Intégrer Ubuntu avec le domaine Active Directory Windows
Introduction
L’intégration d’Ubuntu avec Active Directory (AD) est une exigence courante dans les environnements à OS mixtes où les systèmes Linux et Windows fonctionnent côte à côte. Si vous souhaitez joindre Ubuntu à un domaine Windows, vous êtes au bon endroit. Ce guide étape par étape vous guide à travers une intégration sécurisée en utilisant Samba, Kerberos, DNS et des outils d’assistance.
L’objectif est de permettre aux systèmes Ubuntu de s’authentifier contre Active Directory, tout comme les clients Windows natifs. Cela rationalise le contrôle d’accès centralisé et garantit l’application cohérente des politiques utilisateur dans toute votre infrastructure.
1. Spécifier le nom de l’ordinateur configuré dans le fichier /etc/hostname
Interroger le nom d’hôte actuel :
cat /etc/hostname
Si nécessaire, spécifiez un nouveau nom d’hôte :
echo myhost > /etc/hostname
Remarque. Le nom d’hôte ne peut pas être localhost, car localhost est le nom pour 127.0.0.1 (spécifié dans le fichier /etc/hosts lors de l’installation du système d’exploitation).
2. Spécifier le nom complet du contrôleur de domaine dans le fichier /etc/hosts
Ajoutez un enregistrement statique avec le nom complet du contrôleur de domaine à la fin du fichier /etc/hosts. La traduction entre l’adresse IP et le nom de l’ordinateur est nécessaire afin que vous puissiez utiliser le nom d’hôte au lieu de l’adresse IP.
echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts
3. Définir un serveur DNS sur l’ordinateur configuré
Le contrôleur de domaine doit être la première option de recherche. Ajoutez l’adresse IP du contrôleur de domaine dans le fichier /etc/resolv.conf. Dans la plupart des distributions, resolv.conf est généré automatiquement, donc ajoutez l’adresse IP du contrôleur de domaine dans le fichier /etc/resolvconf/resolv.conf.d/head.
sudo vim /etc/resolvconf/resolv.conf.d/head
Modifiez le fichier ouvert comme suit :
domain domain.com search domain.com nameservernameserver 8.8.8.8
Redémarrez le service réseau.
/etc/init.d/networking restart
Utilisez la commande nslookup pour vérifier.
nslookup www.google.com
4. Configurer la synchronisation horaire
L’heure du système sur la machine doit être synchronisée avec l’heure du système sur le serveur du contrôleur de domaine. Installez l’outil ntp et modifiez le fichier ntp.conf.
sudo apt-get install ntp sudo vim /etc/ntp.conf
Modifiez le fichier comme suit.
server dc.domain.com
Redémarrez le démon ntpd.
sudo /etc/init.d/ntp restart
5. Installer un client Kerberos
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config
6. Installer Samba, Winbind et NTP
sudo apt-get install samba winbind ntp
7. Modifier le fichier /etc/krb5.conf pour ajouter le nom complet du domaine, le nom du contrôleur de domaine et le paramètre realm
Important : Ne laissez aucun commentaire précédé du caractère “#” dans le fichier de configuration.
[libdefaults]
default_realm = DOMAIN.COM
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = hostname.domain.com
admin_server = hostname.domain.com
default_domain = DOMAIN.COM
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
8. Modifier le fichier /etc/samba/smb.conf pour ajouter le nom de domaine court et le nom complet du domaine :
Important : Ne laissez aucun commentaire précédé du caractère “#” dans le fichier de configuration.
[global] workgroup = DOMAIN realm = DOMAIN.COM security = ADS encrypt passwords = true socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes
Remarque. Avant d’utiliser le fichier de configuration, supprimez les lignes de commentaire.
9. Rejoindre le domaine :
net ads join -U Administrator
Après avoir rejoint le domaine avec succès, vous pourrez effectuer un ping sur les noms d’hôte d’Active Directory, par exemple :
ping johnny.domain.com
10. Vérifiez que l’authentification pour un utilisateur d’Active Directory est réussie :
kinit [email protected]
Remarque : Tapez le nom du domaine en majuscules.
Si tout a été configuré correctement, le ticket sera créé.
klist
Et voilà — vous avez maintenant connecté votre système Ubuntu à Active Directory, permettant une authentification sécurisée entre votre poste de travail Linux et votre environnement de domaine Windows.
Vous souhaitez étendre cette intégration à vos bases de données ? Consultez notre guide sur l’authentification Active Directory pour MySQL.
Que vous gériez une infrastructure hybride ou intégriez Ubuntu pour un contrôle d’accès centralisé, DataSunrise prend en charge une authentification sécurisée et conforme aux normes dans les environnements Linux et Windows.
Si votre organisation traite des données sensibles ou doit répondre à des exigences de conformité sous GDPR, SOX ou HIPAA, DataSunrise offre une protection complète avec une journalisation d’audit avancée, une application de règles de sécurité puissante et un masquage des données en temps réel. Demandez une démo pour découvrir comment nous aidons les organisations à rester sécurisées et conformes.
