Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:comment_ajouter_machine_ubuntu_dans_domaine_active_directory [Le 05/02/2010, 10:02] rorist |
tutoriel:comment_ajouter_machine_ubuntu_dans_domaine_active_directory [Le 11/09/2022, 12:19] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>Dapper Feisty Gutsy windows authentification tutoriel BROUILLON}} | + | {{tag>Focal windows authentification tutoriel}} |
| ---- | ---- | ||
| Ligne 9: | Ligne 9: | ||
| ^ Nom ^ Version ^ | ^ Nom ^ Version ^ | ||
| - | | Microsoft Windows Server | 2003 SP1 ou supérieur | | + | | Microsoft Windows Server | 2007 | |
| - | | Linux | Ubuntu 6.06 ou supérieur | | + | | Linux | Ubuntu 16.04 LTS | |
| | Winbind | 3.0.22-Ubuntu ou supérieur | | | Winbind | 3.0.22-Ubuntu ou supérieur | | ||
| | Samba | 3.0.22-Ubuntu ou supérieur | | | Samba | 3.0.22-Ubuntu ou supérieur | | ||
| Ligne 36: | Ligne 36: | ||
| | 172.20.20.20 | Adresse IP du contrôleur de domaine | | | 172.20.20.20 | Adresse IP du contrôleur de domaine | | ||
| | 10.0.0.2 | Adresse IP du serveur de temps | | | 10.0.0.2 | Adresse IP du serveur de temps | | ||
| + | |||
| + | |||
| + | <note tip>Un problème existe avec Likewise dans Ubuntu 10.04. Un script d'installation semi automatique d'un poste Ubuntu 10.04 à un serveur AD 2003 est en cours d'élaboration ici : https://forum.ubuntu-fr.org/viewtopic.php?id=395977&p=1</note> | ||
| ===== Réglage de l'heure ===== | ===== Réglage de l'heure ===== | ||
| Ligne 50: | Ligne 53: | ||
| sudo /usr/sbin/ntpdate-debian | sudo /usr/sbin/ntpdate-debian | ||
| - | Comme tout horloge, il y aura des dérives au fil du temps. Il faut donc synchroniser régulièrement l'heure ! On peut mettre la commande précédente dans une tâche cron qui s'exécutera tous les jours, surtout pas à minuit (si tout le monde choisi la même heure, surtout sur les serveurs publics, cela fait un pic de charge énorme: il vaut mieux choisir une heure "non ronde"). Pour cela éditez la crontab de l'utilisateur root : | + | Comme toute horloge, il y aura des dérives au fil du temps. Il faut donc synchroniser régulièrement l'heure ! On peut mettre la commande précédente dans une tâche cron qui s'exécutera tous les jours, surtout pas à minuit (si tout le monde choisi la même heure, surtout sur les serveurs publics, cela fait un pic de charge énorme: il vaut mieux choisir une heure "non ronde"). Pour cela éditez la crontab de l'utilisateur root : |
| sudo crontab -e | sudo crontab -e | ||
| et insérez | et insérez | ||
| Ligne 91: | Ligne 94: | ||
| dans le fichier : | dans le fichier : | ||
| - | /etc/samba/lwiauthd.conf | + | /etc/samba/smb.conf |
| afin de ne plus devoir préciser DOMAIN\ à chaque fois que vous vous identifiez | afin de ne plus devoir préciser DOMAIN\ à chaque fois que vous vous identifiez | ||
| - | source : http://anothersysadmin.wordpress.com/2008/04/06/howto-active-directory-authentication-in-ubuntu-804/ | + | source : https://anothersysadmin.wordpress.com/2008/04/06/howto-active-directory-authentication-in-ubuntu-804/ |
| ==== Programmes requis ==== | ==== Programmes requis ==== | ||
| - | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt://krb5-user|krb5-user]]**. | + | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt>krb5-user]]**. |
