TION

NS

LET IntroductionDebianPré-Requis

 Installation d'un système Linux : Debian

on
rier et gérer les droits/utilisateurs pour des machines linux lorsque vous avez un domain
y, il peut être utile d'ajouter ces dernières au domaine.
ous permettra d'ouvrir des sessions avec des utilisateurs Du domaine AD, mais aussi
ilisateurs pourront avoirs des droits root, etc.
ermettre de disposer d'une procédure complète, nous allons aussi expliquer l'instalatio
bian GNU/LINUX) et sa configuration réseau.

an/) est une organisation communautaire et démocratique, dont le but est

de systèmes d'exploitation basés exclusivement sur des logiciels libres.
me, lui-même nommé Debian, réunit autour d'un noyau de système d'exploitation
ments pouvant être développés indépendamment les uns des autres, pour plusieu
matérielles. Ces éléments, programmes de base complétant le noyau et logicie
résentent sous forme de « paquets » qui peuvent être installés en fonction des besoins.
tème d'exploitation plus logiciels s'appelle une distribution.
néralement ces systèmes d'exploitation au système Debian GNU/Linux, la distributio
 Debian, car jusqu'en 2009 c'était la seule branche parfaitement fonctionnelle.
distributions Debian sont en cours de développement dès 2013 : Debia
Debian GNU/FreeBSD.
bian « Squeeze » est la première à être distribuée avec le noyau FreeBSD en plus D
Il faut aussi savoir que Debian GNU/Linux est une distribution extrêmement stable, c
une multitude de tests et déploiements avant de se voir affecter la mention stab
le > Stable).
ple, une distribution Unstable de Debian conviendrait à une utilisation de bureau aus
tème Windows (c’est d’ailleurs sur cette version qu’est basé la distribution Ubuntu
c utilisé comme base de nombreuses autres distributions comme Knoppix ou Ubuntu q
grand succès.
r ces raisons que par exemple fin 2005, la distribution Debian a été retenue par la ville
équiper les quelque 14 000 ordinateurs de type PC qui formaient alors son pa
t que beaucoup d’entreprises possèdent des serveurs sous Debian.

s
Debian
(taille réduite) est pratique car légère et ne nécessite qu’un faible nombre téléchargemen
dant l’installation si celle-ci est minimale.
ation hors-ligne, récupérez le DVD 1 (image complète).
autres DVD d’image complète pour une utilisation et installations ultérieure de logicie
montés et analysées lors de l’installation pour les prendre en compte dans les sources
fit de suivre les instructions)).
D contiennent les paquets les plus importants des dépôts linux, si notre machine n’accè
sont très pratiques lorsque l’on veut installer un logiciel. Nous utiliserons la derniè
ici la 8.1.0 - nom de code : Jessie) de Debian GNU/Linux.
upérable ici : http://www.debian.org/distrib/

e - Configuration minimale
allable sur une machine physique ou virtuelle (VMware ou Hyper-V, ou Virtual-Box p
t compatible avec énormément de matériel. De plus, ce système est très léger.
Minimale d’après le site officiel :
1GHz, est la configuration minimale recommandée pour une machine de bureau.
guration minimale recommandée
AM (minimum) RAM (recommandée) Disque Dur
4 megaoctets 256 megaoctets 1 gigaoctet
28 megaoctets 512 megaoctets 5 gigaoctets

de faire fonctionner un environment de bureau sur de vieilles machines ou des machin

mais il est alors recommandé d'installer un gestionnaire graphique moins gourmand e
les environnements de bureau de GNOME et KDE. Par exemple, xfce4, icewm
l en existe d'autres.
: Il n'est pas possible d'indiquer des valeurs minimum concernant la mémoire et l'espa
res à un serveur. Tout dépend de l'utilisation qui en sera faite.

