Intégrer un ordinateur Linux Mint MATE dans un domaine Windows



Cette documentation vous explique comment Intégrer un ordinateur Linux Mint MATE dans un domaine Active Directory géré par un seul contrôleur de domaine : un serveur Windows 2008 Standard.


La gestion des droits d'accès dans un réseau avec un domaine sera bientôt dépassée car toutes les applications deviennent accessibles sur le Web.



1) Configurer le serveur Windows


Le serveur Windows doit avoir pour rôles Serveur DHCP, Serveur DNS et Services de domaine Active Directory. Il doit être synchronisé avec un serveur de temps (serveur NTP) :


Notez bien l'adresse IP du serveur Windows (par exemple 192.168.0.29), son nom (par exemple 2008-STD) et le nom de domaine Active Directory (par exemple 2008-standard.numopen).



2) Configurer l'ordinateur Linux Mint MATE


Il faut paramétrer Linux Mint MATE pour qu'il utilise le DNS du serveur Windows.


Ouvrez un terminal en choisissant le menu Applications - Outils système - Terminal :


La résolution des noms de machines est gérée par le service systemd-resolved.

Éditez le fichier /etc/systemd/resolved.conf en tant qu'administrateur, avec l'éditeur de texte mcedit ou avec un autre éditeur de texte :

Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE.


Enlevez le # au début des lignes suivantes et complétez-les, en remplaçant l'adresse IP du serveur Windows et le nom de domaine Active Directory par les valeurs correspondant à votre cas :

DNS=192.168.0.29

Domains=2008-standard.numopen

Enregistrez (touche F2) puis quittez mcedit (touche F10 ou 2x touche ESC/Echap).


Dans le terminal, écrivez cette commande pour redémarrer le service systemd-resolved :

sudo systemctl restart systemd-resolved


Testez la conversion « nom de machine » en « adresse IP » par le serveur DNS du serveur Windows, en écrivant cette commande :

host 2008-STD

L'ordinateur Linux Mint MATE reçoit bien en réponse l'adresse IP du serveur Windows : 192.168.0.29.


Installez les paquets adcli, krb5-user, libnss-sss, libpam-sss, ntp, realmd, samba, sssd et sssd-tools, en écrivant cette commande :

sudo apt install adcli krb5-user libnss-sss libpam-sss ntp realmd samba sssd sssd-tools


Lors de l'installation du paquet krb5-user, écrivez le nom de royaume Kerberos en majuscules (c'est en général le nom de domaine Active Directory mais ça pourrait aussi être un nom de domaine IPA) :

2008-STANDARD.NUMOPEN


Si nécessaire, vous pourrez modifier le nom de royaume Kerberos dans le fichier de configuration /etc/krb5.conf en écrivant cette commande :

sudo mcedit /etc/krb5.conf

Enregistrez (touche F2) puis quittez mcedit (touche F10).


Vous pourrez aussi modifier le nom de royaume Kerberos en écrivant cette commande :

sudo dpkg-reconfigure krb5-config

Choisissez <Non> pour utiliser les serveurs Kerberos définis dans le DNS de Windows et non pas dans le fichier /etc/krb5.conf :



3) Intégrer l'ordinateur Linux Mint MATE dans le domaine Active Directory


La commande realm simplifie l'ajout d'un ordinateur Linux dans un royaume Kerberos (qui est un domaine Active Directory dans cet exemple). Elle installe les paquets manquants et écrit les paramètres nécessaires dans les fichiers de configuration.

Pour trouver le serveur Kerberos et afficher ses caractéristiques, écrivez cette commande :

realm discover 2008-standard.numopen


Pour rejoindre le royaume Kerberos, écrivez cette commande en remplaçant <user> par le nom d'un administrateur de domaine Active Directory (Administrateur dans cet exemple) :

realm join -v --user=<user> --client-software=sssd 2008-standard.numopen

Écrivez le mot de passe de l'administrateur de domaine Active Directory.

Remarque : si le mot de passe contient un caractère accentué, l'authentification échoue : https://bugs.freedesktop.org/show_bug.cgi?id=99676 ou https://pagure.io/SSSD/sssd/issue/3490.


Puis écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE :


Remarque : pour s'identifier et s'authentifier auprès de l'annuaire Active Directory du serveur Windows, on utilise SSSD plutôt que Winbind.


L'ordinateur Linux Mint MATE apparaît maintenant dans l'annuaire Active Directory sur le serveur Windows :


Choisissez le menu Affichage - Fonctionnalités avancées :


Faites un clic-droit sur l'ordinateur Linux Mint MATE et choisissez Propriétés :


Certaines propriétés ont des valeurs récupérées sur l'ordinateur Linux Mint MATE :



Remarque : du fait de l'erreur rencontrée lors de l'ajout de l'ordinateur Linux dans le royaume Kerberos, la propriété servicePrincipalName n'a pas de valeur. Est-ce sans conséquence ?


