HokutoTokiSama

Mon Bloc-Notes informatique

Auteur/autrice : Nicolas

  • Connecter un poste Linux à un domaine Windows Active Directory

    On pourrais très bien avoir, en entreprise un domaine géré par un Active Directory sur un Windows Server et vouloir y inclure un poste linux qui pourrait être un serveur

    1 – Préparation

    • Installer les paquets requis
    apt install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
    • y
    • Configurer le dns pour mettre le serveur Active Directory en DNS
    nano /etc/netplan/*.yaml

    Dans notre exemple on est en DHCP, on va donc rajouter la route et le DNS

    route = ip du routeur

    nameservers Adresses = l’ip du contrôleur de domaine

    search = le nom du domaine

    • Enregistrer
    • Recharger la configuration réseau
    netplan apply

    2 – Découvrir le domaine et le rejoindre

    realm discover nomdudomaine

    Notre domaine a été trouvé, on peux le rejoindre

    realm join -U nomadmin nomdudomaine

    Le domaine a été rejoins

    3 – Vérifications

    • On peux vérifier si on arrive à récupérer les informations des utilisateurs du domaine
    id hokuto@hokutotokisama.lan

    On a bien le retour

    • On peux aussi aller voir sur le domaine si le poste a été pris en compte

    LinDC est bien sur le domaine

    4 – Derniers paramétrages

    4.1 – Si on ne veux pas forcement rajouter le nom du domaine à chaque fois que l’on se connecte. Ce qui peux etre trés long. On peux modifier le fichier /etc/sssd/sssd.conf

    nano /etc/sssd/sssd.conf
    • Remplacer la valeur de use_fully_qualified_names par False
    • Redémarrer le service sssd
    systemctl restart sssd
    • On a bien le retour tout de même

    4.2 – Configurer un Home pour les utilisateurs du domaine

    Lorsque l’utilisateur du domaine se connectera il aura bien son propre home

    • Éditer le fichier /etc/pam.d/common-session
    nano /etc/pam.d/common-session
    • A la fin du fichier rajouter
    session optional pam_mkhomedir.so skel=/etc/skel umask=077
    • Enregistrer
    • Si on se connecte avec l’utilisateur il a bien son dossier home

    4.3 Donner les privilèges root aux administrateurs du domaine

    • Éditer le fichier /etc/sudoers.d/admins
    nano /etc/sudoers.d/admins
    • Rajouter dans le fichier
    %domain\ admins ALL=(ALL:ALL) ALL
    • On redémarre le poste
    • Pour tester on peux se connecter avec un utilisateur Admin du domaine puis
    sudo -l

    Notre utilisateur a bien tous les droits sur la machine

  • Installer les outils d’administration de domaine sur un Windows 11

    On peux partir du postulat que l’on a un contrôleur de domaine mais l’on ne veux pas forcément devoir se connecter en RDP sur le contrôleur de domaine pour gérer notre domaine.

    On peux installer les outils d’administration de domaine sur notre poste de travail et gérer le domaine depuis notre poste de travail

    1 – Préambule

    Il faut windows 11 pro ou windows 11 entreprise. Les outils d’administration ne fonctionnent pas sur les autres versions de windows 11

    2 – Installation des outils d’administration

    • Ouvrir une console powershell en mode administrateur et lancer la commande suivante
    Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
    • Attendre la fin de l’installation
    • Installation terminée

    3 – Connexion au contrôleur de domaine

    • Démarrer puis gestionnaire de serveur
    • A droite : Gérer puis Ajouter des serveurs
    • Rechercher puis choisir son contrôleur de domaine puis la flèche vers la droite
    • ok

    Notre outil est connecté au serveur

    4 – Gestion des utilisateurs et ordinateurs du domaine

    Maintenant que notre outil est connecté, on peux aller dans le gestionnaire de serveur puis Outils à droite puis Utilisateurs et Ordinateurs Active Directory

