EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
· SSL/TLS Alert Protocol & the Alert Codes
· Intégration d'un serveur et Workstation Linux dans AD
· How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows
· Forest Functional Level
· WIN10 (version1511) No Télémétrie & No WebApp
· Kerberos Failure Codes
· En bref les rôles FSMO
· Ajout d'un ordinateur Macintosh dans un domaine AD
· License Logging Service
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Intégration d'un serveur et Workstation Linux dans AD
 

Voilà une magnifique procédure fait conjointement par M. Benjamin Barras et M. Nicolas Repond

 

Attention n'intégrer pas des machines et serveurs Linux à la légère dans l'AD, il faut absolument avoir de bonnes raisons !

 

Veuillez nous contacter adadm@epfl.ch de manière à obtenir les meilleurs conseils.

 

L’évolution constante des Os Windows et Linux peuvent à tout moment créer des perturbations sur les relations d'approbations entre Active Directory et les machines Linux.

Des modules avec Gui intégrée existent pour ce faire sur ubuntu/Debian et autre distribution linuxienne, il existe encore le broker PowerBroker Identity Services Open » gratuite et Open Source fourni par BeyoundTrust .

 
A bon entendeur ! La WinTeam
 

Demander au responsable AD de créer l’objet dans la bonne OU.

Par exemple, nous avons les informations suivantes :

Hostname du poste client     : myClient
Nom du domaine               : EXTEST
Administrateur de l'OU       : adminOU
Password de l'administrateur : *****

Synchronisation du temps

Mettre l’adresse IP de votre router comme serveur de temps :

NTP

Fichiers concernés :

/etc/ntp.conf
/etc/ntp/step-tickers

Logiciels existants

Il existe plusieurs logiciels qui vous simplifie la vie, j’en cite quelques-uns (en remerciant ceux qui me les ont signalés) :

LikewiseOpen : https://help.ubuntu.com/community/LikewiseOpen
PowerBroker  : http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True
Centrify     : http://www.centrify.com/express/linux-unix

RHEL et Fedora

La partie ci-dessous ne concerne que RHEL et Fedora.

Ligne de commande

authconfig --kickstart --enableshadow --enablemd5 \
           --krb5realm=EXTEST.EPFL.CH --krb5kdc=extest.epfl.ch \
           --enablewinbind --enablewinbindauth --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash \
           --enablewinbindusedefaultdomain --disablewinbindoffline \
           --smbworkgroup=EXTEST --smbsecurity=ads --smbrealm=EXTEST.EPFL.CH

Pour Fedora, vérifier que winbind est bien installé :

yum install samba-winbind

Interface graphique

Pour RHEL :

User Information Authentication

Configure Windbind…

Winbinds Settings

Pour Fedora :

Identity & Authentication

Join Domain…

Joining Winbind Domain

Contrôler le fichier Fichier /etc/krb5.conf

[libdefaults]
 default_realm = EXTEST.EPFL.CH
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 #Ubunut 10.04
 allow_weak_crypto = true

[realms]
 EXTEST.EPFL.CH = {
   kdc = extest.epfl.ch
 }

[domain_realm]
 extest.epfl.ch = EXTEST.EPFL.CH
 .extest.epfl.ch = EXTEST.EPFL.CH

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Contrôler le fichier Fichier /etc/samba/smb.conf

Ajouter la ligne winbind nested groups = true :

[global]
   workgroup = EXTEST
   netbios name = myClient
   realm = EXTEST.EPFL.CH
   security = ads
   template homedir = /home/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind nested groups = true
   # Facultatif
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431

Contrôler le fichier /etc/hosts

Ajouter la ligne :

128.178.1.220 myClient.extest.epfl.ch myClient.epfl.ch myClient

Ajouter votre poste dans l’AD

Exécuter la commande suivante :

net --user=adminOU ads join
adminOU's password: *****
Using short domain name -- EXTEST
Joined 'myClient' to realm 'EXTEST.EPFL.CH'

Vérifier l’intégration du poste client :

net ads testjoin
Join is OK

Contrôler l’authentification

Taper la commande suivante :

id adminOU
uid=16777216(adminOU) gid=16777216(domain users) groups=16777216(domain users)
Note
Test de l’accès

ssh -l extest\\adminOU myClient

Article N° 172, du 23.02.2017, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=172

© 2017 VPSI - EXAPP - TC