• Aucun résultat trouvé

Mission 11 : Intégration d un Linux dans l Active Directory

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Mission 11 : Intégration d un Linux dans l Active Directory"

Copied!
15
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Mission 11 : Intégration d’un Linux dans l’Active Directory

Dans cette partie, je vais intégrer une machine Linux qui gère le serveur web à distance.

Pour cela, on commence par modifier les informations de la carte graphique : /etc/network/interfaces

Dans le fichier, on renseigne les informations du réseau où se trouve le contrôleur de domaine :

Puis, on redémarre le service network Service networking restart

Ensuite on modifie le fichier, host pour intégrer le serveur DNS avec son adresse IP. Cette modification se fait dans le fichier /var/run/NetworkManager/resolv.conf ou encore /etc/resolv.conf

Ensuite, je dois installer des services pour qu’il puisse rejoindre et communiquer avec un contrôleur de domaine Windows.

Pour cela, il faut commencer par installer Kerberos car il permet de gérer l’authentification sous l’Active Directory ainsi que la distribution de tickets.

(2)

Kerberos -> apt-get install krb5-user

Lors de l’installation, ces fenêtres apparaissent où l’on doit renseigner différentes informations :

- Ici, on donne l’information du nom de la forêt maitre

- Le nom du serveur maître de contrôleur de domaine

(3)

- Le nom du serveur où se trouve le contrôleur de domaine :

- Ainsi que le nom du serveur d’authentification Kerberos, là où se trouve donc l’Active Directory

Si ces fenêtres n’apparaissent pas, il faut aller modifier le fichier de configuration qui se trouve dans /etc/krb5.conf

(4)

Pour vérifier que la connexion se fasse correctement, je lance la commande KINIT administrateur ainsi qu’un KLIST pour vérifier que le ticket reçu n’a pas eu d’erreur

Pour la gestion des fichiers partagés et des ressources, cela se fait grâce au service Samba. Je dois également installer un autre composant qui permet de se loguer sur une machine Linux avec des identifiants Windows.

Installation de samba et de Winbind :

apt-get install samba winbind samba-common-bin

Je commence par configurer le fichier samba : /etc/samba/smb.conf.

(5)

Le fichier ressembler à ça :

workgroup : indique le nom du domaine realm : nom du serveur Active Directory

password server : indique le nom du serveur par lequel l’authentification se fera security : permet de choisir comment les utilisateurs s’authentifient ADS pour l’Active Directory

winbind separator : définit le séparateur utilisé pour la connexion et l’appel d’utilisateur du domaine, tel que sous Windows ACADEMYPARIS\Administrateur winbind enum users : Accéder à la liste des utilisateurs via la commande getent winbind enum groups : idem mais pour les groupes

template homedir : l’utilisateur aura un sous répertoire local dans « /home ». Le %D aura pour nom le nom de domaine et le %U sera le num_user. Le chemin sera donc /home/ACADEMYPARIS/user

client use spnego : Negociation d’authentification et active le Kerberos.

winbind use default domain : refuser la connexion par la saisi du nom de domaine et accepter la connexion en normal avec uniquement l’utilisateur.

Winbind offline logon : autorise la connexion d’un utilisateur du domaine en mode hors ligne. Il doit avoir une première connexion réussie.

domain master : Empêche notre machine linux de rediriger elle-même les requêtes vers un domaine sur un contrôleur spécifique en explorant toute l’arborescence.

(6)

local master : Empêche notre machine linux de rediriger lui-même les requêtes de sons sous-réseau vers un domaine sur un contrôleur spécifique en explorant toute l’arborescence.

os level : Permet de définir le niveau de priorité d’explorateur de notre machine pour rediriger les requêtes.

Le chemin d’accès aux logs :

Le rôle du client et son authentification :

(7)

idmap uid : spécifie l’étendue des identifiants applicables aux utilisateurs idmap gid : idem pour les groupes

template shell : terminal par défaut .

Ensuite, on a les caractéristiques des dossiers partagés et qui peut le faire ainsi que les chemins des dossiers :

(8)
(9)

Ensuite, on lance la commande testparm pour être sûr que la syntaxe est correcte :

Je relance les services samba et winbind :

Une synchronisation réussie va avec un réglage de l’heure synchrone. Pour être sûr qu’il n’y aura pas de problème, je vais régler l’heure de la machine qui se synchronisera avec celui du serveur via le serveur NTP. Le fichier se trouve dans

(10)

Ensuite, je joins la machine au domaine via la commande net ads join :

Sur le serveur BTS, dans l’active Directory, on retrouve bien notre ordinateur :

A partir de la machine Linux, via la commande wbinfo, je retrouve bien les informations qui se trouve sur le contrôleur de domaine :

(11)

A partir de cette commande, je peux avoir le SID d’un élément/objet :

Pour finir l’intégration, nous allons apporter des modifications au fichier nsswitch et pam.

Le fichier nsswitch, Name Service switch, est un fichier de configuration qui regroupe les bases de données dans une liste et permet de gérer l’authentification. Donc, à travers ce fichier, on annonce que l’authentification se fera à travers winbind.

