GERBELOTBARILLON.COM

Parce qu'il faut toujours un commencement...

Ubuntu

Joindre un domaine Active Directory Mapper des lecteurs partagés

Joindre un domaine Active Directory

L'objectif est d'utiliser une machine fonctionnant sous Ubuntu Desktop pour la faire joindre à un domaine Windows et utiliser un compte Windows pour s'y connecter. En d'autres termes, utiliser Ubuntu comme Windows (oui c'est possible ma bonne dame...).

Si la carte réseau est sur le bon sous-réseau sur lequel vous avez disposé votre contrôleur de domaine Windows et que votre configuration DNS de votre carte réseau pointe vers le serveur DNS (votre contrôleur de domaine donc). Alors, en supposant que votre domaine soit lgb.dom et que l'IP du contrôleur soit 10.10.10.10 : 

$ ping 10.10.10.10

De même, en faisant un ping sur le domaine 

$ ping lgb.dom

Ou bien enfin avec un nom complet du contrôleur de domaine, nom FQDN 

$ ping ad01.lgb.dom

Mettez à jour votre environnement par 

$ sudo apt update
Ensuite installez les paquets requis pour la bonne intégration d'Ubuntu dans un domaine Windows. 
$ sudo apt install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp
Durant l'installation de Kerberos, vous allez devoir répondre à quelques questions pour l'authentification à savoir le nom du domaine (EN MAJUSCULES, c'est important sinon cela ne fonctionnera pas) et le nom du serveur d'authentification AD01.LGB.DOM. Cela va renseigner le fichier /etc/krb5.conf qu'il faudra modifier en cas de problème.

Pour que la jonction au domaine se passe convenablement, il faut modifier temporairement le fichier /etc/hosts pour ajouter les informations relatives à votre contrôleur de domaine avec, pour ma part : 

10.10.10.10   ad01.lgb.dom ad01
et également modifier le nom de votre machine pour simuler le nouveau nom qu'elle aura une fois jointe au domaine (en supposant que votre machine s'appelle machine) 
$ sudo hostnamectl set-hostname machine.lgb.dom
Pour vérifier que vos DNS ont bien été pointés vers le contrôleur du domaine Windows, lancez la commande 
$ systemd-resolve --status
et regardez la valeur de la ligne Current DNS Server. Vous pouvez vérifier les différents éléments logiciels requis pour la jonction au domaine par 
$ sudo realm discover lgb.dom
On peut maintenant joindre le domaine par 
$ sudo realm join lgb.dom -u 'Administrateur@LGB.DOM' -v

Le domaine Kerberos ne dispose d'aucune information spécifique, même une fois que la machine Ubuntu a rejoint le domaine. Seul le fichier /etc/krb5.conf a été modifié pour ajouter le domaine par défaut. Il faut maintenant configurer la manière dont le poste de travail va réagir lorsqu'une connexion s'effectuera : quel homedir pour l'utilisateur ? quel shell ? quel client active directory ? 

$ sudo nano /etc/realmd.conf
Saisir les éléments suivants dans le fichier. Attention à la ligne lgb.dom qui devra correspondre à votre domaine personnel... 

				[users]
				default-home = /home/%D/%U
				default-shell = /bin/bash
				[active-directory]
				default-client = sssd
				os-name = Ubuntu Desktop Linux
				os-version = 20.04
				[service]
				automatic-install = no
				[lgb.dom]
				fully-qualified-names = no
				automatic-id-mapping = yes
				user-principal = yes
				manage-system = no

Intégration de la machine dans le domaine Kerberos par obtention d'un ticket KTGT (Kerberos Ticket-Granting Ticket) : 

$ sudo kinit Administrateur@LGB.DOM

Configurez le fichier sssd.conf 

$ sudo nano /etc/sssd/sssd.conf
Dans le fichier de configuration, ajoutez la ligne 
use_fully_qualified_names = False/pre>
		

		

			Configuration de la création automatique de dossier de base de chaque client depuis le module pam
			qui est appelé au début et à la fin de chaque session
			
$ sudo nano /etc/pam.d/common-session

			Inscrire les éléments suivants dans le fichier
			

				session required pam_unix.so
				session optional pam_winbind.so
				session optional pam_sss.so
				session optional pam_systemd.so
				session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
			

		

		

			Maintenant que la configuration est enfin terminée, rebootez votre machine et tentez une connexion
			sur votre domaine avec un utilisateur de votre domaine (pour moi c'est LGB.DOM\user)

Mapper des lecteurs partagés

$ sudo apt install samba $ sudo apt install winbind smb://10.10.10.10/share1 smb://10.10.10.10/share2 smb://10.10.10.10/MonDossier$