n d'un système Linux : Debian

e (ou on grave l’ISO et met le cd dans le lecteur) puis on boot dessus.
ionne Install

gne nos préférences de langue :

d que le processus d’installation initialise le réseau (il faut être connecté à internet s
n cd d’installation minimale)
igure le nom de la machine (on pourra le modifier ultérieurement dans
c/hostname), par exemple :

ue le domaine dans lequel se trouve la machine (pour qu’elle puisse communiquer si l’o

FQDN, entre autres). Cela va inscrire la redirection dans son fichier hosts (/etc/hosts) :

t un mot de passe pour l'utilisateur privilégié root :

t ensuite un utilisateur basique :
nsuite définir le partitionnement Du disque, on prend assisté (le LVM permet d’êt
plus souple mais n’est pas forcément utile dans notre cas). En effet l’assistant étant tr
sé, on pourra ensuite choisir l’organisation des partitions (si l’on n’a pas de données dé
à conserver sur le disque) :

ionne le disque sur lequel partitionner et installer le système :

épare les partitions : cela permet d’éviter qu’un dossier trop volumineux (logs, fichie
es) prenne tous l’espace disponible et provoque des latences, mais aussi qu’en cas d
’on dispose d’options de récupération et de réinstallation très pratiques, par exemp
en conservant documents, applications, etc. (on peut aussi faire un partitionneme
ur être sur-mesure avec les services qui seront installés sur cette machine) :

e, puis on termine le partitionnement :
me de base s’installe :

: Dans le cadre d’une installation hors-ligne via les DVD d’images complètes, il vous se
mandé si vous souhaitez ajouter d’autres DVD aux sources (le DVD1 d’installation éta
aut).Si vous avez prévu d’utiliser la machine hors-ligne pendant un moment, vous devri
es DVD d’installation complète afin d’avoir accès à un maximum de paquets pour install
Pour cela, indiquez oui, puis montez le DVD suivant et suivez les instructions, pu
allation.
nfigurer l’accès aux dépôts de logiciels Debian. Ceci va permettre d’installer des logicie
machine (en effet ceux-ci sont tous sur les dépôts, lorsqu’on lance une command
ion pour un logiciel, le paquet est récupéré sur les serveurs puis installé) :
gne (si nécessaire) le proxy pour accéder à internet :

la fin de la mise à jour des sources et Du gestionnaire de paquets puis on active ou no

ts statistiques :
le uniquement les utilitaires usuels Du système (pratiques) : (On fait une installatio
car nous installerons nous-mêmes les paquets nécessaires à nos besoins). (On pe
s pour se faciliter la tâche si l’on a besoin d’une interface graphique, install
ement de bureau Debian : GNOME. Celui-ci s’adaptera à la puissance de votre machi
nnera en mode réduit sans animations si votre machine est faible. L’idéal pour l
ces étant bien entendu de ne pas installer d’interface graphique. De plus, la ligne
e étant toujours nécessaire sous linux, l’utilité d’installer un environment graphique e
ent assez limitée pour une utilisation de type serveur).

la fin de l’installation des paquets sélectionnés :

nstalle le boot loader GRUB 2 (le programme qui va charger le système depuis le MB
au BCD de Windows sauf que GRUB permet des Duals boots / Chainloads avec plein d
Bootmanagers différents et permet une configuration très poussée si besoin en est) :
 taller dans le MBR Du disque (en partie) puis scanner les différents systèmes install
son menu de démarrage avec les différentes options de Boot. Exemple de GRUB

me est installé, la machine redémarre et nous accédons à un prompt ou un écran de login 

s interface graphique :

s gnome :
 se connecter directement en root sur l’interface graphique (pour ne pas tout lancer av
etc.), il faut se connecter en utilisateur « normal », "debian" par exemple que nous avo
stallation.
commandes en root, ouvrir un terminal, saisir su - puis entrez le mot de passe root défi
Vous disposez maintenant d’une session root sur ce terminal jusqu’à ce que vo
u fermiez la fenêtre.

