Systemes et machines
Pour ce faire, on a besoin de deux machines, l'une toune sur windows 2K3, avec rôle de Active Directory et une machine qui tourne sur debian 4.0 entre autre...Ces machines devront faire partie du même reseau et devront se pinguer entre elles pour verifier la conectivité.
la prenmiere machine a pour nom netbios "2K3" et l'autre "debian"
Fichier host sur la débian
Pour faire la relation entre un nom de machine ou son nom complet (FQDN) machine.domaine on crée autant de lignes que de machines sur le réseau dans le fichier hosts se trouvant dans /etc soit :
le nom de la machine windows :2K3 son ip 192.168.0.10 son domaine : toto.com
le nom de la machine linux:debian son ip 192.168.0.11 127.0.0.1
on va donc ajouter les lignes :192.168.0.10 2K3.toto.com 2K3
192.168.0.11 debian.toto.com debian
ntpdate pour syncho du temps avec windows
Pour pouvoir etre en phase avec windows il faut télécharger le petit serveur de temps ntpdate avec un petit : apt-get install ntpdate
modifier le fichier etc/default/ntpdate avec les parametres adequats
# servers to checkNTPSERVERS="win2k3.toto.com"
# additional options for ntpdateNTPOPTIONS="-u"
on peut forcer la syncho en tappant toujours dans la console ntpdate 192.168.0.10 (ip du dc quoi...)en tappant cette fois \"date\" la console affiche le temps à la seconde ce qui permet de comparer à l\'horloge du controleur de domaine windows
Installation de Kerberos
Il faut télécharger les packets krb5-user et libpam-krb5 Lors de l'install tapper les réponses adequat :
What are the Kerberos servers for your realm?2k3.toto.com
What is the administrative server for your Kerberos realm?2k3.toto.com
Dans le fichier /etc/krb5.conf appliquer la config suivant vos parametres
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = TOTO.COM
# dns_lookup_realm = false
# dns_lookup_kdc = true
[realms]
TOTO.COM = {
kdc = 2k3.toto.com:88
admin_server = 2k3.toto.com
default_domain = TOTO.COM
}
[domain_realm]
.toto.com = TOTO.COM
toto.com = TOTO.COM
Pour tester l'efficacité de kerbéros, on va se servir d'un compte d'admin , on va ouvrir un ticket kerberos avec ce compte en tappant la commande :
kinit Administrator
la console affiche ce message, Password for Administrator@TOTO.COM:
tapper alors le mot de passe, si c'est bon, pas de message d'erreur, sinon verifier en respectant lettres capitales ou parfois il est necessaire de reinitialiser le mot de passe de l'admin dans active directory pour que ca passe quit à remettre le meme mot de passe
si la console nous rend la main sans message d'erreur on peut s'assurer du succes de louverture du ticket en tappant:
klist
la console nous renvoie alors :Ticket cache: FILE:/tmp/krb5cc_0Default principal: Administrator@TOTO.COMavec date de creation et d'expiration
Joindre le debian au domaine windows
Nous allons pour cela installer winbind, samba,smbclient toujour à l'aide d'apt-get
On va apres cela etablir la config ci-dessous dans ce fichier /etc/samba/smb.conf
moi je suis novice et me contente juste de ces lignes...
[global]
security = ads
realm = TOTO.COM
password server = toto.com
# note that workgroup is the \'short\' domain name
workgroup = TOTO
# winbind separator = + idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes restrict anonymous = 2
# to avoid the workstation from
# trying to become a master browser
# on your windows network add the
# following lines
domain master = no
local master = no
preferred master = no
os level = 0
Nous alons redemarrer les deamons pour prendre en consideration les modifs :
/etc/init.d/winbind restart
/etc/init.d/samba restart
il ne reste plus qu'à ouvrir un ticket kerberos avec kinit (au fait kerberos c est le process qui gere toutes les identifications windows) et une fois le ticket validé, tapper ceci :
net ads join -U administrateur
renseigner alors le mot de passe
nb parfois on a pas besoin du -U administrateur...
En cas de succes la console retorque, Joined 'debian' to realm 'TOTO.COM\ et voila, un ptit tuto grossomodo pour les grandes lignes ;)
en regardant dans AD oh miracle un ninux !!!!!!!
Aucun commentaire:
Enregistrer un commentaire