Compte Rendu d'activité

Fiche n° 2

 

Nom et prénom : QUEVEAU Cyril

 

Nature de l'activité

Intégration de machine linux dans un domaine Active Directory

 

Contexte : Dans un collège la création d'une nouvelle salle informatique est nécessaire, elle sera composée d'environ 30 postes récupérés dans un autre établissement donné sans licences Windows XP, le budget est très serré et passe pratiquement entièrement dans l'achat du switch et le câblage de la salle.

Objectifs : Vu que le budget restant est insuffisant pour acheter des licences XP il va falloir installer et déployer des systèmes d'exploitation Linux plus particulièrement une distribution : Ubuntu et l'intégrer dans le domaine déjà présent dans un environnement Active Directory.

C'est ce qui va être présenté dans cette pti.

 

Compétences mises en œuvre pour la réalisation de cette activité

C21

C22

C23

C25

C31

C36

C41

Installer et configurer un micro-ordinateur

Installer et configurer un réseau

Installer et configurer un dispositif de sécurité

Installer un applicatif

Assurer les fonctions de base de l'administration d'un réseau

Assurer la maintenance d'un poste de travail

Tester un logiciel

 

 

Sommaire

Nature de l'activité    1

Conditions de réalisation    3

Description de l'activité réalisée    3

Synchronisation de l'heure    4

Mise en place du nom de domaine    4

Configuration Kerberos    4

Test de Kerberos    5

Joindre le domaine Active Directory    5

Configuration de l'authentification    6

PAM    6

 

 

 

 

Conditions de réalisation

Matériel :

  • 1 serveur 2003
  • 1 poste client sous ubuntu

Logiciel :

  • Kerberos
  • Samba
  • Winbind
  • PAM

Durée : 30 minutes environ

Contraintes et difficultés : Installation préalable du serveur 2003 avec domaine active directory.

 

Description de l'activité réalisée

Situation initiale :

  • présence d'un contrôleur de domaine sous 2003 serveur dans le réseau.
  • Domaine sous l'environnement active directory :pti.com
  • Postes clients sur Ubuntu accès au réseau sans le domaine.

Situation finale :

  • Station Linux intégrée au domaine.
  • Connexion des utilisateurs sur la machine avec création d'un nouveau profil.
  • Possibilité de connexion des ressources réseau (partage, imprimantes).

Outils utilisés :

  • Divers logiciels libres sur la station et un contrôleur de domaine.

 

Synchronisation de l'heure

 

Le temps est essentiel pour Kerberos nous verrons pourquoi plus tard. Le meilleur moyen de s'affranchir de cela est d'utiliser un serveur NTP (Network Time Protocol) ou serveur de temps.

Il faut donc configurer le client NTP sur la station pour cela le contrôleur de domaine qui contient le rôle PDC devra être renseigné car c'est ce rôle qui gère le temps dans le domaine.

Mise en place du nom de domaine

 

Un FQDN « Nom de domaine pleinement qualifié » est essentiel afin de faire fonctionner Kerberos.

Dans « /etc/hosts » : qui est le fichier de configuration des noms, il faut modifier la loopback pour quel prenne en compte le nom du domaine.

À la manière d'un poste de Windows X. P. dans un domaine celui-ci en plus du nom de la machine ajoute le nom du domaine.

Configuration Kerberos

 

Kerberos est un protocole d'authentification réseau créé au Massachusetts Institute of technology (MIT). Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs.

L'ensemble repose sur des clés secrètes (chiffrement symétrique). À l'origine, il fut employé sur des systèmes distribués Unix. C'est avec Windows 2000 qu'il fit son retour.

Test de Kerberos

 

À cette étape il est bon de faire un test pour voir si Kerberos sur la machine arrive bien à obtenir un ticket du serveur.

La réponse a klist affiche le ticket reçu et il faut vérifier la validité de celui-ci au niveau des dates surtout normalement si l'heure a été correctement synchroniser cela ne devra pas poser de problèmes.

sudo  klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Utilisateur@MONDOMAINE

 

Valid starting     Expires            Service principal
01/21/05 10:28:51  01/21/05 20:27:43    krbtgt/MONDOMAINE@MONDOMAINE (C'est la partie à vérifier)
        renew until 01/21/05 20:28:51

 

Joindre le domaine Active Directory

 

Pour cette partie c'est Samba et Winbind qui vont être configurés.

 

Le client samba doit être configuré pour la création du profil de l'utilisateur et la création d'un UID et d'un GID à chaque utilisateur amener a se connecter sur la machine comme un compte en local, c'est le composant qui est responsable de la création de l'environnement de l'utilisateur.

 

Winbind est une fonctionnalité permettant aux utilisateurs dont le compte est enregistré dans     une base de données d'un domaine Windows d'authentifier un système Linux. Ceci conduit à un environnement relativement unifié.

La commande suivante effectue une requête de TGT Kerberos valide ce qui va permettre à la station cliente d'accéder aux ressources du domaine, ce dernier étant autorisé à joindre des machines au domaine AD.

 

sudo net join -U Administrateur -S ServeurCD.MonDomaine

 

        Après cette opération l'on peu voir aparaitre la machine dans l'active directory.

        Pour tester la bonne connexion au domaine on peut obtenir la liste des utilisateurs et celle des groupes de l'active directory .

Configuration de l'authentification

 

Configuration de nsswitch « Configuration des bases de données systèmes et des services de noms. » il fait le lien entre l'environnement local traditionnel et les nouveaux services de résolution de nom comme NIS ou DNS.

Il faut donc configurer le fichier /etc/nsswitch.conf

 

PAM

Linux-PAM est un système de bibliothèques qui gèrent les tâches d'authentification des applications sur le système. Les bibliothèques fournissent une interface d'abstraction stable API qui accorde les privilèges aux programmes en ajournant la réalisation des tâches standard d'authentification.

En d'autres termes, on est libre de choisir individuellement de quelle manière les applications fournisseuses de service authentifieront leurs utilisateurs.

 

PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants : account management; authentication management; password management; et session management.

 

account - fournit une vérification des types de service du compte utilisateur

session - Ce groupe de tâches recouvre tout ce qui doit être fait en priorité pour un service donné et après qu'il soit retiré. Ce qui inclut le montage du repertoire personnel.

authentication - établit la correspondance entre l'utilisateur et celui pour lequel il prétend être.

 

 

Analyse des résultats obtenus

Objectif atteint :

Les utilisateurs peuvent s'authentifier sur la machine Linux et les modifications faites au domaine sont répercutées à la machine.

Bilan de l'activité :

La création de cette salle informatique a été possible grâce à un système d'exploitation libre et en lien avec l'environnement de travail du réseau à savoir le domaine windows.

Cependant, il reste encore des choses à améliorer comme le montage automatique des ressources réseau.