isation Du système / Options basiques / Ergonomie

exte/fichiers : VIM
giciel d’édition de texte « Vi IMproved » permettant l’édition de fichiers et autres so

ssionnel et plus rapide que nano une fois pris en main.

toutes les commandes possibles, voir
www.atmos.albany.edu/daes/atmclasses/atm350/vi_cheat_sheet.pdf
ancer vimtutor pour apprendre à le manipuler.
staller :
im
liser :
emin_vers_le_fichier_a_editer>
er Du texte appuyez sur « i » (échap pour quitter le mode insertion)
egarder faites échap puis saisir :w puis entrée
er :q Pour quitter sans sauvegarder :q!
er en enregistrant :wq

on syntaxique :
re/vim/vimrc
nter la ligne syntax on en supprimant le " devant

commandes (bash)
ie le fichier de configuration Du bash pour avoir une coloration et des alias ( ll sera u
pour ls -l par exemple) -Pour cela on se rend dans le répertoire de notre utilisateur p
s on édite le fichier de config de son bash (.bashrc) :

mmente la ligne force_color_prompt=yes (en supprimant le #)

mmente les lignes des alias :

lie pas d’enregistrer ("esc" + ":" + "wq" + "Entrée" sous vi(m)).
ant remplacer le fichier Du répertoire root par celui-ci pour que le bash Du root ait aus
ion Du bash (on peut aussi remplacer celui d’autres utilisateurs souhaités) :

i vous repérerez plus facilement les données importantes (lors d’une commande grep p
us saurez tout de suite quel utilisateur est logué, etc.

Tools
ans une VM :
8, les VMware Tools n'ont plus besoin d'être installés, les openvmtools sont recommand

open-vm-tools
de bureau (ajoute la gestion de Xorg, etc.):
open-vm-tools-desktop

tion du réseau
on IP statique
n ifconfig (pour InterFaceCONFIG, équivalent de ipconfig sous windows) pour voir l’ét
erfaces :
ue nous n’avons qu’une seule interface Ethernet (ethX) (Lo est la boucle locale).
nt que l’on a une vue d’ensemble sur le matériel réseau de la machine, on va modifier
ion de ces cartes en éditant le fichier : /etc/network/interfaces
work/interfaces

e notre carte réseau eth0 est par défaut en dhcp.

: si l’on est en DHCP et que l’on souhaite sur notre carte relâcher puis renouveler
r  « interface »  #relâche le bail courant dhclient « interface » #récupère un bail sur
qui répond au broadcast
aintenant la passer en static puis lui renseigner les paramètres réseau souhaités : O
dhcp par static pour que la configuration soit appliquée et on ajoute les lignes souhaitées
définit l’adresse IP de la carte
masque de sous-réseau
la passerelle par défaut
(facultatif) la partie du sous-réseau auquel cette interface à accès
t : (facultatif) l’adresse de broadcast utilisée par la carte (permet de limiter les broadcast
seau par exemple) On n’oublie
 ’enregistrer.
: pour les résolutions de noms nous verrons ensuite, d’une part avec le fichier hosts pu
paquet resolvconf
rge l’interface eth0
0
h0 (pour vérifier les paramètres qui sont appliqués à eth0)

ne vérification avec ifconfig :

ôte (hostname)
l’installation, c’est le nom permettant d’identifier la machine sur le réseau afin d
vec les autres machines.
ue dans le domaine de la machine.
ôte, s'il est correctement résolu, est utilisé par exemple lors d’un :  pin
os_de_la_machine_a_pinger>
le, la machine qui fait le Ping va alors interroger de préférence son fichier hosts, puis
DNS pour connaître l’adresse IP du poste ayant ce nom, et ensuite pinger son IP.
OS est défini dans le fichier /etc/hostname. Une modification de ce nom nécessite u
la machine (recommandé), ou du moins une exécution du script /etc/init.d/hostname.sh
pas de modifier le fichier /etc/hosts pour mettre à jour :
omplet (sous forme FQDN si la machine fait partie d’un domaine ou si l’on souhaite qu
e DNS soit le même que les machines du domaine c.à.d. le nom de la machine puis cel
ne dans lequel elle est)
de la machine locale (le raccourci pour éviter de taper le FQDN entier, logiquement
de la machine).
mettre à jour la redirection sur nos serveurs DNS du domaine (Si la machine y à é

