Étiquette : Domaine

Connecter un poste Linux à un domaine Windows Active Directory
On pourrais très bien avoir, en entreprise un domaine géré par un Active Directory sur un Windows Server et vouloir y inclure un poste linux qui pourrait être un serveur

1 – Préparation
- Installer les paquets requis
```
apt install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
```
- y
- Configurer le dns pour mettre le serveur Active Directory en DNS
```
nano /etc/netplan/*.yaml
```
Dans notre exemple on est en DHCP, on va donc rajouter la route et le DNS

route = ip du routeur

nameservers Adresses = l’ip du contrôleur de domaine

search = le nom du domaine
- Enregistrer
- Recharger la configuration réseau
```
netplan apply
```
2 – Découvrir le domaine et le rejoindre
```
realm discover nomdudomaine
```
Notre domaine a été trouvé, on peux le rejoindre
```
realm join -U nomadmin nomdudomaine
```
Le domaine a été rejoins

3 – Vérifications
- On peux vérifier si on arrive à récupérer les informations des utilisateurs du domaine
```
id hokuto@hokutotokisama.lan
```
On a bien le retour
- On peux aussi aller voir sur le domaine si le poste a été pris en compte
LinDC est bien sur le domaine

4 – Derniers paramétrages

4.1 – Si on ne veux pas forcement rajouter le nom du domaine à chaque fois que l’on se connecte. Ce qui peux etre trés long. On peux modifier le fichier /etc/sssd/sssd.conf
```
nano /etc/sssd/sssd.conf
```
- Remplacer la valeur de use_fully_qualified_names par False
- Redémarrer le service sssd
```
systemctl restart sssd
```
- On a bien le retour tout de même
4.2 – Configurer un Home pour les utilisateurs du domaine

Lorsque l’utilisateur du domaine se connectera il aura bien son propre home
- Éditer le fichier /etc/pam.d/common-session
```
nano /etc/pam.d/common-session
```
- A la fin du fichier rajouter
```
session optional pam_mkhomedir.so skel=/etc/skel umask=077
```
- Enregistrer
- Si on se connecte avec l’utilisateur il a bien son dossier home
4.3 Donner les privilèges root aux administrateurs du domaine
- Éditer le fichier /etc/sudoers.d/admins
```
nano /etc/sudoers.d/admins
```
- Rajouter dans le fichier
```
%domain\ admins ALL=(ALL:ALL) ALL
```
- On redémarre le poste
- Pour tester on peux se connecter avec un utilisateur Admin du domaine puis
```
sudo -l
```
Notre utilisateur a bien tous les droits sur la machine
6 avril 2026
Installer les outils d’administration de domaine sur un Windows 11
On peux partir du postulat que l’on a un contrôleur de domaine mais l’on ne veux pas forcément devoir se connecter en RDP sur le contrôleur de domaine pour gérer notre domaine.

On peux installer les outils d’administration de domaine sur notre poste de travail et gérer le domaine depuis notre poste de travail

1 – Préambule

Il faut windows 11 pro ou windows 11 entreprise. Les outils d’administration ne fonctionnent pas sur les autres versions de windows 11

2 – Installation des outils d’administration
- Ouvrir une console powershell en mode administrateur et lancer la commande suivante
```
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
```
- Attendre la fin de l’installation
- Installation terminée
3 – Connexion au contrôleur de domaine
- Démarrer puis gestionnaire de serveur
- A droite : Gérer puis Ajouter des serveurs
- Rechercher puis choisir son contrôleur de domaine puis la flèche vers la droite
- ok
Notre outil est connecté au serveur

4 – Gestion des utilisateurs et ordinateurs du domaine

Maintenant que notre outil est connecté, on peux aller dans le gestionnaire de serveur puis Outils à droite puis Utilisateurs et Ordinateurs Active Directory

On peux gérer les ordinateurs du domaine

Et les Utilisateurs

Ainsi que les groupes d’accès
5 avril 2026
Connecter un poste Windows à un Domaine
Dans une entreprise il est toujours utile de connecter un poste windows à un domaine pour le gérer plus facilement

1 – Préparation

Dans les propriétés de la carte réseau, mettre l’ip du contrôleur de domaine dans dns

