TP n°6 : Intégration de clients Fedora et Ubuntu dans le

T.P. n°6
Intégration client Linux - Active Directory
Identification par Samba/Winbind
Authentification par Kerberos
Etudiant
Groupe
Introduction
L’intégration du client Fedora au domaine Active Directory réalisé au TP n°4 était basé sur les extensions Unix de Windows 2008 R2 et
sur le « mappage » du domaine Active Directory à un domaine NIS, ainsi que des partages Windows à des partages NFS.
La configuration se fait alors essentiellement sur le serveur Windows 2008 R2 pour rendre Active Directory compatibles avec les
protocoles NIS et NFS propres à Unix : le serveur Windows 2008 « communique » avec le client Fedora dans le «langage Unix »
Nous allons voir ici une autre méthode d’intégration basé sur la philosophie inverse : le client Fedora va communiquer avec le serveur
Windows 2008 en utilisant les protocoles d’Active Directory.
Lors de ce TP vous travaillerez de manière plus autonome, en recherchant et lisant vous-même les documentations, et en essayant de
mettre en œuvre par vous-même l’intégration.
Les protocoles utilisés par Active Directory
 Lisez l’introduction du document Integration Linux AD Samba et les 7 premiers transparents de Integration with AD
Quel est le protocole « d’annuaire » utilisé par Active Directory pour centraliser et diffuser les informations sur les ordinateurs et les
utilisateurs membres du domaine ?
Quel sont selon vous ses avantages par rapport au protocole NIS ?
Quel est le protocole utilisé par les machines clientes Windows pour s’authentifier sur un domaine Active Directory ?
Les différentes méthodes d’authentification et d’accès aux informations d’un client Linux à un domaine Active Directory
 Parcourez les documents Windows interoperability with Unix-Linux , Authenticate Linux Clients with AD
et Integrating RHEL6 with AD - Presentation
Quelles sont les principales méthodes pour intégrer une machine Linux à un domaine Active Directory ?
Pourquoi la méthode utilisant Samba / Winbind avec une authentification Kerberos est-elle la plus intéressante pour nous ?
Que permet le composant « Winbind » de Samba ? Avec quels protocoles d’Active Directory peut-il communiquer ?
1
I - Intégration d’un client Fedora au domaine Active Directory en utilisant Samba / Winbind / Kerberos
Rédigez votre compte-rendu avec LibreOffice en indiquant les références des documents utilisés, les configurations effectuées, les
de PicPick
commandes tapées, Vous pouvez insérer des copies d’écran réalisées avec l’outil
Pensez à prendre des « instantanées » de votre machine virtuelle pour pouvoir revenir en arrière en cas de problème.
Ouvrir le document LibreOffice pour rédiger le compte rendu
Vous utiliserez une machine virtuelle fedora non configurée pour l’intégrer au domaine AD agence-i.C304.local
 Reliez la machine virtuelle
fedora au switch de votre projet GNS3, démarrez la et logez vous en root ( mot de passe root)
Vérifiez que vous êtes bien connecté à Internet (pensez à démarrer votre machine serveur, votre routeur, etc )
Comme vous disposez sur la machine virtuelle fedora d’un accès internet, vous pourreez éventuellement vous en servir pour installer
au besoin des logiciels (packages) supplémentaires avec la commande :
yum install package
 En vous appuyant sur les documents Authenticate Linux Clients with AD et Intégrating RHEL6 with AD vous devrez :
- Joindre la machine fedora au domaine AD à l’aide de Samba / Winbind
- Permettre l’authentification des utilisateurs du domaine AD à l’aide de Winbind / Kerberos
- Permettre l’accès aux informations stockés dans l’AD / LDAP de ces utilisateurs à l’aide de Samba / Winbind
- Définir les UID et GID de ces utilisateurs selon les attributs Unix stockés dans l’AD à l’aide de Samba / Winbind
Conseils : Suivez les pages 21 à 24 de Intégrating RHEL6 with AD pour installer les packages Samba, Winbind et Kerberos
nécessaires et pour configurer la synchronisation de temps (ntp)
Suivez ensuite les pages 41 à 55 de pour effectuer la Configuration 2 – Samba/Windbind idmap_ad à l’aide de
l’outil graphique system­config­authentication , puis modifiez certains fichiers de configuration
« à la main » et testez votre configuration.