| Configurer Kerberos (//via// le fichier « /etc/krb5.conf ») n'est pas nécessaire, si les enregistrements du service DNS sont correctement configurés pour Kerberos. | Configurer Kerberos (//via// le fichier « /etc/krb5.conf ») n'est pas nécessaire, si les enregistrements du service DNS sont correctement configurés pour Kerberos. | ||
| + | |||
| + | * MONDOMAINE = Correspond au nom NETBIOS: EXAMPLE.COM | ||
| + | * MonDomaine = Correspond au suffixe DNS: exemple.com | ||
| + | |||
| Fichier « /etc/krb5.conf » : | Fichier « /etc/krb5.conf » : | ||
| Ligne 120: | Ligne 127: | ||
| kdc = ServeurKRB.MonDomaine:88 | kdc = ServeurKRB.MonDomaine:88 | ||
| admin_server = ServeurCD.MonDomaine:749 | admin_server = ServeurCD.MonDomaine:749 | ||
| - | default_domain = MonDomaine | + | default_domain = MONDOMAINE |
| } | } | ||
| - | |||
| - | [v4 domain_realm] | ||
| - | MonDomaine = MONDOMAINE | ||
| [domain_realm] | [domain_realm] | ||
| Ligne 143: | Ligne 147: | ||
| Password for Utilisateur@MONDOMAINE: **** | Password for Utilisateur@MONDOMAINE: **** | ||
| </code> | </code> | ||
| + | |||
| + | <note>Il semble qu'il y ait des problèmes au niveau de la résolution de noms quand on execute cette commande, la commande 'kinit' utilise 'avahi-daemon' pour résoudre le nom, et cette résolution se fait avec le protocole MDNS (port 5353) (si je ne m'abuse c'est un protocole apprécié par MAC (apple), faire des recherches sur Zeroconf). Or la recherche doit se faire avec le protocole DNS (port 53) si elle espère une réponse. | ||
| + | |||
| + | Je propose de modifier le fichier /etc/nsswitch.conf (ce n'est peut-être pas très propre mais au moins ça fonctionne) : | ||
| + | |||
| + | à la ligne " hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 " | ||
| + | remplacer par : " hosts: dns ". | ||
| + | |||
| + | |||
| + | Cette info me vient de launchpad : [[https://bugs.launchpad.net/ubuntu/+source/avahi/+bug/94940]] | ||
| + | </note> | ||
| + | |||
| Dans certains cas plusieurs erreurs peuvent apparaitre : | Dans certains cas plusieurs erreurs peuvent apparaitre : | ||
| Ligne 184: | Ligne 200: | ||
| password server = ServeurCD.MonDomaine | password server = ServeurCD.MonDomaine | ||
| workgroup = MonDomaine | workgroup = MonDomaine | ||
| - | winbind separator = + | + | winbind separator = / |
| idmap uid = 10000-20000 | idmap uid = 10000-20000 | ||
| idmap gid = 10000-20000 | idmap gid = 10000-20000 | ||
| Ligne 202: | Ligne 218: | ||
| On redémarre le service pour prendre en compte les nouveaux paramètres. | On redémarre le service pour prendre en compte les nouveaux paramètres. | ||
| - | sudo /etc/init.d/samba restart | + | sudo service smbd restart |
| Ligne 208: | Ligne 224: | ||
| <code> | <code> | ||
| - | sudo net join ads -U Administrateur -S ServeurCD.MonDomaine | + | sudo net ads join -U Administrateur -S ServeurCD.MonDomaine |
| Using short domain name – MONDOMAINE | Using short domain name – MONDOMAINE | ||
| Joined 'MaMachine' to realm 'MONDOMAINE' | Joined 'MaMachine' to realm 'MONDOMAINE' | ||
| Ligne 227: | Ligne 243: | ||
| </code> | </code> | ||
| + | ou encore | ||
| + | <code> | ||
| + | sudo /etc/init.d/avahi-daemon stop | ||
| + | </code> | ||
| + | plus de détail sur l'erreur avec -d 3 | ||
| + | <code> | ||
| + | sudo net join ads -U Administrateur -S ServeurCD.MonDomaine -d 3 | ||
| + | </code> | ||
