Académique Documents
Professionnel Documents
Culture Documents
TION
NS
LET IntroductionDebianPré-Requis
on
rier et gérer les droits/utilisateurs pour des machines linux lorsque vous avez un domain
y, il peut être utile d'ajouter ces dernières au domaine.
ous permettra d'ouvrir des sessions avec des utilisateurs Du domaine AD, mais aussi
ilisateurs pourront avoirs des droits root, etc.
ermettre de disposer d'une procédure complète, nous allons aussi expliquer l'instalatio
bian GNU/LINUX) et sa configuration réseau.
s
Debian
(taille réduite) est pratique car légère et ne nécessite qu’un faible nombre téléchargemen
dant l’installation si celle-ci est minimale.
ation hors-ligne, récupérez le DVD 1 (image complète).
autres DVD d’image complète pour une utilisation et installations ultérieure de logicie
montés et analysées lors de l’installation pour les prendre en compte dans les sources
fit de suivre les instructions)).
D contiennent les paquets les plus importants des dépôts linux, si notre machine n’accè
sont très pratiques lorsque l’on veut installer un logiciel. Nous utiliserons la derniè
ici la 8.1.0 - nom de code : Jessie) de Debian GNU/Linux.
upérable ici : http://www.debian.org/distrib/
e - Configuration minimale
allable sur une machine physique ou virtuelle (VMware ou Hyper-V, ou Virtual-Box p
t compatible avec énormément de matériel. De plus, ce système est très léger.
Minimale d’après le site officiel :
1GHz, est la configuration minimale recommandée pour une machine de bureau.
guration minimale recommandée
AM (minimum) RAM (recommandée) Disque Dur
4 megaoctets 256 megaoctets 1 gigaoctet
28 megaoctets 512 megaoctets 5 gigaoctets
e, puis on termine le partitionnement :
me de base s’installe :
: Dans le cadre d’une installation hors-ligne via les DVD d’images complètes, il vous se
mandé si vous souhaitez ajouter d’autres DVD aux sources (le DVD1 d’installation éta
aut).Si vous avez prévu d’utiliser la machine hors-ligne pendant un moment, vous devri
es DVD d’installation complète afin d’avoir accès à un maximum de paquets pour install
Pour cela, indiquez oui, puis montez le DVD suivant et suivez les instructions, pu
allation.
nfigurer l’accès aux dépôts de logiciels Debian. Ceci va permettre d’installer des logicie
machine (en effet ceux-ci sont tous sur les dépôts, lorsqu’on lance une command
ion pour un logiciel, le paquet est récupéré sur les serveurs puis installé) :
gne (si nécessaire) le proxy pour accéder à internet :
nstalle le boot loader GRUB 2 (le programme qui va charger le système depuis le MB
au BCD de Windows sauf que GRUB permet des Duals boots / Chainloads avec plein d
Bootmanagers différents et permet une configuration très poussée si besoin en est) :
taller dans le MBR Du disque (en partie) puis scanner les différents systèmes install
son menu de démarrage avec les différentes options de Boot. Exemple de GRUB
s gnome :
se connecter directement en root sur l’interface graphique (pour ne pas tout lancer av
etc.), il faut se connecter en utilisateur « normal », "debian" par exemple que nous avo
stallation.
commandes en root, ouvrir un terminal, saisir su - puis entrez le mot de passe root défi
Vous disposez maintenant d’une session root sur ce terminal jusqu’à ce que vo
u fermiez la fenêtre.
on syntaxique :
re/vim/vimrc
nter la ligne syntax on en supprimant le " devant
commandes (bash)
ie le fichier de configuration Du bash pour avoir une coloration et des alias ( ll sera u
pour ls -l par exemple) -Pour cela on se rend dans le répertoire de notre utilisateur p
s on édite le fichier de config de son bash (.bashrc) :
i vous repérerez plus facilement les données importantes (lors d’une commande grep p
us saurez tout de suite quel utilisateur est logué, etc.
Tools
ans une VM :
8, les VMware Tools n'ont plus besoin d'être installés, les openvmtools sont recommand
open-vm-tools
de bureau (ajoute la gestion de Xorg, etc.):
open-vm-tools-desktop
tion du réseau
on IP statique
n ifconfig (pour InterFaceCONFIG, équivalent de ipconfig sous windows) pour voir l’ét
erfaces :
ue nous n’avons qu’une seule interface Ethernet (ethX) (Lo est la boucle locale).
nt que l’on a une vue d’ensemble sur le matériel réseau de la machine, on va modifier
ion de ces cartes en éditant le fichier : /etc/network/interfaces
work/interfaces
ne vérification avec ifconfig :
ôte (hostname)
l’installation, c’est le nom permettant d’identifier la machine sur le réseau afin d
vec les autres machines.
ue dans le domaine de la machine.