Dans certains cas (serveur Windows 2012, NAS Synology), l'ajout de l'ordinateur Linux dans le royaume Kerberos ne se fait pas. Il faut auparavant arrêter temporairement le service avahi-daemon, en écrivant cette commande :

sudo systemctl stop avahi-daemon




4) Ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows


Vous pouvez maintenant ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows. Choisissez un utilisateur Windows ou créez-en un sur le serveur Windows :


Vérifiez que le nom, le numéro d'utilisateur (UID), le numéro de groupe (GID) et le dossier personnel de cet utilisateur Windows sont bien transmis à Linux Mint MATE par l'annuaire Active Directory, en écrivant les commandes :

getent passwd Jean@2008-standard.numopen


id Jean@2008-standard.numopen


Lors de la première ouverture de session par l'utilisateur Windows, son dossier personnel n'existe pas encore. Pour qu'il soit créé automatiquement, il faut activer le module pam_mkhomedir.

Modifiez le fichier /etc/pam.d/common-session en écrivant cette commande :

sudo mcedit /etc/pam.d/common-session

Ajoutez dans ce fichier cette ligne :

session    required    pam_mkhomedir.so skel=/etc/skel/ umask=0022

Enregistrez (touche F2) puis quittez mcedit (touche F10).


Le dossier /etc/skel/ contient des fichiers de configuration qui sont dupliqués dans le dossier personnel de chaque nouvel utilisateur lorsqu'il ouvre une session pour la première fois. On peut y ajouter d'autres fichiers de configuration et modifier ou supprimer ceux qui existent déjà.


Le dossier personnel de l'utilisateur Windows sera créé avec le nom /home/<nom de l'utilisateur>@2008-standard.numopen. Cette syntaxe est définie dans le fichier de configuration /etc/sssd/sssd.conf :

fallback_homedir = /home/%u@%d


Ouvrez une session avec le nom de l'utilisateur Windows :

su - 2008-standard.numopen\\Jean

ou su - 2008-standard\\Jean

ou su - Jean@2008-standard.numopen

ou su - Jean@2008-standard

Attention : les caractères affichés dans Linux Mint MATE s'affichent parfois différemment dans Windows. Le mot de passe de l'utilisateur Windows doit alors être écrit avec des touches différentes.


Vous pouvez maintenant fermer votre session et ouvrir une nouvelle session avec le nom de l'utilisateur Windows :


Les anciennes version de Linux Mint MATE utilisent par défaut le gestionnaire d'affichage MDM. MDM ne fonctionne pas quand on s'identifie avec le compte d'utilisateur Windows. Une solution est d'utiliser le gestionnaire d'affichage LightDM à la place de MDM.

Si nécessaire, installez les paquets lightdm, slick-greeter, lightdm-settings et numlockx en écrivant cette commande :

sudo apt install lightdm slick-greeter lightdm-settings numlockx

Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE.


Appuyez sur la touche O puis sur la touche Entrée.


Choisissez lightdm puis <Ok>.


Pour éviter un message d'erreur lors de la connexion d'un utilisateur, supprimez mdm en écrivant cette commande :

apt remove mdm


Modifiez le fichier de configuration de LightDM en écrivant cette commande :

sudo mcedit /etc/lightdm/lightdm.conf.d/70-linuxmint.conf

Ajoutez dans ce fichier les lignes qui permettent de s'identifier avec l'utilisateur de son choix, de démarrer l'interface graphique MATE et d'activer le verrouillage numérique sur le pavé numérique :

greeter-show-manual-login=true

user-session=mate

greeter-setup-script=/usr/bin/numlockx on

Enregistrez (touche F2) puis quittez mcedit (touche F10).


Éteignez puis allumez l'ordinateur Linux Mint MATE en écrivant la commande reboot.

Sélectionnez Ouvrir la session, écrivez le nom de l'utilisateur Windows et le nom de domaine Active Directory puis appuyez sur la touche Entrée :


Écrivez le mot de passe de l'utilisateur Windows puis appuyez sur la touche Entrée :


La session de l'utilisateur Windows s'ouvre :



5) Accéder aux dossiers partagés


Sur le serveur Windows, créez un dossier partagé, avec Jean BON comme Copropriétaire (Contrôle total) :

Notez le nom et le chemin d'accès du dossier partagé.


Sur l'ordinateur Linux Mint MATE, ouvrez une session en tant qu'utilisateur Windows Jean BON.