    On peux gérer les ordinateurs du domaine

    Et les Utilisateurs

    Ainsi que les groupes d’accès

  • Connecter un poste Windows à un Domaine

    Dans une entreprise il est toujours utile de connecter un poste windows à un domaine pour le gérer plus facilement

    1 – Préparation

    Dans les propriétés de la carte réseau, mettre l’ip du contrôleur de domaine dans dns

    2 – Connexion du poste au domaine

    • Paramètres ==> Système ==> Informations système
    • Aller en bas et chercher Domaine ou groupe de travail
    • Cliquer sur Identité sur le réseau
    • Cet ordinateur appartient à un réseau d’entreprise. Je l’utilise pour me connecter à d’autres ordinateurs de la société
    • Suivant
    • Ma société utilise un réseau comprenant un domaine
    • Suivant
    • Suivant
    • Mettre le nom d’un utilisateur administrateur du domaine, son mot de passe, le nom du domaine
    • Suivant
    • Le nom de l’ordinateur et le domaine
    • Suivant
    • Le nom, mot de passe et domaine de l’utilisateur que l’on veux mettre sur la machine
    • ok
    • Ajouter l’utilisateur
    • Suivant
    • Type de droits qu’il doit avoir
    • Suivant
    • Terminer puis redémarrer le pc

    Notre ordinateur est bien sur le domaine

  • Transformer un ubuntu en contrôleur de domaine avec Samba

    Par défaut les contrôleurs de domaines se font avec un windows server mais il est aussi possible d’en créer avec linux notamment avec Samba4

    1 – Prérequis

    • Mettre une ip fixe sur son linux

    Dans notre exemple nous avons mis 192.168.0.10

    • Vérifier le nom du linux / serveur
    hostname

    Dans notre exemple le serveur s’appele ADDC

    • Éditer le fichier hosts
    nano /etc/hosts

    Ajouter la ligne

    IP nom.nomdudomaine nom

    • Si on as fait notre serveur en tant que conteneur proxmox il faut que unprivileged container soit à false. En effet le conteneur doit être un conteneur privilégié pour pouvoir gérer lui même les ip et que ce ne soit pas proxmox qui gere sont ip
    • Si on as fait notre serveur en tant que conteneur proxmox il faut que le nesting soit à true. En effet, le conteneur doit pouvoir gérer lui même ses namespaces et que ce ne soit pas proxmox qui gère ça

    2 – Installation Samba4

    • On mets à jour le serveur
    apt -y update && apt -y upgrade
    • On installe tous les paquets nécessaires
    export DEBIAN_FRONTEND=noninteractive
 
apt -y install acl apt-utils attr autoconf bind9utils binutils \
    bison build-essential chrpath curl debhelper dnsutils \
    docbook-xml docbook-xsl flex gcc gdb git glusterfs-common gzip \
    heimdal-multidev hostname htop krb5-config krb5-user krb5-kdc \
    lcov libacl1-dev libarchive-dev libattr1-dev \
    libavahi-common-dev libblkid-dev libbsd-dev libcap-dev libcephfs-dev \
    libcups2-dev libdbus-1-dev libglib2.0-dev libgnutls28-dev libgpgme11-dev \
    libicu-dev libjansson-dev libjs-jquery libjson-perl libkrb5-dev libldap2-dev \
    liblmdb-dev libncurses5-dev libpam0g-dev libparse-yapp-perl libpcap-dev \
    libpopt-dev libreadline-dev libsystemd-dev libtasn1-bin libtasn1-dev \
    libunwind-dev lmdb-utils locales lsb-release make mawk mingw-w64 patch \
    perl perl-modules pkg-config procps psmisc \
    python3 python3-dbg python3-dev python3-dnspython python3-gpg \
    python3-iso8601 python3-markdown python3-matplotlib python3-pexpect \
    rng-tools rsync sed sudo tar tree uuid-dev xfslibs-dev xsltproc zlib1g-dev \
    ccache python3-cryptography python3-pyasn1 python3-setproctitle wget \
    libaio-dev libgpgme-dev nettle-dev python3-all-dev python3-dbg \
    python3-dev python3-dnspython