tion du nom avec :
Nouveau_Nom" > /etc/hostname
ur du fichier hosts avec :
ts

osts
met d’associer une adresse IP à un nom d’hôte et un alias, il est utile dans le cas où l’o
utiliser de serveur DNS (via le paquet resolvconf, expliqué à la prochaine étape), Ma
ner en performances et en stabilité, on y renseigne de préférence (fortement recommand
de domaine serveurs Active Directory et serveurs DNS. En effet, si on tente de pinger
as) de notre AD par exemple, cela ne fonctionnera pas car la résolution de noms ne se fa

ns donc éditer le fichier hosts pour lui ajouter la ligne référant à nos Domain-Controlle

s DNS, mais aussi Active-Directory (dans l’exemple nous n’avons qu’un contrôleur
t lui-même serveur DNS, nous n’allons donc rajouter qu’une ligne) :

onc organisée ainsi : <IP> <FQDN> <Alias(NetBIOS de préférence)>

unication se fait bien (Résolution grâce au fichier hosts OK) :

les DNS
es machines du domaine (et aussi des machines sur internet auxquelles on veut accéde
hosts et le maintenir à jour serait impossible, il faut donc indiquer à notre machine l
de notre Domaine, puis lui les faire utiliser afin de pouvoir résoudre les noms de not
nternet si configuré sur notre serveur DNS).
a, nous allons tout d’abord installer le paquet prévu et recommandé par debian po
lvconf
e : resolvconf permet de définir les réglages Dns (/etc/resolv.conf) à partir de
ion d’une interface (/etc/network/interfaces) et apporte plus de flexibilité avec les autr
es. Si l’on ne souhaite pas l’installer on peut ajouter manuellement les Dns da
.conf).
stall resolvconf

s retournons dans notre fichier de configuration réseau (/etc/network/interfaces)

es informations sur les serveurs DNS dans la sectioncorrespondant à la carte résea
:
work/interfaces

uffixe DNS des ordinateurs du domaine (généralement le nom de domaine, utilisé lorsqu
de requète avec le FQDN).
ers : Adresse IP des serveurs DNS du domaine, séparées par un espace.
harge l'interface (on peut faire un ifquery pour vérifier les paramètres au cas où) :
0

ation Distante
distante : SSH
necter au shell à distance lorsque la machine est connectée au réseau (via PUTTY so
xemple, ou n’importe quel client SSH),
taller SSH :
stall ssh
vez maintenant vous connecter à partir de n’importe quel client SSH dans le réseau :

ur voir les interfaces et leur configuration IP sur une machine linux (ipconfig so
r:
nterFaceCONFIG)
: Si vous essayez de vous connecter à distance à partir d’une autre machine linux (client
u, RedHat, etc.) et que la clé SSH a déjà été acceptée sur votre poste et que votre machin
gé d’IP, vous pouvez avoir l’avertissement suivant :
REMOTE HOST IDENTIFICATION HAS CHANGED!
r il faut supprimer la clé d’authentification liée à l’ancienne IP sur votre client avec :
home/<votreutilisateur>/.ssh/known_hosts" -R
a connexion :
distante : TELNET
e machines Linux est faible et que Windows est principalement utilisé (et que nous
ajouter de client SSH sous Windows), Il peut s’avérer plus simple de pass
u lieu de SSH (Remarque : TELNET est vieux et moins sécurisé. En effet les mots d
nt en clair).
NET sous Debian est généralement installé de base (nom du paquet : telnet).
e serveur TELNET n’est pas installé (nom du paquet : telnetd), nous allons don
de permettre les connexions sur notre machine :
le le serveur telnet :
stall telnetd

ise la connexion en root via TELNET en éditant le fichier /etc/securetty :

uretty
oute à la fin du fichier :

vez maintenant vous connecter via TELNET sur votre Debian :

