup, pour donner les droits aux utilisateurs d’un groupe windows, il suffit de faire
    valid users = groupewindows (éventuellement mettre des cote (‘) en cas d’espace dans les noms.

  2. merci pour ce super tuto, ça m’a beaucoup aidé et ça fonctionne a merveille, franchement j’ai bcp galéré avant de tomber sur celui la

Les commentaires sont clos.