Intégrer une machine Linux dans un domaine Windows Active Directory
Intégrer une station de travail Ubuntu avec Windows Active Directory (AD) est un défi courant, surtout dans les environnements mixtes utilisant à la fois des systèmes Linux et Windows. Pour les utilisateurs de DataSunrise, cette intégration permet une authentification et un contrôle d’accès transparents entre les plateformes. Ce guide décrit les étapes nécessaires pour configurer Ubuntu pour une authentification contre un serveur AD centralisé, assurant ainsi une gestion efficace de la sécurité au sein de votre réseau.
1. Spécifiez le nom de l’ordinateur configuré dans le fichier /etc/hostname
Interrogez le nom d’hôte actuel :
cat /etc/hostnameSi nécessaire, spécifiez un nouveau nom d’hôte :
echo monhote > /etc/hostnameNote. Le nom d’hôte ne peut pas être localhost, car localhost est le nom pour 127.0.0.1 (spécifié dans le fichier /etc/hosts lors de l’installation du système d’exploitation).
2. Spécifiez le nom complet du contrôleur de domaine dans le fichier /etc/hosts
Ajoutez un enregistrement statique avec le nom complet du contrôleur de domaine à la fin du fichier /etc/hosts. La traduction entre l’adresse IP et le nom de l’ordinateur est nécessaire pour que vous puissiez utiliser le nom d’hôte au lieu de l’adresse IP.
echo 192.168.1.51 nomdomaine.local nomdomaine >> /etc/hosts 3. Configurez un serveur DNS sur l’ordinateur configuré
Le contrôleur de domaine doit être la première option de recherche. Ajoutez l’adresse IP du contrôleur de domaine à /etc/resolv.conf. Dans la plupart des distributions, resolv.conf est généré automatiquement, ajoutez donc l’adresse IP du contrôleur de domaine au fichier /etc/resolvconf/resolv.conf.d/head.
sudo vim /etc/resolvconf/resolv.conf.d/headModifiez le fichier ouvert comme suit :
domain domaine.com search domaine.com nameserver <adresse IP du contrôleur de domaine> nameserver 8.8.8.8
Redémarrez le service réseau.
/etc/init.d/networking restartUtilisez la commande nslookup pour vérifier.
nslookup www.google.com 4. Configurez la synchronisation de l’heure
L’heure système de la machine doit être synchronisée avec l’heure système du serveur contrôleur de domaine. Installez l’outil ntp et modifiez le fichier ntp.conf.
sudo apt-get install ntp
sudo vim /etc/ntp.conf Modifiez le fichier comme suit.
# Vous devez parler à un serveur NTP ou deux (ou trois). server dc.domaine.com
Redémarrez le démon ntpd.
sudo /etc/init.d/ntp restart 5. Installez un client Kerberos
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config 6. Installez Samba, Winbind et NTP
sudo apt-get install samba winbind ntp 7. Modifiez le fichier /etc/krb5.conf pour ajouter le nom complet du domaine, le nom du contrôleur de domaine et le paramètre realm
Important : Ne laissez aucun commentaire marqué avec le signe “#” dans le fichier de configuration.
[libdefaults]
default_realm = DOMAINE.COM # paramètre spécifique au domaine (nom complet du domaine)
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAINE.COM = {
kdc = nomhote.domaine.com # paramètre spécifique au domaine (nom du contrôleur de domaine)
admin_server = nomhote.domaine.com # paramètre spécifique au domaine (nom du contrôleur de domaine)
default_domain = DOMAINE.COM # paramètre spécifique au domaine (nom complet du domaine)
}
[domain_realm]
.domaine.com = DOMAINE.COM # paramètre spécifique au domaine (nom du domaine pour les noms DNS)
domaine.com = DOMAINE.COM # paramètre spécifique au domaine (nom du domaine pour les noms DNS)
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
} 8. Modifiez le fichier /etc/samba/smb.conf pour ajouter le nom court du domaine et le nom complet du domaine :
Important : Ne laissez aucun commentaire marqué avec le signe “#” dans le fichier de configuration.
[global] workgroup = DOMAINE # paramètre spécifique au domaine (nom court du domaine) realm = DOMAINE.COM # paramètre spécifique au domaine (nom complet du domaine) security = ADS encrypt passwords = true socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Entrez\sle\snew\s*\smot de passe:* %n\n *Retapez\sle\snew\s*\smot de passe:* %n\n *mot de passe\smis à jour\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes
Note. Avant d’utiliser le fichier de configuration, supprimez les lignes de commentaires.
9. Entrez dans le domaine :
net ads join -U AdministrateurAprès avoir rejoint le domaine avec succès, vous pourrez ping les noms d’hôte Active Directory, par ex.:
vertica@vertica:~/ds$ ping johnny.domaine.com
PING johnny.domaine.com (192.168.1.39) 56(84) octets de données.
64 octets de johnny.domaine.com (192.168.1.39) : icmp_seq=1 ttl=128 temps=0.200 ms
64 octets de johnny.domaine.com (192.168.1.39) : icmp_seq=2 ttl=128 temps=0.560 ms 10. Vérifiez que l’authentification d’un utilisateur Active Directory est réussie :
kinit [email protected]Note. Tapez le nom du domaine en majuscules.
Si tout a été configuré correctement, le ticket sera créé.
Assurez-vous que le ticket a été créé :
klistEt voilà, une station de travail Ubuntu intégrée à Windows Active Directory.
Veuillez vous référer à Authentification Active Directory pour MySQL Database si vous avez besoin de plus d’informations.
Votre base de données contient-elle des informations sensibles nécessitant une protection ? Devez-vous vous conformer à des règlements comme le GDPR, la SOX ou la HIPAA ? Explorez la solution complète de DataSunrise pour l’audit, la sécurité et le masquage des données. Essayez notre essai gratuit ou programmez une démonstration en ligne pour voir comment nous pouvons protéger vos données et assurer la conformité réglementaire.
