Intégrer un ordinateur Linux Mint MATE dans un domaine Windows



Cette documentation vous explique comment Intégrer un ordinateur Linux Mint MATE dans un domaine Windows géré par un seul serveur Windows Server 2008 Standard.



1) Configuration du serveur Windows


Le serveur Windows doit avoir pour rôles Serveur DHCP, Serveur DNS et Services de domaine Active Directory. Il doit être synchronisé avec un serveur de temps (serveur NTP) :


Notez bien l'adresse IP du serveur Windows (par exemple 192.168.0.29), son nom (par exemple 2008-STD) et le nom de domaine (par exemple 2008-standard.numopen).



2) Configuration de l'ordinateur Linux Mint MATE


Il faut paramétrer Linux Mint MATE pour qu'il utilise le DNS du serveur Windows.

Ouvrez un terminal en choisissant le menu Applications - Outils système - Terminal :


Éditez le fichier /etc/network/interfaces en tant qu'administrateur, avec l'éditeur de texte mcedit ou avec un autre éditeur de texte :



À la fin du fichier, ajoutez les lignes suivantes, en remplaçant l'adresse IP du serveur Windows et le nom de domaine par les valeurs correspondant à votre cas :

dns-nameservers 192.168.0.29
dns-search 2008-standard.numopen

Enregistrez (touche F2) puis quittez mcedit (touche F10).

Dans le terminal, écrivez les commandes suivantes pour faire prendre en compte les nouveaux paramètres :

sudo ifdown -a
sudo ifup -a

Puis testez la conversion « nom d'ordinateur » en « adresse IP » par le serveur DNS du serveur Windows :

host 2008-STD


L'ordinateur Linux Mint MATE reçoit bien en réponse l'adresse IP du serveur Windows : 192.168.0.29.

Installez les paquets adcli, krb5-user, libnss-sss, libpam-sss, ntp, realmd, samba et sssd, sssd-tools en écrivant cette commande :

sudo apt install adcli krb5-user sssd sssd-tools libnss-sss libpam-sss realmd samba ntp


Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE.


Lors de l'installation, écrivez le nom de royaume Kerberos (dans cet exemple, c'est le nom de domaine Windows en majuscules) :

2008-STANDARD.NUMOPEN



Si nécessaire, vous pourrez modifier le nom de royaume Kerberos dans le fichier de configuration /etc/krb5.conf en écrivant la commande :

sudo mcedit /etc/krb5.conf


Enregistrez (touche F2) puis quittez mcedit (touche F10).


Vous pourrez aussi modifier le nom de royaume Kerberos en écrivant la commande :

sudo dpkg-reconfigure krb5-config


Choisissez <Non> pour utiliser les serveurs Kerberos définis dans le DNS de Windows :




3) Intégration de l'ordinateur Linux Mint MATE dans le domaine Windows


La commande realm simplifie l'intégration d'un ordinateur Linux dans un royaume Kerberos (le domaine Windows dans cet exemple). Elle installe les paquets manquants et paramètre les fichiers de configuration.

Pour trouver le serveur Kerberos et afficher ses caractéristiques, écrivez la commande :

realm discover 2008-standard.numopen



Pour s'identifier et s'authentifier auprès de l'annuaire Active Directory du serveur Windows, on utilise SSSD plutôt que Winbind.

Écrivez la commande suivante en remplaçant <user> par le nom de l'administrateur du domaine Windows (ou le nom d'un utilisateur créé sur le serveur Windows et ayant le droit d'ajouter un ordinateur dans le domaine Windows) :

sudo realm join -v --user=<user> --client-software=sssd 2008-STANDARD.NUMOPEN

Attention à bien écrire le nom de royaume Kerberos en majuscules.


Écrivez le mot de passe de l'administrateur du domaine Windows.
Remarque : si le mot de passe contient un caractère accentué, l'authentification échoue : https://bugs.freedesktop.org/show_bug.cgi?id=99676

Puis écrivez le mot de passe de l'utilisateur Linux Mint MATE :



L'ordinateur Linux Mint MATE apparaît maintenant dans l'annuaire Active Directory sur le serveur Windows :


Sélectionnez le menu Affichage - Fonctionnalités avancées :



Faites un clic-droit sur l'ordinateur Linux Mint MATE et sélectionnez Propriétés :



Certaines propriétés ont des valeurs récupérées sur l'ordinateur Linux Mint MATE :



Remarque : du fait de l'erreur rencontrée lors de l'intégration (https://bugs.freedesktop.org/show_bug.cgi?id=97080), la propriété servicePrincipalName n'a pas de valeur. Est-ce sans conséquence ?



4) Ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows


Vous pouvez maintenant ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows. Choisissez un utilisateur Windows ou créez-en un sur le serveur Windows :



Vérifiez que le nom, le numéro d'utilisateur (UID), le numéro de groupe (GID) et le dossier personnel de cet utilisateur sont bien transmis à Linux Mint MATE par l'annuaire Active Directory, en écrivant les commandes :

getent passwd Jean@2008-standard.numopen


id Jean@2008-standard.numopen


Lors de la première ouverture de session par l'utilisateur Windows, son dossier personnel n'existe pas encore. Pour qu'il soit créé automatiquement, il faut activer le module pam_mkhomedir en ajoutant dans le fichier de configuration /etc/pam.d/common-session :

session    required    pam_mkhomedir.so skel=/etc/skel/ umask=0022



Le dossier /etc/skel/ contient des fichiers de configuration qui sont dupliqués dans le dossier personnel de chaque nouvel utilisateur lorsqu'il ouvre une session pour la première fois. On peut y ajouter d'autres fichiers de configuration et modifier ceux qui existent déjà.