Pensez à rajouter la machine fedora aux machines autorisées pour les comptes technicien et stagiaire
Vérifiez sur la machine serveur que la machine fedora s’est bien jointe au domaine AD
La configuration précédente permet d’ouvrir une session avec les comptes technicien et stagiaire du domaine AD
agence-i.C304.local mais les « home directories » utilisés pour ces comptes seront locaux à la machine fedora
Comme au TP n°4, nous allons utiliser les dossiers utilisateurs situées dans E:\bases sur la machine serveur comme
« home directories » pour ces comptes du domaine. Plutôt que d’utiliser un montage NFS comme au TP n°4, nous allons ici utiliser pour
changer un montage CIFS (Samba)
 En vous aidant de la documentation trouvée sur Internet, effectuez le montage CIFS / SMB au boot des « home directories » :
- Créez un point de montage vide
/home/agence sur la machine fedora
- Modifiez sur la machine serveur les « home directories » des attributs Unix des comptes technicien et stagiaire
en /home/agence/technicien et /home/agence/stagiaire (remplacer /nishome par /home/agence)
- Recherchez comment effectuer le montage CIFS au boot (par fstab) du dossier E:\bases de votre serveur au point de
montage /home/agence de la machine fedora (utiliser le compte Administrateur du serveur ) et effectuez-le
- Vérifiez le bon fonctionnement de votre configuration en se connectant avec les comptes technicien et stagiaire
Bonus : la méthode de montage CIFS précédente nécessite d’utiliser le compte Administrateur du domaine AD et de préciser son
mot de passe dans un fichier, ce qui peut présenter des problèmes de sécurité.
De plus, tous les dossiers des utilisateurs du domaine sont donc accessibles au démarrage sous /home/agence même si
on ne se connecte pas avec ces comptes, ce qui peut également présenter des problèmes de sécurité.
Pour éviter cela, on peut effectuer un montage dynamique du « home directory » au login d’un utilisateur du domaine en
utilisant le module pam_mount
 En vous aidant de la documentation trouvée sur Internet, remplacez le montage précédent par le montage automatique du
« home directory » au login d’un utilisateur du domaine en utilisant le module pam_mount
2
II- Intégration d’un client Ubuntu au domaine Active Directory en utilisant Samba / Winbind / Kerberos
Vous utiliserez maintenant une machine virtuelle ubuntu non configurée pour l’intégrer au domaine AD agence-i.C304.local
 Reliez la machine virtuelle
ubuntu au switch de votre projet GNS3, démarrez la et logez vous en root ( mot de passe root)
Ubuntu ne comporte pas l’outil system­config­authentication, mais on peut installer en remplacement le package SADMS
Celui-ci est un outil graphique écrit en Python, qui se charge de manipuler les fichiers de configuration pour l'ajout et intégration de
machines Linux à un domaine Active Directory, et en particulier des fichiers de configuration de Samba, de Kerberos et des autres
protocoles clients nécessaires (Winbind, Pam, …).
Il n’est pas indispensable de l’utiliser pour réaliser l’intégration, mais son installation permet d’installer en même temps tous les
packages nécessaires pour notre intégration au domaine AD
 Vérifiez que vous avez bien l’accès à Internet sous la machine Ubuntu et installez SADMS par la commande :
apt-get install sadms
 Intégrer ensuite votre machine Ubuntu à votre domaine « agence-i.C309.local » comme pour la machine
fedora en
utilisant ou non SADMS :
Conseils : Utilisez la documentation du dossier « Docs TP6 \ SADMS – Ubuntu » pour vous aider
Si vous choisissez d’utiliser SADMS, vous devrez tout de même modifier ou compléter « à la main » les fichiers de
configuration pour aboutir à la même intégration qu’avec la machine fedora.
Pour cela, utilisez comme référence les fichiers de configuration samba, winbind, kerberos et pam de la machine
fedora déjà correctement configurée pour reproduire une configuration similaire sur la machine ubuntu
Comme vous disposez sur la machine virtuelle Linux d’un accès internet, vous pouvez vous en servir pour installer au
besoin des packages Ubuntu supplémentaires avec la commande :
apt-get install package
3