1 Installation des pré-requis
Kerberos (krb5-user, krb5-clients) : permet d’obtenir un ticket auprès du contrôleur de domaine
Ntpdate (ntpdate) : permet d’indiquer le ou les domaines de recherche et les différents serveurs DNS à utiliser
Resolvconf (resolvconf) : permet la résolution des noms (DNS)
Samba (samba, smbclient, smbfs) : permet l’intégration de la machine dans le domaine et le partage des données
Winbind (winbind) : permet l’authentification (user / password) sur un Active Directory
aptitude install krb5-user krb5-clients ntpdate resolvconf samba smbclient smbfs winbind
Fichier Hosts :
127.0.0.1 localhost ipvotreserveur.domaine
xx.xx.xx.xx ipdevotreserveur ipvotreserveur.domaine
Fichier /etc/network/interfaces
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address xx.xx.xx.xx
netmask 255.255.0.0
network xxx.xxx.0
broadcast xxx.xxx.255.255
gateway xxx.xxx.255.254
dns-nameservers xxx.xxx.xxx.xxx
2- Configuration Kerberos
Modifier le fichier /etc/krb5.conf avec un éditeur de texte.
nano /etc/krb5.conf
[libdefaults]
default_realm = VOTREDOMAINE.FR
[realms]
DOMAINE = {
kdc = VOTREDOMAINE.FR
admin_server = nomserveurAD.votredomaine
default_domain = VOTREDOMAINE
}
[domain_realm]
.VOTREDOMAINE = VOTREDOMAINE
VOTREDOMAINE = VOTREDOMAINE
3 -Test Kerberos
Tout d’abord, il faut que l’heure soit identique au contrôleur de domaine.
ntpdate nomserveurAD
Test d’obtention d’un ticket kerberos
kinit administrateur
saisir le mot de passe puis appuyer sur [ENTREE]
Password for administrateur@VOTREDOMAINE.FR : mot-de-passe-administrateur-DC
Vérifier que le ticket a bien été délivré avec la commande klist. Ça permet d’afficher les tickets et leur validité
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrateur@VOTREDOMAINE.FR
Valid starting Expires Service principal
09/14/11 16:18:40 09/15/11 02:22:24 krbtgt/ VOTREDOMAINE.FR @ VOTREDOMAINE.FR
renew until 09/15/11 16:18:40
4- Configuration de Samba et Winbind
Configuration de Samba et Winbind. Tous les paramètres de configuration se font à partir du fichier /etc/samba/smb.conf
Faire une sauvegarde du fichier original
cp /etc/samba/smb.conf /etc/samba/smb.conf.original
Éditer le fichier smb.conf
nano /etc/samba/smb.conf
[global]
workgroup = VOTREDOMAINE.FR
server string = nomserveur.domaine
realm = VOTREDOMAINE.FR
####### Authentication #######
security = ADS
encrypt passwords = yes
obey pam restrictions = yes
############ Misc ############
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
winbind separator = /
winbind use default domain = yes
Modifier le fichier /etc/nsswitch.conf afin qu’il interroge Windbind pour l’authentification des utilisateurs et des groupes
nano /etc/nsswitch
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Redémarrer le service Samba et Winbind
/etc/init.d/samba restart && /etc/init.d/winbind restart
5- Intégration au domaine
Une fois tous les fichiers de configuration édités, il suffit de joindre la machine client au domaine.
net ads join votredomaine.fr -U administrateur
Commandes utiles :
wbinfo –u : Liste les utilisateurs présents dans l’AD
wbinfo – g : Liste les utilisateurs présents dans l’AD
6 -Autoriser les utilisateurs du domaine à se connecter sur l’ordinateur
Il faut modifier des fichiers systèmes afin que celui-ci interroge Winbind pour l’authentification.
Éditer le fichier /etc/pam.d/common-auth saisir la ligne suivante avant pam_unix.so
nano /etc/pam.d/common-auth
auth sufficient pam_winbind.so
Éditer le fichier /etc/pam.d/common-account saisir la ligne suivante avant pam_unix.so
nano /etc/pam.d/common-account
account sufficient pam_winbind.so
Éditer le fichier /etc/pam.d/common.session saisir la ligne suivante après « session required pam_unix.so » pour que le home directory se créé automatiquement
nano /etc/pam.d/common-session
session required pam_mkhomedir.so skel=/etc/skel umask=0077
7- Test
Pour tester, rien de bien compliqué. Taper la commande suivante
net ads testjoin
Si tout fonctionne correctement, vous devriez avoir ceci :
Join is OK
8 -Ajout d’un dossier partagé avec Samba et authentification active directory
Éditer le fichier /etc/samba/smb.conf
nano /etc/samba/smb.conf
Ajouter les lignes suivantes à la fin du fichier.
[nom_partage]
comment = Installation
path = /home
browseable = yes
writeable = yes
read only = no
# Les utilisateurs autorisés à accéder au partage. le »@ » signifie un groupe.
valid users = @DOMAINE/ »Utilisateurs du domaine »
# Les utilisateurs autorisés à écrire au partage. le « @ » signifie un groupe
write list = @DOMAINE/ »Admins du domaine »
Il est maintenant possible depuis un poste du domaine de pouvoir accéder au partage samba avec une authentification Active Directory
Auteur : POMENTE Guillaume, LUSSAGNET Yannick
Partager la publication "INTEGRATION DE DEBIAN 6 SQUEEZE DANS UN DOMAINE ACTIVE DIRECTORY WINDOWS 2008 R2"
Yop,
Merci pour cette astuce, elle m’a bien servis au taff!
thanks
Excellent, un grand merci.
Juste une remarque qui m’a posé quelques problème de message NT_STATUS_ACCESS_DENIED :
Dans la partie 8 Ajout d’un dossier de partage, il faut bien préciser la ligne valid users (en tout cas, moi j’avais mal compris au début).
Un exemple, pour ajouter l’utilisateur moi du domaine AD DOMAINE, il faut mettre :
valid users = DOMAINE/moi
Pour ma part, les groupes de l’AD (ainsi que les utilisateurs) sont vu sous linux comme un utilisateur déclarer dans le fichier /etc/passwd ou /etc/group. Du coup, pour donner les droits aux utilisateurs d’un groupe windows, il suffit de faire
valid users = groupewindows (éventuellement mettre des cote (‘) en cas d’espace dans les noms.
merci pour ce super tuto, ça m’a beaucoup aidé et ça fonctionne a merveille, franchement j’ai bcp galéré avant de tomber sur celui la