    Ne surtout pas oublier export DEBIAN_FRONTEND=noninteractive . ça permet à samba de se faire une première configuration basique sans devoir poser des questions qui sont un peu prématurées dans l’état actuel des choses

    • Pour ubuntu uniquement, on installe le pack de langue
    apt -y install language-pack-en checkinstall
    • On fait le ménage dans toutes les installations
    apt -y autoremove
apt -y autoclean
apt -y clean
    • On télécharge le code source de la dernière version de samba
    wget -O samba-latest.tar.gz https://download.samba.org/pub/samba/samba-latest.tar.gz
tar zxvf samba-latest.tar.gz
    • On a un dossier samba-4.24.0, on va dedans
    • On configure le compilateur
    ./configure \
--prefix=/usr --exec-prefix=/usr --enable-fhs \
--libdir=/usr/lib/x86_64-linux-gnu \
--sysconfdir=/etc --localstatedir=/var \
--with-systemd --systemd-install-services --with-systemddir=/etc/systemd/system \
--systemd-smb-extra=NotifyAccess=all --systemd-nmb-extra=NotifyAccess=all \
--systemd-winbind-extra=NotifyAccess=all --systemd-samba-extra=NotifyAccess=all \
--with-lockdir=/var/run/samba \
--enable-selftest
    • On compile Samba (préparez un café ou autre, ça peux prendre plusieurs minutes)
    make -j && make -j install
    • On va verrouiller l’installation pour etre sûr de ne pas récuperer les paquets des dépots ubuntu qui sont plus anciens
    apt-mark hold samba
apt-mark showhold

    3 – Création du domaine

    • On va nettoyer s’il y a des anciennes installations
    mv --backup=t /etc/samba/smb.conf /etc/samba/smb.conf.backup
mv --backup=t /etc/krb5.conf /etc/krb5.conf.backup
rm -rf /var/lib/samba/private/*

    Rien à nettoyer et c’est normal puisque l’on part, dans notre exemple, d’une installation vierge

    • Création du domaine
    samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL \
	--realm=HOKUTOTOKISAMA.LAN --domain=HOKUTOTOKISAMA --option="dns forwarder=192.168.0.103"

    Realm = nom du domaine complet

    Domain = nom du domaine sans extension

    dns forwarder = ip du serveur dns (la plupart du temps sa box)

    • On modifie le mot de passe de l’utilisateur Administrator qui a été généré par le domaine
    samba-tool user setpassword administrator
    • On désactive l’expiration du mot de passe de l’utilisateur Administrator
    samba-tool user setexpiry administrator --noexpiry
    • On crée un utilisateur qui va nous servir pour entrer les machines dans le domaine – Dans notre exemple on va l’appeler hokuto
    samba-tool user create hokuto
    • On désactive l’expiration du mot de passe de notre utilisateur
    samba-tool user setexpiry hokuto --noexpiry
    • On rajoute notre utilisateur dans le groupe des administrateurs du domaine
    samba-tool group addmembers "Domain Admins" hokuto
    • On récupère la configuration par défaut de kerberos
    cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
    • On configure notre serveur en tant que serveur dns. En effet, les machines du domaine vont demander au contrôleur de domaine comment résoudre les ip
    nano /etc/resolv.conf

    Mettre les informations suivantes dans le fichier

    nameserver ipduserveur
search domaineavecextension
domain domaineavecextension
    • Vérification d’utilisation du port 53. Port utilisé par le dns de Samba
    ss -tunpel | grep ":53 "

    Si on a des choses comme dans l’image suivante alors il faut suivre les étapes suivantes sinon passer à l’étape Démarrage de Samba

    • Désactivation du listener de systemd-resolve
    nano /etc/systemd/resolved.conf