ôte, s'il est correctement résolu, est utilisé par exemple lors d’un : pin
os_de_la_machine_a_pinger>
le, la machine qui fait le Ping va alors interroger de préférence son fichier hosts, puis
DNS pour connaître l’adresse IP du poste ayant ce nom, et ensuite pinger son IP.
OS est défini dans le fichier /etc/hostname. Une modification de ce nom nécessite u
la machine (recommandé), ou du moins une exécution du script /etc/init.d/hostname.sh
pas de modifier le fichier /etc/hosts pour mettre à jour :
omplet (sous forme FQDN si la machine fait partie d’un domaine ou si l’on souhaite qu
e DNS soit le même que les machines du domaine c.à.d. le nom de la machine puis cel
ne dans lequel elle est)
de la machine locale (le raccourci pour éviter de taper le FQDN entier, logiquement
de la machine).
mettre à jour la redirection sur nos serveurs DNS du domaine (Si la machine y à é
tion du nom avec :
Nouveau_Nom" > /etc/hostname
ur du fichier hosts avec :
ts
osts
met d’associer une adresse IP à un nom d’hôte et un alias, il est utile dans le cas où l’o
utiliser de serveur DNS (via le paquet resolvconf, expliqué à la prochaine étape), Ma
ner en performances et en stabilité, on y renseigne de préférence (fortement recommand
de domaine serveurs Active Directory et serveurs DNS. En effet, si on tente de pinger
as) de notre AD par exemple, cela ne fonctionnera pas car la résolution de noms ne se fa
les DNS
es machines du domaine (et aussi des machines sur internet auxquelles on veut accéde
hosts et le maintenir à jour serait impossible, il faut donc indiquer à notre machine l
de notre Domaine, puis lui les faire utiliser afin de pouvoir résoudre les noms de not
nternet si configuré sur notre serveur DNS).
a, nous allons tout d’abord installer le paquet prévu et recommandé par debian po
lvconf
e : resolvconf permet de définir les réglages Dns (/etc/resolv.conf) à partir de
ion d’une interface (/etc/network/interfaces) et apporte plus de flexibilité avec les autr
es. Si l’on ne souhaite pas l’installer on peut ajouter manuellement les Dns da
.conf).
stall resolvconf
uffixe DNS des ordinateurs du domaine (généralement le nom de domaine, utilisé lorsqu
de requète avec le FQDN).
ers : Adresse IP des serveurs DNS du domaine, séparées par un espace.
harge l'interface (on peut faire un ifquery pour vérifier les paramètres au cas où) :
0
ation Distante
distante : SSH
necter au shell à distance lorsque la machine est connectée au réseau (via PUTTY so
xemple, ou n’importe quel client SSH),
taller SSH :
stall ssh
vez maintenant vous connecter à partir de n’importe quel client SSH dans le réseau :
ur voir les interfaces et leur configuration IP sur une machine linux (ipconfig so
r:
nterFaceCONFIG)
: Si vous essayez de vous connecter à distance à partir d’une autre machine linux (client
u, RedHat, etc.) et que la clé SSH a déjà été acceptée sur votre poste et que votre machin
gé d’IP, vous pouvez avoir l’avertissement suivant :
REMOTE HOST IDENTIFICATION HAS CHANGED!
r il faut supprimer la clé d’authentification liée à l’ancienne IP sur votre client avec :
home/<votreutilisateur>/.ssh/known_hosts" -R
a connexion :
distante : TELNET
e machines Linux est faible et que Windows est principalement utilisé (et que nous
ajouter de client SSH sous Windows), Il peut s’avérer plus simple de pass
u lieu de SSH (Remarque : TELNET est vieux et moins sécurisé. En effet les mots d
nt en clair).
NET sous Debian est généralement installé de base (nom du paquet : telnet).
e serveur TELNET n’est pas installé (nom du paquet : telnetd), nous allons don
de permettre les connexions sur notre machine :
le le serveur telnet :
stall telnetd
Domaine
tion de l’HEURE
e connecter à un AD, il faut passer par une authentification Kerberos.