Domaine
tion de l’HEURE
e connecter à un AD, il faut passer par une authentification Kerberos.
écessite un réglage optimal de l’heure : moins de 5 minutes d’écart entre notre serve
ntrôleur de Domaine.
nc nous servir Du serveur de temps de notre Contrôleur de Domaine afin de récupérer so
pliquer à notre serveur Debian.
emps est appelé serveur NTP.
aire, i nous faut donc un client NTP afin de récupérer l’heure Du serveur NTP, et mett
ale à jour. Nous installons donc le paquet ntpdate :
stall ntpdate
ns maintenant configurer ntpdate en éditant le fichier /etc/default/ntpdate
ault/ntpdate

SE_NTP_CONF=no : indique à ntpdate d’utiliser la liste NTPSERVERS ci-dessous (

ation NTP système) pour synchroniser l’heure.
S="" : indique les serveurs de temps à utiliser pour la synchronisation de l’heure.
S="-u" : passe une option à la commande NTP (-u permet d’utiliser des ports no
r faire passer la requête, ceci est utile au cas où on se trouve derrière un firewall strict p

re un test de synchronisation en lançant ntpdate :

ntpdate-debian

o a réussi.
er les dérives du temps et donc une désynchronisation de l’heure, on va créer une tâc
(crontab) qui va lancer ntpdate à une certaine heure et aussi au démarrage de
Pour cela, lancez l’éditeur de tâches planifiées qui va vous ouvrir son fichier
ion (-e indique celui de la liste de tâches planifiées en cours) :
e
e :
RO NTP
/usr/sbin/ntpdate-debian #synchronise l’horloge à 18h01 tous les jours
usr/sbin/ntpdate-debian #lance la synchronisation au redémarrage

ication avec KERBEROS

veur Microsoft Contrôleur de Domaine Active-Directory, il faut utilis
ion par Kerberos pour pouvoir se connecter.
quent nous allons installer un client Kerberos (nom du paquet : krb5-user) :

aintenant le configurer pour qu’il se connecte et s’authentifie correctement sur l’AD, o

on fichier de configuration (/etc/krb5.conf) :
5.conf
lace tout le contenu par un de ce type :
 t] : paramètre les réglages généraux de krb5
et_lifetime : définit la durée de vie d’un ticket Kerberos
ult_realm : le domaine à utiliser par défaut (nom du domaine entier en MAJUSCULES)
ardable et proxiable et dns_fallback : diverses autorisations pour atteindre le domaine
nctypes : informations de sécurisation de la communication Kerberos
indique les informations sur les domaines (dans cet exemple il n’y en a qu’un)
N.DOMAINE : on va définir ce domaine entre les accolades suivant le « = »
= leFQDN du serveur de clefs Kerberos du domaine (généralement le contrôleur
aine)
min_server : le FQDN du contrôleur de domaine principal
ult_domain = le nom NetBIOS à utiliser lors de la connexion au domaine
realm] : réglage des suffixes DNS
ndomaine = MONDOMAINE
ndomaine = MONDOMAINE
istre
intenant tester l’authentification en demandant un ticket Kerberos à l’aide de notre
aintenant installé et configuré : krb5-client
kinit –V <UtilisateurAutorisé>@<NomNETBIOSDuDomaine>

enu un ticket
it : la commande du paquet krb5-user pour demander une authentification Kerberos
Verbose : Sortie détaillée / affiche les détails de la connexion ou des erreurs si il y en a.
ister les tickets obtenus et ainsi les vérifier avec :

e les tickets avec (il vaut mieux les détruire avant de poursuivre pour éviter les résidus)