Vous pouvez testez l'accès au dossier partagé Windows avec le gestionnaire de fichiers Caja. Démarrez Caja et choisissez le menu Fichier - Se connecter à un serveur... :


Écrivez le nom du serveur Windows dans Serveur. Dans Répertoire, écrivez le chemin d'accès au dossier partagé sur le serveur Windows. Par exemple, /Users/Administrateur/Desktop/Dossier partagé pour test :

Donnez le nom que vous voulez au signet, ce sera le nom du dossier qui apparaîtra dans Caja. Sélectionnez le bouton Se connecter, ce nouveau dossier apparaît :


Pour ne pas devoir recréer un raccourci vers le dossier partagé à chaque fois que vous démarrez Linux Mint MATE, vous pouvez activer le montage automatique du dossier partagé. Pour cela, installez les paquets libpam-krb5 et libpam-mount. Ouvrez une session dans le terminal en écrivant cette commande :

su -

Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE, n'utilisez pas le mot de passe de l'utilisateur Windows.


Écrivez cette commande :

apt install libpam-krb5 libpam-mount


Choisissez  <Non>.


Dans le fichier /etc/pam.d/common-session, ajoutez cette ligne :

session optional pam_mount.so


Dans le fichier /etc/security/pam_mount.conf.xml, ajoutez cette ligne :

<volume fstype="cifs" server="2008-STD" path="Users/Administrateur/Desktop/Dossier partagé pour test" mountpoint="/home/%(USER)/Bureau/Dossier test" options="sec=krb5,cruid=%(USERUID),uid=%(USERUID)" />


Par défaut, le dossier partagé est monté par l'utilisateur qui ouvre une session. Pour que le dossier partagé ne puisse être monté que par l'utilisateur jean@2008-standard.numopen et ainsi éviter des dysfonctionnements tels que l'impossibilité de démarrer Synaptic depuis les menus de Linux Mint MATE, ajoutez cette option :

user="jean@2008-standard.numopen"

Redémarrez Linux Mint MATE puis connectez-vous en tant qu'utilisateur Windows Jean BON. Vous verrez un nouveau dossier Dossier test sur votre bureau, qui permet d'accéder au dossier partagé sur le serveur Windows.


Vous pouvez afficher la liste des tickets Kerberos actuellement mis en cache, en écrivant la commande klist dans un terminal  :



6) Authentification Kerberos pour l'impression en réseau


Dans certains cas, il est intéressant de ne permettre qu'à un seul utilisateur ou à un groupe d'utilisateurs Windows d'imprimer en réseau. Pour éviter de s'authentifier à chaque fois qu'il imprime, l'utilisateur Windows peut soit mémoriser ses identifiant/mot de passe, soit utiliser l'authentification Kerberos.

Ajoutez le rôle Services d'impression sur le serveur Windows :


Sur le serveur Windows, installez le pilote pour l'imprimante en réseau. Partagez l'imprimante et notez le nom du partage, par exemple Brother_HL-3170CDN. Attention, le nom du partage ne doit pas contenir d'espace sinon, il ne sera pas accessible depuis un ordinateur Linux Mint. Modifiez-le si nécessaire :


Dans les propriétés de l'imprimante, onglet Sécurité, supprimez Tout le monde et ajoutez l'utilisateur ou le groupe d'utilisateurs Windows autorisés à utiliser l'imprimante :


Sur l'ordinateur Linux Mint MATE, installez le pilote LPR pour l'imprimante réseau, ainsi que le wrapper (enveloppe) CUPS. Par exemple, les paquets hl3170cdwlpr-x.x.x-x.i386.deb et hl3170cdwcupswrapper-x.x.x-x.i386.deb pour l'imprimante Brother HL-3170CDW. Téléchargez les paquets .deb sur le site web du constructeur s'ils ne sont pas disponibles dans les dépôts officiels de Linux Mint.

Choisissez le menu Système - Administration - Imprimantes. L'imprimante doit apparaître, sinon, ajoutez-là :


Sélectionnez l'imprimante puis choisissez le menu Imprimante - Propriétés :

Dans URI du périphérique, indiquez le nom NETBIOS du serveur d'impression, suivi du nom du partage de l'imprimante sur ce serveur : smb://2008-STD/Brother_HL-3170CDW.


Imprimez une page de test, l'utilisateur Windows doit s'authentifier puis la page de test s'imprimer :

Vous pouvez cocher Se souvenir du mot de passe pour que l'utilisateur Windows n'ait plus à s'authentifier à chaque impression. Mais il est plus sécurisé de ne pas le faire et d'utiliser à la place une authentification Kerberos.


Démarrez Mozilla firefox et écrivez l'adresse https://localhost:631 pour accéder à l'interface d'administration de CUPS :

Cochez Use Kerberos authentication (FAQ) puis sélectionnez le bouton Change Settings.


Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE :


Maintenant, il n'est normalement plus nécessaire pour l'utilisateur Windows de s'authentifier à chaque impression mais un bogue dans CUPS empêche cela. Une solution est d'installer le paquet samba-krb-printing qui n'existe malheureusement pas pour Linux Mint MATE.



7) Autres points intéressants à tester


- Pour le contrôleur de domaine, remplacer le serveur Windows par un serveur FreeIPA ou par un serveur Samba ;

- Active Directory Integration ;

- PowerBroker Identity Service.



8) Documentation



Version 5.3