(12)

Le fichier pam quant à lui, gère l’authentification par le mot de passe, on va donc lui

demander d’autoriser les connexions des utilisateurs venant du domaine. Le fichier à modifier se trouvent dans /etc/pam.d. C’est aussi à travers ce fichier que l’on peut renforcer la sécurité des mots de passe.

Le fichier se résume ainsi avec 3 champs : - 1er champ indique le nom de l’application - 2ème champ indique le type de module

o auth : compare avec la base le mot de passe

o account : établi la validité utilisateur/mot de passe et peut forcer la modification de celui là

o password : la politique de changement du mot de passe o session : pour loguer les connexions

- 3ème champ indique un drapeau de contrôle, donc valide ou non ce qui entre : o Required : Test doit réussir, mais peut être

o requisite : Test obligatoirement valide, sinon Refusé o optimal : test ignoré

o sufficient : test ok, acceptation de l’authentification

Ensuite, on a les modules à appliquer pour chaque :

pam_cracklib : Permet d'accepter ou de rejeter un mot de passe, si celui-ci se trouve dans un dictionnaire. Il permet aussi de vérifier que vous ne réutilisez pas le même mot de passe. Vous pouvez le faire suivre de retry=n (le nombre de tentatives) minlen=n (la longueur imposée) difok=n (nombre de caractères qui sont dans le vieux mot de passe et que l'on ne peut pas retrouver dans le nouveau).

pam_denv : Permet de spécifier des variables d'environnements spécifiées dans /etc/security/pam_env.conf à tout utilisateur qui se connecte sur la machine.

pam_unix : Module de base qui gère la politique d'authentification. On peut l’associer avec :

(13)

- nullock pour autoriser un mot de passe vide - md5 pour le type de cryptage

- debug pour loguer les informations à syslog

- remember=n pour ce souvenir des n derniers mots de passe utilisés.

pam_pwdb : module de base, qui a les mêmes options que pam_unix.

pam_time : autorise un accès par heure. La configuration se faisant dans le fichier /etc/security/time.conf.

pam_wheel : permet de limiter l'accès à root via la commande su qu'aux seuls membres du groupe wheel.

pam_limits : Permet de limiter les ressources mis à la disposition d'un utilisateur. Il faut alors configurer le fichier /etc/security/limits.conf.

pam_nologin : permet de désactiver les comptes. Il faut alors créer le fichier /etc/nologin et alors il n'y a plus que root qui puisse se connecter.

pam_access : Ce module permet de contrôler les utilisateurs par nom, machine, domaine, adresse IP, terminal. Vous devez alors configurer le fichier /etc/security/access.conf

pam_deny : Vous pouvez l'utiliser dans /etc/security/other pour auth, account, password et session avec required.

pam_securrety : Vérifie que le compte root a la possibilité de se connecter sur cette console.

Pour cela il faut qu'elle soit indiquée dans le fichier /etc/securrety.

pam_warm : log les informations à syslog

pam_console : permet de spécifier les autorisations d'accès à la console. Il faut alors configurer /etc/security/console.perms.

pam_stack : généralement suivi de service=system-auth, permet de renvoyer sur system-auth.

pam_ldap : permet d'effectuer l'authentification sur une base ldap.

On modifie le fichier commont-account :

(14)

Ainsi que le fichier common-auth :

Et, pour finir le fichier common-session :

On ajoute cette ligne dans le fichier /etc/security/pam_winbind.conf

On crée un dossier Academyparis dans home avec une permission :

L’utilisateur peut maintenant se connecter via la machine Linux en SSH.

(15)

A chaque redémarrage, le fichier host se vidait de lui-même et donc je rencontrais souvent des problèmes d’erreurs. Pour palier à ce souci, j’ai installé le paquet resolvconf puis j’ai modifié le fichier /etc/resolvconf/resolv.conf.d/base

Références

Télécharger maintenant ( PDF - 15 Page - 1.17 MB )

Documents relatifs

Integrating Red Hat Enterprise Linux 6 with Active Directory

It is essential that the time service on the Red Hat Enterprise Linux 6 systems and Active Directory (Windows 2008) server are synchronized, otherwise Kerberos authentication may

Linux – REDHAT - Service et configuration du noyau

Charger, afficher et supprimer les modules du noyau Afficher les informations de configuration système dans le système de fichier /proc.. Configurer des paramètres d’exécution avec

Authentification Linux / MacOSX Authentification Linux / MacOSX

e.blindauer@unistra.fr e.blindauer@unistra.fr Direction Informatique Direction Informatique.

Fichier PDF liste engagés.pdf

[r]

Fichier PDF liste avitaillement.pdf

[r]

Fichier PDF Liste Authentifieurs.pdf

Nagasaki Père Louis Floresce. Pékin Zhang

Fichier PDF liste-ville.pdf

Objet: assister et fédérer les personnes et les collectifs qui luttent pour la sécurité sanitaire des populations exposées aux nouvelles technologies de télécommunications

LISTE DES BASES DE DONNÉES

Domaine : Droit international Documents : décisions de justice Dates de couverture : À partir de 1812 Oxford Legal Research Library Type : base de données bibliographique Editeur