: Les erreurs/problèmes de base :

kinit(v5): KDC has no support for encryption type while getting initial credentials
Il faut « rafraîchir» votre mot de passe de l’utilisateurautorisé, utilisé pour
ifiez-le depuis votre contrôleur de domaine. Changez-le ou remettez le même, l'importa
e mise à jour pour le mot de passe de ce compte.

ctionne toujours pas on peut désactiver le chiffrage des communications Kerberos

le fichier /etc/krb5.conf et en commentant (avec un « # ») les lignes :

k skew too great while getting initial credentials

calage trop important (> 5min) entre l'heure de la machine et celle du DC. L
est de ce fait impossible.
la synchronisation de l’heure avec ntpdate et essayer de voir pourquoi elle s’e
.
domaine avec SAMBA et WINBIND
on de la connexion à un serveur Windows via Kerberos est maintenant opérationnelle,
us qu’à joindre le domaine Active-Directory. Pour cela, nous allons avoir besoin de deu

: à la base, Samba est un logiciel d'interopérabilité qui permet à des ordinateurs Unix de
isposition ou accéder à des imprimantes et des fichiers dans des réseaux Windows, en
oeuvre le protocole SMB/CIFS de Microsoft Windows. À partir de la version 3de 2003
urnit des fichiers et services d'impression pour divers clients Windows et peut s'intégrer à
ne Windows Server, soit en tant que contrôleur de domaine principal (PDC) ou en tant qu
un domaine. Il peut également faire partie d'un domaine Active Directory. Il fonctionne
part des systèmes Unix, comme GNU/Linux. Mais ce n’est qu’à partir de la version 4 de
la solution apportée par la version 3 a été vraiment stable, et que la possibilité de créer u
de domaine Windows sur un serveur linux a été correctement supportée.
D : permet de se loguer sur la machine Linux avec des identifiants Windows (c’est un
t de la suite samba mais il est préférable de l’inscrire dans la commande d’installation de

nc maintenant installer ces deux paquets :

stall samba winbind
 On va configurer samba en éditant le fichier de configuration /etc/samba/smb.conf :
vi /etc/samba/smb.conf
-On remplace tout le contenu par un de ce type :