2 – Connexion du poste au domaine
- Paramètres ==> Système ==> Informations système
- Aller en bas et chercher Domaine ou groupe de travail
- Cliquer sur Identité sur le réseau
- Cet ordinateur appartient à un réseau d’entreprise. Je l’utilise pour me connecter à d’autres ordinateurs de la société
- Suivant
- Ma société utilise un réseau comprenant un domaine
- Suivant
- Suivant
- Mettre le nom d’un utilisateur administrateur du domaine, son mot de passe, le nom du domaine
- Suivant
- Le nom de l’ordinateur et le domaine
- Suivant
- Le nom, mot de passe et domaine de l’utilisateur que l’on veux mettre sur la machine
- ok
- Ajouter l’utilisateur
- Suivant
- Type de droits qu’il doit avoir
- Suivant
- Terminer puis redémarrer le pc
Notre ordinateur est bien sur le domaine
5 avril 2026
Transformer un ubuntu en contrôleur de domaine avec Samba
Par défaut les contrôleurs de domaines se font avec un windows server mais il est aussi possible d’en créer avec linux notamment avec Samba4

1 – Prérequis
- Mettre une ip fixe sur son linux
Dans notre exemple nous avons mis 192.168.0.10
- Vérifier le nom du linux / serveur
```
hostname
```
Dans notre exemple le serveur s’appele ADDC
- Éditer le fichier hosts
```
nano /etc/hosts
```
Ajouter la ligne

IP nom.nomdudomaine nom
- Si on as fait notre serveur en tant que conteneur proxmox il faut que unprivileged container soit à false. En effet le conteneur doit être un conteneur privilégié pour pouvoir gérer lui même les ip et que ce ne soit pas proxmox qui gere sont ip
- Si on as fait notre serveur en tant que conteneur proxmox il faut que le nesting soit à true. En effet, le conteneur doit pouvoir gérer lui même ses namespaces et que ce ne soit pas proxmox qui gère ça
2 – Installation Samba4
- On mets à jour le serveur
```
apt -y update && apt -y upgrade
```
- On installe tous les paquets nécessaires
```
export DEBIAN_FRONTEND=noninteractive
 
apt -y install acl apt-utils attr autoconf bind9utils binutils \
    bison build-essential chrpath curl debhelper dnsutils \
    docbook-xml docbook-xsl flex gcc gdb git glusterfs-common gzip \
    heimdal-multidev hostname htop krb5-config krb5-user krb5-kdc \
    lcov libacl1-dev libarchive-dev libattr1-dev \
    libavahi-common-dev libblkid-dev libbsd-dev libcap-dev libcephfs-dev \
    libcups2-dev libdbus-1-dev libglib2.0-dev libgnutls28-dev libgpgme11-dev \
    libicu-dev libjansson-dev libjs-jquery libjson-perl libkrb5-dev libldap2-dev \
    liblmdb-dev libncurses5-dev libpam0g-dev libparse-yapp-perl libpcap-dev \
    libpopt-dev libreadline-dev libsystemd-dev libtasn1-bin libtasn1-dev \
    libunwind-dev lmdb-utils locales lsb-release make mawk mingw-w64 patch \
    perl perl-modules pkg-config procps psmisc \
    python3 python3-dbg python3-dev python3-dnspython python3-gpg \
    python3-iso8601 python3-markdown python3-matplotlib python3-pexpect \
    rng-tools rsync sed sudo tar tree uuid-dev xfslibs-dev xsltproc zlib1g-dev \
    ccache python3-cryptography python3-pyasn1 python3-setproctitle wget \
    libaio-dev libgpgme-dev nettle-dev python3-all-dev python3-dbg \
    python3-dev python3-dnspython
```
Ne surtout pas oublier export DEBIAN_FRONTEND=noninteractive . ça permet à samba de se faire une première configuration basique sans devoir poser des questions qui sont un peu prématurées dans l’état actuel des choses
- Pour ubuntu uniquement, on installe le pack de langue
```
apt -y install language-pack-en checkinstall
```
- On fait le ménage dans toutes les installations
```
apt -y autoremove
apt -y autoclean
apt -y clean
```
- On télécharge le code source de la dernière version de samba
```
wget -O samba-latest.tar.gz https://download.samba.org/pub/samba/samba-latest.tar.gz
tar zxvf samba-latest.tar.gz
```
- On a un dossier samba-4.24.0, on va dedans
- On configure le compilateur
```
./configure \
--prefix=/usr --exec-prefix=/usr --enable-fhs \
--libdir=/usr/lib/x86_64-linux-gnu \
--sysconfdir=/etc --localstatedir=/var \
--with-systemd --systemd-install-services --with-systemddir=/etc/systemd/system \
--systemd-smb-extra=NotifyAccess=all --systemd-nmb-extra=NotifyAccess=all \
--systemd-winbind-extra=NotifyAccess=all --systemd-samba-extra=NotifyAccess=all \
--with-lockdir=/var/run/samba \
--enable-selftest
```
- On compile Samba (préparez un café ou autre, ça peux prendre plusieurs minutes)
```
make -j && make -j install
```
- On va verrouiller l’installation pour etre sûr de ne pas récuperer les paquets des dépots ubuntu qui sont plus anciens
```
apt-mark hold samba
apt-mark showhold
```
3 – Création du domaine
- On va nettoyer s’il y a des anciennes installations
```
mv --backup=t /etc/samba/smb.conf /etc/samba/smb.conf.backup
mv --backup=t /etc/krb5.conf /etc/krb5.conf.backup
rm -rf /var/lib/samba/private/*
```
Rien à nettoyer et c’est normal puisque l’on part, dans notre exemple, d’une installation vierge
- Création du domaine
```
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL \
	--realm=HOKUTOTOKISAMA.LAN --domain=HOKUTOTOKISAMA --option="dns forwarder=192.168.0.103"
```
Realm = nom du domaine complet