    Décommenter la ligne DNSStubListener et mettre la valeur à no

    • Arrêt et désactivation du service listener
    systemctl stop systemd-resolved
systemctl disable systemd-resolved.service
    • Vérification
    ss -tunpel | grep ":53 "

    On est tout bon

    4 – Démarrage de Samba

    • Arrêt et désactivation des anciens services
    systemctl stop smbd nmbd winbindd smb nmb winbind
systemctl disable smbd nmbd winbindd smb nmb winbind

    Si certains services sont en failed c’est normal, cela veux dire qu’ils ne sont pas présents sur le serveur

    • Activation et démarrage de samba
    systemctl unmask samba
systemctl enable samba
systemctl start samba
sleep 5
samba-tool processes

    Tout les services sont correctement démarrés

    • Création d’une zone de recherche inversée de façon à ce que notre contrôleur de domaine puisse faire la résolution dns des appareils du domaine
    samba-tool dns zonecreate nomserveur ip.in-addr.arpa --username=nomadministrator

    Exemple

    samba-tool dns zonecreate ADDC 0.168.192.in-addr.arpa --username=administrator

    Notre serveur s’appelle ADDC

    On est sur la plage d’ip 192.168.0….

    5 – Test

    Pour tester, on peux essayer de rentrer un appareil sur le domaine

    Le tuto pour rentrer un appareil windows sur le domaine est ici

    Le tuto pour rentrer un appareil linux sur le domaine est ici

  • Faire du Routage de Port sur un TP-Link Omada ER707-M2

    Il y a des fois où l’on aimerait accéder à une machine local depuis l’extérieur

    On va donc devoir faire un routage de port

    Dans notre exemple on a une machine local qui a l’ip 192.168.0.102 que l’on attaque via le port 8006

    Cette machine n’est pas accessible depuis l’extérieur

    Il faut donc que l’on route le port 8006

    1 – Routage du port

    • Se connecter sur le TP-Link Omada et rendez-vous dans Transmission puis Nat
    • Aller sur Virtual Servers
    • On retrouve toutes les redirections déjà faites
    • Cliquer sur Add

    Name : le nom que l’on veux donner à la redirection

    Interface : a partir de quelle(s) interface(s) on redirige

    External Port : le port que l’on devra mettre depuis l’exterieur (on va mettre 8006 dans l’exemple car 8006 n’est pas utilisé par l’exterieur)

    Internal Port : sur quel port local on attaque la machine (8006 dans notre exemple)

    Internal Server IP : l’ip locale de la machine que l’on doit joindre (192.168.0.102) dans notre exemple

    Protocol : UDP ou TCP ou les deux

    Status : Enable pour activé

    • On fait ok et notre redirection est prête

    2 – Test

    On peux tester de s’y connecter depuis un poste extérieur en rentrant l’ip publique de notre box suivi du port (8006 dans notre exemple)

    3 – Bonus

    Tout est routable, pas seulement les applications en HTTP

    On peux aussi router des serveurs minecraft par exemple ou du rdp

  • Installer des images docker dans un conteneur LXC Proxmox

    Depuis la version 9.1 de proxmox il est possible de créer des conteneurs lxc à partir d’image docker. Voici comment faire

    1 – Télécharger l’image docker

    • Se rendre sur docker hub pour trouver l’image que l’on veux
    • Copier l’url en ignorant la partie hub.docker.com/r/

    Dans notre exemple on copie itzg/minecraft-bedrock-server

    • Sur Proxmox aller dans Local puis CT Templates
    • Cliquer sur Pull from OCI Registry
    • Dans Reference : mettre ce que l’on a copier puis cliquer sur Query Tags
    • Dans tag on va retrouver tous les tags des versions de notre image
    • On choisi la version que l’on veux puis on fais Download