permet de choisir comment les utilisateurs s’authentifient : on règle sur ADS car le
e sur l’AD mais pas en local car notre machine linux n’est pas serveur AD, cela permet
mba come membre de domaine et non un contrôleur.
otre machine et samba étant définis comme clients d’un domaine, il faut indiquer
clefs Kerberos pour pouvoir s’authentifier sur l’AD (généralement le serveur de clefs e
trôleur de domaine)
server : indique le serveur Active-Directory pour l’authentification des utilisateurs, o
e « * » pour laisser samba choisir dynamiquement le meilleur serveur du domaine ou bie
nôtres statiquement et séparés par une virgule, dans l’ordre de préférence. Nous allo
r notre DC en premier pour qu’il soit préféré puis « * » au cas où l’AD primaire so
e.
p : indique le nom du domaine si samba est contrôleur, ou bien dans notre cas perm
à samba de quel domaine il fait et notre machine linux fait partie.
eparator : définit le séparateur utilisé par winbind et samba pour la connexion et l’app
ur du domaine. On va donc utiliser le même que Windows « \ » pour que nous puissio
ecter avec par exemple « TESTPRAYON\Administrateur ». Mais, « \ » étant un caractè
us linux (le caractère d’échappement justement) on rajoute le caractère d’échappement «
i pour le prendre comme un caractère normal ou on l’encadre avec des apostrophes : ‘
: sous des versions anciennes de debian, ce séparateur n’est pas supporté, il faut mettre «
a commande testparm, elle vous dira si c’est le cas).
d : spécifie l’étendue des id applicables aux utilisateurs (10000 – 20000 permettra donc
d’un maximum de 10000 utilisateurs du domaine).
d : spécifie l’étendue des id applicables aux groupes (10000 – 20000 permettra donc
d’un maximum de 10000 groupes du domaine).
enum users : permet l’accès à la liste et donc l’énumération des utilisateur via d
es système (getent, etc.) (Laissez « yes » pour éviter des erreurs).
enum groups : permet l’accès à la liste et donc l’énumération des groupes via d
es système (getent, etc.) (Laissez « yes » pour éviter des erreurs).
home dir : permet de placer l’utilisateur dans un sous répertoire local dans « /home » af
se travailler correctement. Les variables samba utilisées sont « %D » pour le nom d
t « %U » pour le nom d’utilisateur du domaine. « /home/%D/%U » retournera donc un
type « /home/DOMAINE/USER » lorsqu’un utilisateur du domaine se connectera.
nc créer le répertoire du domaine dans « /home » puis activer la création d’un so
lors de la première connexion (expliqué plus bas dans cette documentation).
shell : permet de choisir les réglages par défauts du terminal lors de la connexio
signifie qu’un utilisateur utilisera par défaut le Shell bash. On pourrait rediriger vers u
l ou autre si installé par exemple).
e spnego : Permet d’essayer le type de négociation spnego (SimpleandProtecte
ion), compatible avec les versions de Windows supérieures à XP/2k3. Ceci perm
Kerberos.
use default domain : permet de choisir si oui ou non winbind va par défaut tenter de
le domaine par défaut ou si l’on devra saisi « LEDOMAINE«winbindseparator» » ava
utilisateur (exemple LEDOMAINE\utilisateur). Il est recommandé de laisser à « no » po
connecter en local sans soucis en cas de problèmes.
master : Empêche notre machine linux de rediriger elle-même les requêtes vers u
ur un contrôleur spécifique en explorant toute l’arborescence.
ter : Empêche notre machine linux de rediriger lui-même les requêtes de sons sous-résea
maine sur un contrôleur spécifique en explorant toute l’arborescence.
Permet de définir le niveau de priorité d’explorateur de notre machine pour rediriger l

s paramètres avec testparm :

cas d’erreur du type :

sion de winbind est trop ancienne et ne prend pas en charge le séparateur « \\ ». Vous
as les utilisateurs dans passwd ni les groupes dans group : votre configuration n
 s ; les utilisateurs et groupes ne sont pas importés.
rs modifier le fichier smb.conf et lui mettre le séparateur « / » :

devra alors être appliqué dans chaque prochaine configuration ou authentification faisa
groupe ou utilisateur du domaine : vous ne vous connecterez plus av
N\Utilisateur sur le prompt, et par exemple dans la configuration de sudo il faudra mett
teur et non %groupe\\utilisateur.
marre samba :
mba restart
ndre notre machine Linux au domaine Active-Directory :
ds -U <UtilisateurAutorisé> -S <FQDNduContôrleurdeDomaine>

QUE : La machine a été ajoutée dans l’OU "Computers" dans notre AD et inscrite da
eur DNS.
marre winbind pour mettre à jour les sources d'authentification (et pouvoir récupér
s et groupes du domaine) :

n test pour voir si les groupes et utilisateurs du domaine sont bien remontés par winbind
utilisateurs :

groupes :
on de l’AUTHENTIFICATION :
e la BDD winbind à NSS (Name Service Switch - autorise le remplacement d
els fichiers Unix de configuration (par exemple /etc/passwd, /etc/group, /etc/hosts) p
usieurs bases de données centralisées), afin d'ajouter nos utilisateurs/groupes du domaine
ème.
on édite le fichier de configuration /etc/nsswitch.conf :
witch.conf

istre.
prise en compte des modifications :
swd
up

et groupes du domaine sont bien ajoutés au système.