Domain = nom du domaine sans extension

dns forwarder = ip du serveur dns (la plupart du temps sa box)
- On modifie le mot de passe de l’utilisateur Administrator qui a été généré par le domaine
```
samba-tool user setpassword administrator
```
- On désactive l’expiration du mot de passe de l’utilisateur Administrator
```
samba-tool user setexpiry administrator --noexpiry
```
- On crée un utilisateur qui va nous servir pour entrer les machines dans le domaine – Dans notre exemple on va l’appeler hokuto
```
samba-tool user create hokuto
```
- On désactive l’expiration du mot de passe de notre utilisateur
```
samba-tool user setexpiry hokuto --noexpiry
```
- On rajoute notre utilisateur dans le groupe des administrateurs du domaine
```
samba-tool group addmembers "Domain Admins" hokuto
```
- On récupère la configuration par défaut de kerberos
```
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
```
- On configure notre serveur en tant que serveur dns. En effet, les machines du domaine vont demander au contrôleur de domaine comment résoudre les ip
```
nano /etc/resolv.conf
```
Mettre les informations suivantes dans le fichier
```
nameserver ipduserveur
search domaineavecextension
domain domaineavecextension
```
- Vérification d’utilisation du port 53. Port utilisé par le dns de Samba
```
ss -tunpel | grep ":53 "
```
Si on a des choses comme dans l’image suivante alors il faut suivre les étapes suivantes sinon passer à l’étape Démarrage de Samba
- Désactivation du listener de systemd-resolve
```
nano /etc/systemd/resolved.conf
```
Décommenter la ligne DNSStubListener et mettre la valeur à no
- Arrêt et désactivation du service listener
```
systemctl stop systemd-resolved
systemctl disable systemd-resolved.service
```
- Vérification
```
ss -tunpel | grep ":53 "
```
On est tout bon

4 – Démarrage de Samba
- Arrêt et désactivation des anciens services
```
systemctl stop smbd nmbd winbindd smb nmb winbind
systemctl disable smbd nmbd winbindd smb nmb winbind
```
Si certains services sont en failed c’est normal, cela veux dire qu’ils ne sont pas présents sur le serveur
- Activation et démarrage de samba
```
systemctl unmask samba
systemctl enable samba
systemctl start samba
sleep 5
samba-tool processes
```
Tout les services sont correctement démarrés
- Création d’une zone de recherche inversée de façon à ce que notre contrôleur de domaine puisse faire la résolution dns des appareils du domaine
```
samba-tool dns zonecreate nomserveur ip.in-addr.arpa --username=nomadministrator
```
Exemple
```
samba-tool dns zonecreate ADDC 0.168.192.in-addr.arpa --username=administrator
```
Notre serveur s’appelle ADDC

On est sur la plage d’ip 192.168.0….

5 – Test

Pour tester, on peux essayer de rentrer un appareil sur le domaine

Le tuto pour rentrer un appareil windows sur le domaine est ici

Le tuto pour rentrer un appareil linux sur le domaine est ici
4 avril 2026