| ==== Redémarrer Winbind ==== | ==== Redémarrer Winbind ==== | ||
| Ligne 301: | Ligne 325: | ||
| - | ===== PAM ===== | + | ==== PAM ==== |
| Avec cette configuration, vous pouvez accéder à la machine à l'aide d'un compte local ou un compte du domaine. À la première connexion d'un utilisateur, un répertoire « home » sera créé. | Avec cette configuration, vous pouvez accéder à la machine à l'aide d'un compte local ou un compte du domaine. À la première connexion d'un utilisateur, un répertoire « home » sera créé. | ||
| Ligne 325: | Ligne 349: | ||
| <note tip>Si vous voulez que les utilisateurs n'aient pas le droit d'écrire dans le répertoire qui leur sera assigné, mettre : | <note tip>Si vous voulez que les utilisateurs n'aient pas le droit d'écrire dans le répertoire qui leur sera assigné, mettre : | ||
| <file>umask=0000</file></note> | <file>umask=0000</file></note> | ||
| - | |||
| - | Dans « /etc/pam.d/sudo » : | ||
| - | <file> | ||
| - | auth sufficient pam_winbind.so | ||
| - | auth required pam_unix.so use_first_pass | ||
| - | </file> | ||
| ===== Configuration finale ===== | ===== Configuration finale ===== | ||
| Ligne 340: | Ligne 358: | ||
| Mais il faut attribuer des droits au dossier : | Mais il faut attribuer des droits au dossier : | ||
| - | sudo chmod 777 /home/MONDOMAINE | + | sudo chmod 755 /home/MONDOMAINE |
| ===== Utilisation ===== | ===== Utilisation ===== | ||
| Ligne 355: | Ligne 372: | ||
| <note tip>En ajoutant le paramètre « winbind use default domain = yes » dans la configuration de Samba, il n'est plus nécessaire de spécifier le domaine lors de la connexion sur le domaine par défaut.</note> | <note tip>En ajoutant le paramètre « winbind use default domain = yes » dans la configuration de Samba, il n'est plus nécessaire de spécifier le domaine lors de la connexion sur le domaine par défaut.</note> | ||
| + | |||
| + | Penser a autoriser les sessions de domaine dans LightDM (https://doc.ubuntu-fr.org/lightdm) | ||
| + | par l'ajout dans le fichier /etc/lightdm/lightdm.conf des lignes suivantes: | ||
| + | [SeatDefaults] | ||
| + | greeter-show-manual-login=true | ||
| Ligne 365: | Ligne 387: | ||
| sudo /etc/init.d/winbind restart | sudo /etc/init.d/winbind restart | ||
| + | Il est possible aussi que le linux perde la connectivité lors de la mise en veille et ne retrouve pas le compte de l'utilisateur par la suite. | ||
| + | Pour résoudre le problème : | ||
| + | |||
| + | Passer en root : | ||
| + | |||
| + | sudo su | ||
| + | |||
| + | Interroger la base de compte : | ||
| + | |||
| + | sudo getent passwd | ||
| + | |||
| + | Puis taper : | ||
| + | |||
| + | login {USERNAME} | ||
| + | Fermer la session et vous devriez voir le nom de l'utilisateur dans la liste des connexions disponible. | ||
| ===== Utiliser le compte utilisateur AD en mode hors connexion ===== | ===== Utiliser le compte utilisateur AD en mode hors connexion ===== | ||
| Ligne 393: | Ligne 430: | ||
| ---- | ---- | ||
| - | //Contributeurs principaux : [[:utilisateurs:OStaquet]], [[:utilisateurs:Ner0lph]] (mise en forme), [[:utilisateurs:bob philomene]], [[:utilisateurs:pouchat]].// | + | //Contributeurs principaux : [[:utilisateurs:OStaquet]], [[:utilisateurs:Ner0lph]] (mise en forme), [[:utilisateurs:Bob Philomene]], [[:utilisateurs:pouchat]].//, 007m |