    Notre image a bien été rajoutée dans les CT Templates

    2 – Créer le conteneur LXC

    • On cliques sur Create CT
    • Remplir le CT Id, le hostname, le password et le confirm password (comme pour tous les conteneurs LXC)
    • Bien penser à laisser cocher Unprivileged et Nesting (Attention, certaines images docker peuvent demander des conteneurs privilégiés et dans ce cas décocher unpriviliged, mais cela nuit à la sécurité dans le sens où le root du conteneur sera alors root de l’hôte)
    • Dans template, on choisi notre image Docker
    • Continuer avec Disks, CPU, Memory
    • Dans Network, il faut obligatoirement mettre, au minimum l’ipv4 en statique et définir une ip v4, au risque d’avoir une erreur (si on n’a pas d’ipv6, on mets en static mais on ne rempli rien)
    • Plus qu’à finir avec DNS et confirm et notre Conteneur est crée

    3 – Paramétrage

    Certaines images docker demandent des paramètres. Les paramètres se trouvent sur l’image dans options puis Environment

    • Sélectionner Environment puis Edit
    • On peux alors rajouter toutes les variables d’environnement que l’on veux via « Add Variable »
    • En général les variables possibles sont données par le créateur de l’image sur la page docker hub

    4 – Démarrage du conteneur et Tests

    • On démarre le conteneur comme n’importe quel conteneur
    • Puis on peux tester en lançant minecraft et en se connectant sur le serveur

  • Utiliser ProxMox en ligne de commandes

    Quelques lignes de commandes utiles pour pouvoir utiliser proxmox en ligne de commandes

    1 – Mettre à jour les modèles de conteneurs

    pveam update

    2 – Lister les modèles disponibles

    pveam available

    on peux filtrer avec l’argument –section suivi de la section, par exemple

    pveam available --section system

    on peux aussi faire un | grep après la commande pour grep suivant le texte

    pveam available --section system | grep ubuntu

    3 – Télécharger un modèle pour qu’il soit disponible dans ct templates

    pveam download local nomdumodele, par exemple

    pveam download local debian-12-turnkey-zoneminder_18.0-1_amd64.tar.gz

    4 – Lister les modèles de ct templates

    pveam list local

    5 – Lister les conteneurs lxc

    pct list

    6 – Voir la configuration d’un conteneur

    pct config idduconteneur

    on peux aussi voir la configuration directement dans un fichier pour le modifier à chaud

    nano /etc/pve/lxc/idconteneur.conf

    7 – Entrer directement dans le shell d’un conteneur

    pct enter idduconteneur

    on quitte avec exit

    8 – Démarrer ou arrêter un conteneur

    pct start idduconteneur
pct shutdown idduconteneur

    9 – Modifier la configuration d’un conteneur à chaud

    pct set idduconteneur -optionamodifier valeur

    10 – Créer un conteneur

    pct create id image \
-- hostname nom \
-- cores nombresdecoeur \
-- memory memoire \
-- swap swap \
-- rootfs emplacementdisque:taille \
-- net0 informations reseau
-- unprivileged (0 ou 1) \
-- features lesoptions \
-- tags lestags \
-- password motdepasseduroot \
-- start (0 pour pas automatique, 1 pour automatique)

    11 – Supprimer un conteneur

    pct destroy idduconteneur --purge

    attention, le conteneur dois être arrêté

  • Bloquer L’accès à internet d’une machine avec un Omada ER707-M2

    Pour bloquer l’accès à internet d’une machine avec un Omada ER707-M2 il faut

    • Repérer son adresse ip locale

    ==> Network ==> Lan ==> DHCP Client List

    • Créer un groupe d’adresse ip

    ==> Preferences ==> IP Group ==> IP Address ==> Add

    Name : Le nom que l’on veux

    Ip Address Type : Ip Address Range

    Mettre deux fois l’ip de la machine à bloquer

    Description : une description de l’appareil (Optionnel)

    • Créer le groupe de Blocage

    ==> Preferences ==> Ip Group ==> Ip Group ==> Add

    Group Name : Ce que l’on veux

    Address Name : Cocher toutes les machines à bloquer

    Description : une description de ce que fais le groupe (Optionnel)

