Intégrer une machine Linux dans un domaine Windows Active Directory

Intégrer une station de travail Ubuntu avec Windows Active Directory (AD) est un défi courant, surtout dans les environnements mixtes utilisant à la fois des systèmes Linux et Windows. Pour les utilisateurs de DataSunrise, cette intégration permet une authentification et un contrôle d’accès transparents entre les plateformes. Ce guide décrit les étapes nécessaires pour configurer Ubuntu pour une authentification contre un serveur AD centralisé, assurant ainsi une gestion efficace de la sécurité au sein de votre réseau.

1. Spécifiez le nom de l’ordinateur configuré dans le fichier /etc/hostname

Interrogez le nom d’hôte actuel :

Si nécessaire, spécifiez un nouveau nom d’hôte :

Note. Le nom d’hôte ne peut pas être localhost, car localhost est le nom pour 127.0.0.1 (spécifié dans le fichier /etc/hosts lors de l’installation du système d’exploitation).

2. Spécifiez le nom complet du contrôleur de domaine dans le fichier /etc/hosts

Ajoutez un enregistrement statique avec le nom complet du contrôleur de domaine à la fin du fichier /etc/hosts. La traduction entre l’adresse IP et le nom de l’ordinateur est nécessaire pour que vous puissiez utiliser le nom d’hôte au lieu de l’adresse IP.

3. Configurez un serveur DNS sur l’ordinateur configuré

Le contrôleur de domaine doit être la première option de recherche. Ajoutez l’adresse IP du contrôleur de domaine à /etc/resolv.conf. Dans la plupart des distributions, resolv.conf est généré automatiquement, ajoutez donc l’adresse IP du contrôleur de domaine au fichier /etc/resolvconf/resolv.conf.d/head.

Modifiez le fichier ouvert comme suit :

domain domaine.com
search domaine.com
nameserver <adresse IP du contrôleur de domaine>
nameserver 8.8.8.8

Redémarrez le service réseau.

Utilisez la commande nslookup pour vérifier.

4. Configurez la synchronisation de l’heure

L’heure système de la machine doit être synchronisée avec l’heure système du serveur contrôleur de domaine. Installez l’outil ntp et modifiez le fichier ntp.conf.

Modifiez le fichier comme suit.

# Vous devez parler à un serveur NTP ou deux (ou trois).
server dc.domaine.com

Redémarrez le démon ntpd.

5. Installez un client Kerberos

6. Installez Samba, Winbind et NTP

7. Modifiez le fichier /etc/krb5.conf pour ajouter le nom complet du domaine, le nom du contrôleur de domaine et le paramètre realm

Important : Ne laissez aucun commentaire marqué avec le signe “#” dans le fichier de configuration.

[libdefaults]
    default_realm       =           DOMAINE.COM    # paramètre spécifique au domaine (nom complet du domaine)
    clockskew           =           300
    ticket_lifetime     =           1d
    forwardable         =           true
    proxiable           =           true
    dns_lookup_realm    =           true
    dns_lookup_kdc      =           true
   
 
   [realms]
        DOMAINE.COM = {
        kdc            =       nomhote.domaine.com   # paramètre spécifique au domaine (nom du contrôleur de domaine)
        admin_server   =       nomhote.domaine.com   # paramètre spécifique au domaine (nom du contrôleur de domaine)
        default_domain =       DOMAINE.COM         # paramètre spécifique au domaine (nom complet du domaine)
        }
 
[domain_realm]
        .domaine.com = DOMAINE.COM  # paramètre spécifique au domaine (nom du domaine pour les noms DNS)
        domaine.com = DOMAINE.COM   # paramètre spécifique au domaine (nom du domaine pour les noms DNS)
 
[appdefaults]
        pam = {
        ticket_lifetime         = 1d
        renew_lifetime          = 1d
        forwardable             = true
        proxiable               = false
        retain_after_close      = false
        minimum_uid             = 0
        debug                   = false
        }

8. Modifiez le fichier /etc/samba/smb.conf pour ajouter le nom court du domaine et le nom complet du domaine :

Important : Ne laissez aucun commentaire marqué avec le signe “#” dans le fichier de configuration.

[global]
   workgroup = DOMAINE                   # paramètre spécifique au domaine (nom court du domaine)
   realm = DOMAINE.COM                 # paramètre spécifique au domaine (nom complet du domaine)
   security = ADS
   encrypt passwords = true
   socket options = TCP_NODELAY
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = 0
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   server role = standalone server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Entrez\sle\snew\s*\smot de passe:* %n\n *Retapez\sle\snew\s*\smot de passe:* %n\n *mot de passe\smis à jour\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes

Note. Avant d’utiliser le fichier de configuration, supprimez les lignes de commentaires.

9. Entrez dans le domaine :

Après avoir rejoint le domaine avec succès, vous pourrez ping les noms d’hôte Active Directory, par ex.:

10. Vérifiez que l’authentification d’un utilisateur Active Directory est réussie :

Note. Tapez le nom du domaine en majuscules.

Si tout a été configuré correctement, le ticket sera créé.

Assurez-vous que le ticket a été créé :

Et voilà, une station de travail Ubuntu intégrée à Windows Active Directory.

Veuillez vous référer à Authentification Active Directory pour MySQL Database si vous avez besoin de plus d’informations.

Votre base de données contient-elle des informations sensibles nécessitant une protection ? Devez-vous vous conformer à des règlements comme le GDPR, la SOX ou la HIPAA ? Explorez la solution complète de DataSunrise pour l’audit, la sécurité et le masquage des données. Essayez notre essai gratuit ou programmez une démonstration en ligne pour voir comment nous pouvons protéger vos données et assurer la conformité réglementaire.