écessite un réglage optimal de l’heure : moins de 5 minutes d’écart entre notre serve
ntrôleur de Domaine.
nc nous servir Du serveur de temps de notre Contrôleur de Domaine afin de récupérer so
pliquer à notre serveur Debian.
emps est appelé serveur NTP.
aire, i nous faut donc un client NTP afin de récupérer l’heure Du serveur NTP, et mett
ale à jour. Nous installons donc le paquet ntpdate :
stall ntpdate
ns maintenant configurer ntpdate en éditant le fichier /etc/default/ntpdate
ault/ntpdate
o a réussi.
er les dérives du temps et donc une désynchronisation de l’heure, on va créer une tâc
(crontab) qui va lancer ntpdate à une certaine heure et aussi au démarrage de
Pour cela, lancez l’éditeur de tâches planifiées qui va vous ouvrir son fichier
ion (-e indique celui de la liste de tâches planifiées en cours) :
e
e :
RO NTP
/usr/sbin/ntpdate-debian #synchronise l’horloge à 18h01 tous les jours
usr/sbin/ntpdate-debian #lance la synchronisation au redémarrage
enu un ticket
it : la commande du paquet krb5-user pour demander une authentification Kerberos
Verbose : Sortie détaillée / affiche les détails de la connexion ou des erreurs si il y en a.
ister les tickets obtenus et ainsi les vérifier avec :
e les tickets avec (il vaut mieux les détruire avant de poursuivre pour éviter les résidus)
: à la base, Samba est un logiciel d'interopérabilité qui permet à des ordinateurs Unix de
isposition ou accéder à des imprimantes et des fichiers dans des réseaux Windows, en
oeuvre le protocole SMB/CIFS de Microsoft Windows. À partir de la version 3de 2003
urnit des fichiers et services d'impression pour divers clients Windows et peut s'intégrer à
ne Windows Server, soit en tant que contrôleur de domaine principal (PDC) ou en tant qu
un domaine. Il peut également faire partie d'un domaine Active Directory. Il fonctionne
part des systèmes Unix, comme GNU/Linux. Mais ce n’est qu’à partir de la version 4 de
la solution apportée par la version 3 a été vraiment stable, et que la possibilité de créer u
de domaine Windows sur un serveur linux a été correctement supportée.
D : permet de se loguer sur la machine Linux avec des identifiants Windows (c’est un
t de la suite samba mais il est préférable de l’inscrire dans la commande d’installation de
permet de choisir comment les utilisateurs s’authentifient : on règle sur ADS car le
e sur l’AD mais pas en local car notre machine linux n’est pas serveur AD, cela permet
mba come membre de domaine et non un contrôleur.
otre machine et samba étant définis comme clients d’un domaine, il faut indiquer
clefs Kerberos pour pouvoir s’authentifier sur l’AD (généralement le serveur de clefs e
trôleur de domaine)
server : indique le serveur Active-Directory pour l’authentification des utilisateurs, o
e « * » pour laisser samba choisir dynamiquement le meilleur serveur du domaine ou bie
nôtres statiquement et séparés par une virgule, dans l’ordre de préférence. Nous allo
r notre DC en premier pour qu’il soit préféré puis « * » au cas où l’AD primaire so
e.
p : indique le nom du domaine si samba est contrôleur, ou bien dans notre cas perm
à samba de quel domaine il fait et notre machine linux fait partie.
eparator : définit le séparateur utilisé par winbind et samba pour la connexion et l’app
ur du domaine. On va donc utiliser le même que Windows « \ » pour que nous puissio
ecter avec par exemple « TESTPRAYON\Administrateur ». Mais, « \ » étant un caractè
us linux (le caractère d’échappement justement) on rajoute le caractère d’échappement «
i pour le prendre comme un caractère normal ou on l’encadre avec des apostrophes : ‘
: sous des versions anciennes de debian, ce séparateur n’est pas supporté, il faut mettre «
a commande testparm, elle vous dira si c’est le cas).
d : spécifie l’étendue des id applicables aux utilisateurs (10000 – 20000 permettra donc
d’un maximum de 10000 utilisateurs du domaine).
d : spécifie l’étendue des id applicables aux groupes (10000 – 20000 permettra donc
d’un maximum de 10000 groupes du domaine).
enum users : permet l’accès à la liste et donc l’énumération des utilisateur via d
es système (getent, etc.) (Laissez « yes » pour éviter des erreurs).
enum groups : permet l’accès à la liste et donc l’énumération des groupes via d
es système (getent, etc.) (Laissez « yes » pour éviter des erreurs).
home dir : permet de placer l’utilisateur dans un sous répertoire local dans « /home » af
se travailler correctement. Les variables samba utilisées sont « %D » pour le nom d
t « %U » pour le nom d’utilisateur du domaine. « /home/%D/%U » retournera donc un
type « /home/DOMAINE/USER » lorsqu’un utilisateur du domaine se connectera.
nc créer le répertoire du domaine dans « /home » puis activer la création d’un so
lors de la première connexion (expliqué plus bas dans cette documentation).
shell : permet de choisir les réglages par défauts du terminal lors de la connexio
signifie qu’un utilisateur utilisera par défaut le Shell bash. On pourrait rediriger vers u
l ou autre si installé par exemple).