Le dossier personnel de l'utilisateur Windows sera créé avec le nom /home/<nom de l'utilisateur>@2008-standard.numopen. Cette syntaxe est définie dans le fichier de configuration /etc/sssd/sssd.conf :
fallback_homedir = /home/%u@%d


Ouvrez une session avec le nom de l'utilisateur Windows :

su - 2008-standard.numopenJean

ou su - 2008-standardJean

ou su - Jean@2008-standard.numopen

ou su - Jean@2008-standard

Attention : les caractères affichés dans Linux Mint MATE s'affichent parfois différemment dans Windows. Le mot de passe de l'utilisateur Windows doit alors être écrit avec des touches différentes.


En théorie, vous pouvez maintenant fermer votre session et ouvrir une nouvelle session avec le nom de l'utilisateur Windows :



Mais le gestionnaire d'affichage MDM ne fonctionne pas quand on s'identifie (touches ESC puis F1) avec le compte d'utilisateur Windows. Une solution est de remplacer le gestionnaire d'affichage MDM par le gestionnaire d'affichage LightDM.

Installez les paquets lightdm, gnome-settings-daemon, indicator-session, unity-greeter, ubuntu-mono et light-themes en écrivant cette commande :

sudo apt-get install lightdm gnome-settings-daemon indicator-session unity-greeter ubuntu-mono light-themes


Écrivez le mot de passe de l'utilisateur Linux Mint MATE.



Appuyez sur la touche O puis sur la touche Entrée.




Sélectionnez lightdm puis <Ok>.


Créez le fichier de configuration de LightDM en écrivant la commande :

sudo mcedit /etc/lightdm/lightdm.conf

Ajoutez dans ce fichier la ligne qui permet de s'identifier avec l'utilisateur de son choix et la ligne qui permet de démarrer automatiquement l'interface graphique MATE :

greeter-show-manual-login=true

user-session=mate


Enregistrez (touche F2) puis quittez mcedit (touche F10).


Redémarrez l'ordinateur Linux Mint MATE.

Avec les touches flèches, choisissez Ouvrir la session puis écrivez le nom de l'utilisateur et du domaine Windows :


Écrivez le mot de passe de l'utilisateur Windows puis appuyez sur la touche Entrée :



La session de l'utilisateur Windows s'ouvre :




6) Accès aux dossiers partagés


Sur le serveur Windows, créez un dossier partagé, accessible à l'utilisateur Windows Jean BON :


Notez le nom et le chemin d'accès du dossier partagé.


Sur l'ordinateur Linux Mint MATE, ouvrez une session en tant qu'utilisateur Windows Jean BON.

Vous pouvez testez l'accès au dossier partagé Windows avec le gestionnaire de fichiers Caja. Démarrez Caja et choisissez le menu Se connecter à un serveur... :



Écrivez le nom du serveur Windows dans Serveur. Dans Répertoire, écrivez le chemin d'accès au dossier partagé sur le serveur Windows. Par exemple, /Users/Administrateur/Desktop/Dossier partagé pour test :


Donnez le nom que vous voulez au signet, ce sera le nom du dossier qui apparaîtra dans Caja. Sélectionnez le bouton Se connecter, un nouveau dossier apparaîtra :



Vous pouvez aussi testez l'accès au dossier partagé dans le terminal. Créez par exemple un dossier nommé Dossier Windows, dans le dossier Bureau, en écrivant la commande :

mkdir /home/jean@2008-standard.numopen/Bureau/Dossier Windows



Ouvrez une session en tant qu'administrateur, en écrivant la commande su - :



Rattachez le dossier partagé Windows au dossier local Dossier Windows, en écrivant la commande :

mount -t cifs //2008-STD/Users/Administrateur/Desktop/Dossier partagé pour test /home/jean@2008-standard.numopen/Bureau/Dossier Windows/ -o username=Jean



Pour ne pas devoir écrire ces commandes à chaque fois que vous démarrez une nouvelle session, vous pouvez activer le montage automatique du dossier partagé. Pour cela, installez les paquets libpam-krb5 et libpam-mount en écrivant la commande :

apt install libpam-krb5 libpam-mount

Choisissez  <Non>.


Dans le fichier /etc/pam.d/common-session, ajoutez la ligne :

session optional pam_mount.so



Dans le fichier /etc/security/pam_mount.conf.xml, ajoutez la ligne :

<volume fstype="cifs" server="2008-STD" mountpoint="~/Bureau/Dossier Windows" />



Redémarrez Linux Mint MATE puis reconnectez-vous en tant qu'utilisateur Jean BON.


À compléter...



7) Autres points intéressants à tester


- Vérifier les droits d'accès ;

- Tester la tenue en charge (plusieurs milliers d'authentifications en même temps) ;

- Ajouter et tester un serveur freeIPA ;

- Tester l'outil de gestion de l'Active Directory Active Directory Integration ;

- Tester PowerBroker Identity Service, une alternative à realm.



8) Bibliographie




Version 2.9


© 2017 Vincent MERLET, David VANTYGHEM - Licence CC BY-SA - david.vantyghem@free.fr - - blog- Licence CC BY-SA