    • Mettre en place la règle de blocage

    ==> Firewall ==> Access Control ==> Add

    Name : Un nom pour la règle

    Policy : Block

    Service Type : All

    Ip Type : IPv4

    Direction : Lan ->Wan

    Source Type : Ip Group

    Source : Le groupe de blocage que l’on a mis

    Destination Type : IP Group

    Destination : IPGROUP_ANY

    Effective Time : Any

    States : on coche tout

    ID : on peux mettre un numéro pour ordonner la règle (Optionnel)

    • Tester

    Test de ping internet

    c’est bloqué

    Test de ping une machine sur le réseau local

    ça fonctionne

    Test de ping depuis une machine locale vers cette machine

    ça fonctionne

  • Gestion des ip sur linux

    1 – Avoir son ip locale

    ip a

    on retrouve son ip locale qui commence par 192.168.xxxx

    2 – mettre son ip locale en statique ou en dynamique

    • Installer netplan (si pas déjà installé)
    apt install netplan.io
    • Rechercher le fichier yaml qui s’occupe du réseau
    ls /etc/netplan/*.yaml
    • dans notre exemple il s’agit du fichier 50-cloud-int.yaml
    • on va éditer ce fichier
    nano /etc/netplan/50-cloud-init.yaml
    • dans notre exemple, on est en DHCP donc ip dynamique
    • Si on veux passer en ip statique on doit remplacer
    • – dhcp4: true par dhcp4: false
    • – Rajouter les lignes comme dans la copie écran suivante (bien entendu les ip, passerelle et dns dont à mettre en fonction de la configuration réseau souhaitée)
    • on enregistre et on génère le netplan
    netplan generate
    • on applique
    netplan apply

    on est bien en ip statique

    • si on veux passer en ip dynamique, il suffit de modifier le fichier comme le premier exemple

    ⚠️Si on est sur une machine containerisé sous docker ou lxc netplan n’existe pas, l’ip se gère au niveau du container

    3 – Connaître son ip publique

    • installation de curl si pas installé
    apt install curl

    (déjà installé dans notre exemple)

    curl -4 ifconfig.me
    • on a notre ip publique

  • Accéder à un ordinateur dans un autre réseau

    On pourrais très bien imaginer que l’on ai plusieurs réseaux chez soi

    On pourrais avoir machines === Routeur (en 192.168.1.xx) === Routeur (192.168.0.xx) == machines

    On va imaginer que l’on veux accéder à la machine 192.168.1.254 car elle a des dossiers partagés à partir d’une machine située sur le réseau 192.168.0.xx

    Il nous suffit alors de créer une route sur la machine 192.168.0.xx

    Pour se faire on ouvre un terminal en mode administrateur sur la machine et on écris

    route add 192.168.1.0 mask 255.255.255.0 ipdurouteurdanslereseau192.168.0.xx

    cela donnerais par exemple

    route add 192.168.1.0 mask 255.255.255.0 192.168.0.1

    On peux rajouter l’argument -p si on veux que la route soit active même au redémarrage de la machine

    route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.1

    On peux maintenant se connecter à la machine sur le réseau 192.168.1.xx

    Attention, les noms netbios ne sont pas utilisables inter-reseau, il faut obligatoirement passer par l’ip ou définir les correspondances dans le fichiers hosts

Propulsé par
Les cookies nécessaires activent des fonctionnalités essentielles du site comme les connexions sécurisées et les ajustements des préférences de consentement. Ils ne stockent pas de données personnelles.
Aucun
Les cookies fonctionnels supportent des fonctionnalités comme le partage de contenu sur les réseaux sociaux, la collecte de retours, et l’activation d’outils tiers.
Aucun
Les cookies analytiques suivent les interactions des visiteurs, fournissant des informations sur des métriques comme le nombre de visiteurs, le taux de rebond et les sources de trafic.
Aucun
Les cookies publicitaires diffusent des annonces personnalisées basées sur vos visites précédentes et analysent l’efficacité des campagnes publicitaires.
Aucun
Propulsé par