e spnego : Permet d’essayer le type de négociation spnego (SimpleandProtecte
ion), compatible avec les versions de Windows supérieures à XP/2k3. Ceci perm
Kerberos.
use default domain : permet de choisir si oui ou non winbind va par défaut tenter de
le domaine par défaut ou si l’on devra saisi « LEDOMAINE«winbindseparator» » ava
utilisateur (exemple LEDOMAINE\utilisateur). Il est recommandé de laisser à « no » po
connecter en local sans soucis en cas de problèmes.
master : Empêche notre machine linux de rediriger elle-même les requêtes vers u
ur un contrôleur spécifique en explorant toute l’arborescence.
ter : Empêche notre machine linux de rediriger lui-même les requêtes de sons sous-résea
maine sur un contrôleur spécifique en explorant toute l’arborescence.
Permet de définir le niveau de priorité d’explorateur de notre machine pour rediriger l
s paramètres avec testparm :
sion de winbind est trop ancienne et ne prend pas en charge le séparateur « \\ ». Vous
as les utilisateurs dans passwd ni les groupes dans group : votre configuration n
s ; les utilisateurs et groupes ne sont pas importés.
rs modifier le fichier smb.conf et lui mettre le séparateur « / » :
devra alors être appliqué dans chaque prochaine configuration ou authentification faisa
groupe ou utilisateur du domaine : vous ne vous connecterez plus av
N\Utilisateur sur le prompt, et par exemple dans la configuration de sudo il faudra mett
teur et non %groupe\\utilisateur.
marre samba :
mba restart
ndre notre machine Linux au domaine Active-Directory :
ds -U <UtilisateurAutorisé> -S <FQDNduContôrleurdeDomaine>
QUE : La machine a été ajoutée dans l’OU "Computers" dans notre AD et inscrite da
eur DNS.
marre winbind pour mettre à jour les sources d'authentification (et pouvoir récupér
s et groupes du domaine) :
n test pour voir si les groupes et utilisateurs du domaine sont bien remontés par winbind
utilisateurs :
groupes :
on de l’AUTHENTIFICATION :
e la BDD winbind à NSS (Name Service Switch - autorise le remplacement d
els fichiers Unix de configuration (par exemple /etc/passwd, /etc/group, /etc/hosts) p
usieurs bases de données centralisées), afin d'ajouter nos utilisateurs/groupes du domaine
ème.
on édite le fichier de configuration /etc/nsswitch.conf :
witch.conf
istre.
prise en compte des modifications :
swd
up
correspondre les lignes auth ci-présentes avec celles de notre fichier) L’option
pass » par exemple permet d’utiliser le premier password saisi comme mot de pas
et mot de passe session pour les utilisateur du domaine, cela permet d’éviter de le sais
/etc/pam.d/common-session :
le répertoire pour les données locales (profils/home) des utilisateurs du domain
puis on donne les droits aux utilisateurs :
me/<NOMDUDOMAINE>
1 /home/<NOMDUDOMAINE>
istre.
e cached_login = yes au fichier /etc/security/pam_winbind.conf (si le fichier n’est pas cr
utomatiquement à l’enregistrement) :
urity/pam_winbind.conf
marre samba et winbind
mba restart
nbind restart
ROITS/Privilèges
marqué que lors de la connexion avec un utilisateur du domaine (même l’Administrateur
esque aucunsdroits sur la machine.
en ajoutant ces utilisateurs à certains groupes systèmes, mais dans le cas par exemple
du domaine ou du groupe Domain Admins, il semble logique qu'il aient beaucoup d
la machine. Il est néanmoins préférable de ne pas les ajouter au groupe "root" pour d
rité.
nner aux groupes d’utilisateurs ou aux utilisateurs choisis les droits root, mais au lieu
ctement à la connexion, nous allons utiliser le programme sudo (ils nous permettra d
mandes avec les privilèges root, ou de prendre les privilèges root pout une session).
erface graphique est déjà installée, le programme sudo est déjà installé lui aussi.
e sudo avec :
stall sudo
n
f
est maintenant jointe au domaine, on peut donc :
cter avec un utilisateur du domaine ou local
aine n’est pas joignable (plus de réseau, etc.), on peut quand même toujours se connect
ilisateur du domaine (si celui-ci s’est déjà connecté sur la machine)
es droits administrateurs (root) sur la machine via une session locale ou d’un utilisate
ne selon les utilisateurs ou groupes autorisés
on
oguer avec un utilisateur du domaine on met le login suivant :
INE\lenomutilisateur
ur quel qu’il soit a les droits standards (il peut uniquement modifier ou écrire dans s
hiers/dossiers) ou les objets publics, voir lire ou exécuter certains fichiers ne nécessita
évation)
er une commande en tant que root (administrateur) :
mmande
e mot de passe utilisateur
nir une session administrateur :