maintenant activer le module PAM winbind (pam_winbind.so ; PAM : Pluggab
ation Modules) dans la configuration de PAM, afin de permettre l'ouverture de sessio
utilisateur du domaine.
/etc/pam.d/common-account dans cet esprit :
 /etc/pam.d/common-auth  :

correspondre les lignes auth ci-présentes avec celles de notre fichier) L’option
pass » par exemple permet d’utiliser le premier password saisi comme mot de pas
et mot de passe session pour les utilisateur du domaine, cela permet d’éviter de le sais

/etc/pam.d/common-session  :
 le répertoire pour les données locales (profils/home) des utilisateurs du domain
 puis on donne les droits aux utilisateurs :
me/<NOMDUDOMAINE>
1 /home/<NOMDUDOMAINE>

ir ou man chmod pour plus de détails)

autorise la connexion d’un utilisateur du domaine s’étant déjà connecté à la machine à
même si la machine est hors ligne :
e la ligne winbind offline logon = yes au fichier /etc/samba/smb.conf  :
mba/smb.conf

istre.
e cached_login = yes au fichier /etc/security/pam_winbind.conf (si le fichier n’est pas cr
utomatiquement à l’enregistrement) :
urity/pam_winbind.conf

marre samba et winbind
mba restart
nbind restart

ROITS/Privilèges
marqué que lors de la connexion avec un utilisateur du domaine (même l’Administrateur
esque aucunsdroits sur la machine.
en ajoutant ces utilisateurs à certains groupes systèmes, mais dans le cas par exemple
du domaine ou du groupe Domain Admins, il semble logique qu'il aient beaucoup d
la machine. Il est néanmoins préférable de ne pas les ajouter au groupe "root" pour d
rité.
nner aux groupes d’utilisateurs ou aux utilisateurs choisis les droits root, mais au lieu
ctement à la connexion, nous allons utiliser le programme sudo (ils nous permettra d
mandes avec les privilèges root, ou de prendre les privilèges root pout une session).
erface graphique est déjà installée, le programme sudo est déjà installé lui aussi.
e sudo avec :
stall sudo

uter les groupes d’utilisateurs auxquels on souhaite permettre l’obtention de droits roo

on édite le fichier des autorisations de sudo (/etc/sudoers) :
oers
joute la ligne référant à notre groupe à autoriser en précisant les autorisations ainsi :
roupe du domaine : %DOMAINE\\le\ nom\ du\ groupe ALL=(root) ALL
roupe local : %le\ nom\ du\ groupe ALL=(root) ALL
iez pas « \ » qui indique de prendre le symbole suivant comme un caractère normal («
caractères spéciaux, il faut donc les précéder d’un « \ »).
c de la forme %X X=(X) X :
LesUSERS=(les_utilisateur_auxquels_on peut_se_substitue
MMESUTILISABLES
:
r voir les groupes du domaine saisir wbinfo -g
r voir les utilisateurs du domaine saisir wbinfo -u
r voir les groupes locaux saisir cat /etc/group
r voir les utilisateurs locaux saisir cat /etc/passwd

n
f
est maintenant jointe au domaine, on peut donc :
cter avec un utilisateur du domaine ou local
aine n’est pas joignable (plus de réseau, etc.), on peut quand même toujours se connect
 ilisateur du domaine (si celui-ci s’est déjà connecté sur la machine)
es droits administrateurs (root) sur la machine via une session locale ou d’un utilisate
ne selon les utilisateurs ou groupes autorisés

on
oguer avec un utilisateur du domaine on met le login suivant :
INE\lenomutilisateur

ur quel qu’il soit a les droits standards (il peut uniquement modifier ou écrire dans s
hiers/dossiers) ou les objets publics, voir lire ou exécuter certains fichiers ne nécessita
évation)
er une commande en tant que root (administrateur) :
mmande
e mot de passe utilisateur
nir une session administrateur :

e mot de passe utilisateur

met de lancer une commande avec tous les droits, et su permet de se loguer en tant q
nécessite évidemment de connaitre le mot de passe root. C’est pour cela qu’on le précè
O | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir