integration de serveurs linux dans un domaine active directory
Transcription
integration de serveurs linux dans un domaine active directory
INTEGRATION DE SERVEURS LINUX DANS UN DOMAINE ACTIVE DIRECTORY Table des matières 1. Finalité de ce document .................................................................................................................. 2 2. Préambule ....................................................................................................................................... 2 3. Présentation du contexte ................................................................................................................ 2 4. Installation ....................................................................................................................................... 2 4.1. 5. Mise en place d’un domaine Active Directory ........................................................................ 2 Configuration du serveur Linux ................................................................................................... 3 5.1. Installation des packages..................................................................................................... 3 5.2. Configuration du client Kerberos ........................................................................................ 3 5.3. Configuration de winbind .................................................................................................... 5 5.4. Configuration de Samba ...................................................................................................... 6 6. Test de jonction au domaine ........................................................................................................... 7 7. Sources ............................................................................................................................................ 9 1. Finalité de ce document Ce document va vous expliquer pas à pas comment exploiter le système d’authentification forte Kerberos présent dans les architectures Microsoft Active Directory depuis un environnement Linux en vue d’exploiter les ressources situées dans un domaine Windows. 2. Préambule Il est important de prendre connaissance de certains éléments afin de bien comprendre ce que vous allez faire. Pour cela, je vous invite à consulter les liens suivants : - Microsoft Active Directory : http://fr.wikipedia.org/wiki/Active_Directory Kerberos : http://web.mit.edu/kerberos/ Samba : 3. Présentation du contexte Dans ce document nous allons partir du principe que nous disposons d’une machine Linux qui fera office de serveur de fichier. Nous souhaitons pouvoir le mettre à disposition aux utilisateurs du domaine Active Directory. Pour cela nous aurons besoins de : - 1 serveur Microsoft Windows 2003 (Windows server 2003 dans le cadre de ce document) 1 machine linux (debian dans le cadre de ce document) 1 machine windows (2000 ou supérieure) cliente pour réaliser des tests 4. Installation 4.1. Mise en place d’un domaine Active Directory La mise en place d’un domaine Active Directory ainsi que la jonction de machines clientes windows au domaine ne seront pas traité dans ce document. Si vous n’avez jamais installé de domaine Active Directory je vous invite à consulter le lien suivant : http://www.laboratoire-microsoft.org/articles/win/serveurquifaittout/1/ 2|Page http://www.webprk.net NB : Dans notre cas, nous nous appuierons sur une installation « typique » de l’annuaire au niveau des Unités d’Organisation et des conteneurs. Quelques informations sur la mise en place de mon domaine Domaine = mydomain.lan Nom du serveur = srv2k3 5. Configuration du serveur Linux 5.1. Installation des packages Pour commencer nous allons installer les packages nécessaires. Ouvrez votre terminal puis tapez la commande suivante : L’outil de configuration dpkg vous invite à configurer votre SAMBA, n’en tenez pas compte car nous reprendrons la configuration de SAMBA depuis le début dans la suite de ce tutoriel. 5.2. Configuration du client Kerberos Le package krb5-user est en fait un client qui va nous permettre de s’authentifier auprès d’un serveur de notre serveur de clefs. Commencez par faire une copie de votre fichier /etc/krb5.conf, puis ouvrez le avec un votre éditeur de texte favoris. 3|Page http://www.webprk.net ATTENTION : la casse de ce fichier de configuration est très sensible. Veillez donc à bien la respecter. A ce stade, nous venons de configurer notre client kerberos en lui indiquant à quel serveur il doit s’adresser pour obtenir un accès aux ressources. 4|Page http://www.webprk.net 5.3. Configuration de winbind Winbind est un daemon vous offrant la possibilité de récupérer des informations situées dans un domaine NT ou Active Directory. Winbind offre aussi un service d’authentification via un module pour PAM (nous aborderons ce point par la suite). Editez le fichier /etc/nsswitch.conf au niveau de « passwd » et « group » comme ceci : A ce stade, nous venons d’indiquer au service NSS une base de données Systèmes supplémentaire au niveau utilisateurs et groupes. 5|Page http://www.webprk.net 5.4. Configuration de Samba Le service samba vous permet de traduire des requêtes provenant des environnements Windows en requête compréhensible dans un environnement linux. Apres avoir fait une copie du fichier /etc/samba/smb.conf recréez-le car le fichier par défaut est beaucoup trop verbeux... Votre fichier doit ressembler à ceci : 6|Page http://www.webprk.net 6. Test de jonction au domaine Notre serveur est désormais prêt à se joindre dans notre domaine Active Directory. Voici comment nous allons procéder : - Dans un premier temps nous allons redémarrer les services samba et winbind - Ensuite nous allons devoir nous authentifier auprès du système Kerberos présent dans notre Domaine car sa fonction principale est de gérer la sécurité au sein du domaine. Pour cela tapez la commande : Kinit vous permet d’obtenir un ticket crypté contenant tous les droits qui vous sont octroyé au sein du domaine en fonction de l’utilisateur avec lequel vous vous connectez. Dans notre cas le compte est celui de l’administrateur du domaine. - Maintenant vérifions que nous avons bel et bien un ticket - Nous pouvons désormais nous joindre au domaine Active Directory en tapant la commande suivante : 7|Page http://www.webprk.net - Du coté windows on constate que notre machine a bien été ajoutée le conteneur « computers » de notre annuaire. - Enfin, on vérifie que winbind parvient bien à nous remonter les informations du domaine : Les utilisateurs sont bien remontés De même pour les groupes Voilà votre machine linux est désormais un membre de votre domaine Active Directory. A partir de maintenant vous pouvez offrir aux membres du domaine un serveur de fichiers, un serveur intranet par exemple tout en profitant d’un système d’authentification centralisé vous évitant ainsi de mettre en place des bases parallèles. 8|Page http://www.webprk.net 7. Sources http://web.mit.edu/kerberos/ http://www.samba.org/ http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html 9|Page http://www.webprk.net