integration de serveurs linux dans un domaine active directory

INTEGRATION DE SERVEURS LINUX
DANS UN DOMAINE ACTIVE DIRECTORY
Table des matières
1.
Finalité de ce document .................................................................................................................. 2
2.
Préambule ....................................................................................................................................... 2
3.
Présentation du contexte ................................................................................................................ 2
4.
Installation ....................................................................................................................................... 2
4.1.
5.
Mise en place d’un domaine Active Directory ........................................................................ 2
Configuration du serveur Linux ................................................................................................... 3
5.1.
Installation des packages..................................................................................................... 3
5.2.
Configuration du client Kerberos ........................................................................................ 3
5.3.
Configuration de winbind .................................................................................................... 5
5.4.
Configuration de Samba ...................................................................................................... 6
6.
Test de jonction au domaine ........................................................................................................... 7
7.
Sources ............................................................................................................................................ 9
1. Finalité de ce document
Ce document va vous expliquer pas à pas comment exploiter le système d’authentification
forte Kerberos présent dans les architectures Microsoft Active Directory depuis un environnement
Linux en vue d’exploiter les ressources situées dans un domaine Windows.
2. Préambule
Il est important de prendre connaissance de certains éléments afin de bien comprendre ce
que vous allez faire.
Pour cela, je vous invite à consulter les liens suivants :
-
Microsoft Active Directory : http://fr.wikipedia.org/wiki/Active_Directory
Kerberos : http://web.mit.edu/kerberos/
Samba :
3. Présentation du contexte
Dans ce document nous allons partir du principe que nous disposons d’une machine Linux qui
fera office de serveur de fichier. Nous souhaitons pouvoir le mettre à disposition aux utilisateurs du
domaine Active Directory.
Pour cela nous aurons besoins de :
-
1 serveur Microsoft Windows 2003 (Windows server 2003 dans le cadre de ce document)
1 machine linux (debian dans le cadre de ce document)
1 machine windows (2000 ou supérieure) cliente pour réaliser des tests
4. Installation
4.1.
Mise en place d’un domaine Active Directory
La mise en place d’un domaine Active Directory ainsi que la jonction de machines clientes
windows au domaine ne seront pas traité dans ce document.
Si vous n’avez jamais installé de domaine Active Directory je vous invite à consulter le lien suivant :
http://www.laboratoire-microsoft.org/articles/win/serveurquifaittout/1/
2|Page
http://www.webprk.net
NB : Dans notre cas, nous nous appuierons sur une installation « typique » de l’annuaire au niveau
des Unités d’Organisation et des conteneurs.
Quelques informations sur la mise en place de mon domaine
Domaine = mydomain.lan
Nom du serveur = srv2k3
5. Configuration du serveur Linux
5.1. Installation des packages
Pour commencer nous allons installer les packages nécessaires. Ouvrez votre terminal puis tapez la
commande suivante :
L’outil de configuration dpkg vous invite à configurer votre SAMBA, n’en tenez pas compte car nous
reprendrons la configuration de SAMBA depuis le début dans la suite de ce tutoriel.
5.2. Configuration du client Kerberos
Le package krb5-user est en fait un client qui va nous permettre de s’authentifier auprès d’un serveur
de notre serveur de clefs.
Commencez par faire une copie de votre fichier /etc/krb5.conf, puis ouvrez le avec un votre éditeur
de texte favoris.
3|Page
http://www.webprk.net
ATTENTION : la casse de ce fichier de configuration est très sensible. Veillez donc à bien la respecter.
A ce stade, nous venons de configurer notre client kerberos en lui indiquant à quel serveur il doit
s’adresser pour obtenir un accès aux ressources.
4|Page
http://www.webprk.net
5.3. Configuration de winbind
Winbind est un daemon vous offrant la possibilité de récupérer des informations situées dans
un domaine NT ou Active Directory. Winbind offre aussi un service d’authentification via un module
pour PAM (nous aborderons ce point par la suite).
Editez le fichier /etc/nsswitch.conf au niveau de « passwd » et « group » comme ceci :
A ce stade, nous venons d’indiquer au service NSS une base de données Systèmes supplémentaire au
niveau utilisateurs et groupes.
5|Page
http://www.webprk.net
5.4. Configuration de Samba
Le service samba vous permet de traduire des requêtes provenant des environnements
Windows en requête compréhensible dans un environnement linux.
Apres avoir fait une copie du fichier /etc/samba/smb.conf recréez-le car le fichier par défaut
est beaucoup trop verbeux...
Votre fichier doit ressembler à ceci :
6|Page
http://www.webprk.net
6. Test de jonction au domaine
Notre serveur est désormais prêt à se joindre dans notre domaine Active Directory.
Voici comment nous allons procéder :
-
Dans un premier temps nous allons redémarrer les services samba et winbind
-
Ensuite nous allons devoir nous authentifier auprès du système Kerberos présent dans notre
Domaine car sa fonction principale est de gérer la sécurité au sein du domaine.
Pour cela tapez la commande :
Kinit vous permet d’obtenir un ticket crypté contenant tous les droits qui vous sont octroyé
au sein du domaine en fonction de l’utilisateur avec lequel vous vous connectez. Dans notre
cas le compte est celui de l’administrateur du domaine.
-
Maintenant vérifions que nous avons bel et bien un ticket
-
Nous pouvons désormais nous joindre au domaine Active Directory en tapant la commande
suivante :
7|Page
http://www.webprk.net
-
Du coté windows on constate que notre machine a bien été ajoutée le
conteneur « computers » de notre annuaire.
-
Enfin, on vérifie que winbind parvient bien à nous remonter les informations du domaine :
Les utilisateurs sont bien remontés
De même pour les groupes
Voilà votre machine linux est désormais un membre de votre domaine Active Directory. A partir de
maintenant vous pouvez offrir aux membres du domaine un serveur de fichiers, un serveur intranet
par exemple tout en profitant d’un système d’authentification centralisé vous évitant ainsi de
mettre en place des bases parallèles.
8|Page
http://www.webprk.net
7. Sources



http://web.mit.edu/kerberos/
http://www.samba.org/
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html
9|Page
http://www.webprk.net