Intégrer un ordinateur Linux Mint MATE dans un domaine Windows



Cette documentation vous explique comment Intégrer un ordinateur Linux Mint MATE dans un domaine Active Directory géré par un seul contrôleur de domaine : un serveur Windows 2008 Standard.



1) Configurer le serveur Windows


Le serveur Windows doit avoir pour rôles Serveur DHCP, Serveur DNS et Services de domaine Active Directory. Il doit être synchronisé avec un serveur de temps (serveur NTP) :


Notez bien l'adresse IP du serveur Windows (par exemple 192.168.0.29), son nom (par exemple 2008-STD) et le nom de domaine Active Directory (par exemple 2008-standard.numopen).



2) Configurer l'ordinateur Linux Mint MATE


Il faut paramétrer Linux Mint MATE pour qu'il utilise le DNS du serveur Windows.

Ouvrez un terminal en choisissant le menu Applications - Outils système - Terminal :


Éditez le fichier /etc/network/interfaces en tant qu'administrateur, avec l'éditeur de texte mcedit ou avec un autre éditeur de texte :


Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE.


À la fin du fichier, ajoutez les lignes suivantes, en remplaçant l'adresse IP du serveur Windows et le nom de domaine Active Directory par les valeurs correspondant à votre cas :

dns-nameservers 192.168.0.29
dns-search 2008-standard.numopen

Enregistrez (touche F2) puis quittez mcedit (touche F10).

Dans le terminal, écrivez les commandes suivantes pour faire prendre en compte les nouveaux paramètres :

sudo ifdown -a
sudo ifup -a

Puis testez la conversion « nom d'ordinateur » en « adresse IP » par le serveur DNS du serveur Windows :

host 2008-STD


L'ordinateur Linux Mint MATE reçoit bien en réponse l'adresse IP du serveur Windows : 192.168.0.29.

Installez les paquets adcli, krb5-user, libnss-sss, libpam-sss, ntp, realmd, samba et sssd, sssd-tools en écrivant cette commande :

sudo apt install adcli krb5-user sssd sssd-tools libnss-sss libpam-sss realmd samba ntp



Lors de l'installation du paquet krb5-user, écrivez le nom de royaume Kerberos en majuscules (c'est en général le nom de domaine Active Directory mais ça pourrait aussi être un nom de domaine IPA) :

2008-STANDARD.NUMOPEN



Si nécessaire, vous pourrez modifier le nom de royaume Kerberos dans le fichier de configuration /etc/krb5.conf en écrivant la commande :

sudo mcedit /etc/krb5.conf


Enregistrez (touche F2) puis quittez mcedit (touche F10).


Vous pourrez aussi modifier le nom de royaume Kerberos en écrivant la commande :

sudo dpkg-reconfigure krb5-config


Choisissez <Non> pour utiliser les serveurs Kerberos définis dans le DNS de Windows et non pas dans le fichier /etc/krb5.conf :




3) Intégrer l'ordinateur Linux Mint MATE dans le domaine Active Directory


La commande realm simplifie l'ajout d'un ordinateur Linux dans un royaume Kerberos (qui est un domaine Active Directory dans cet exemple). Elle installe les paquets manquants et écrit les paramètres nécessaires dans les fichiers de configuration.

Pour trouver le serveur Kerberos et afficher ses caractéristiques, écrivez la commande :

realm discover 2008-standard.numopen



Pour rejoindre le royaume Kerberos, écrivez la commande suivante en remplaçant <user> par le nom de l'administrateur de domaine Active Directory (ou le nom d'un utilisateur créé sur le serveur Windows et ayant le droit d'ajouter un ordinateur dans le domaine Active Directory) :

realm join -v --user=<user> --client-software=sssd 2008-standard.numopen


Écrivez le mot de passe de l'administrateur de domaine Active Directory.
Remarque : si le mot de passe contient un caractère accentué, l'authentification échoue : https://bugs.freedesktop.org/show_bug.cgi?id=99676 ou https://pagure.io/SSSD/sssd/issue/3490.


Puis écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE :



Remarque : pour s'identifier et s'authentifier auprès de l'annuaire Active Directory du serveur Windows, on utilise SSSD plutôt que Winbind.


L'ordinateur Linux Mint MATE apparaît maintenant dans l'annuaire Active Directory sur le serveur Windows :


Sélectionnez le menu Affichage - Fonctionnalités avancées :



Faites un clic-droit sur l'ordinateur Linux Mint MATE et sélectionnez Propriétés :



Certaines propriétés ont des valeurs récupérées sur l'ordinateur Linux Mint MATE :



Remarque : du fait de l'erreur rencontrée lors de l'ajout de l'ordinateur Linux dans le royaume Kerberos, la propriété servicePrincipalName n'a pas de valeur. Est-ce sans conséquence ?



4) Ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows


Vous pouvez maintenant ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows. Choisissez un utilisateur Windows ou créez-en un sur le serveur Windows :



Vérifiez que le nom, le numéro d'utilisateur (UID), le numéro de groupe (GID) et le dossier personnel de cet utilisateur Windows sont bien transmis à Linux Mint MATE par l'annuaire Active Directory, en écrivant les commandes :

getent passwd Jean@2008-standard.numopen


id Jean@2008-standard.numopen


Lors de la première ouverture de session par l'utilisateur Windows, son dossier personnel n'existe pas encore. Pour qu'il soit créé automatiquement, il faut activer le module pam_mkhomedir en ajoutant dans le fichier de configuration /etc/pam.d/common-session :

session    required    pam_mkhomedir.so skel=/etc/skel/ umask=0022



Le dossier /etc/skel/ contient des fichiers de configuration qui sont dupliqués dans le dossier personnel de chaque nouvel utilisateur lorsqu'il ouvre une session pour la première fois. On peut y ajouter d'autres fichiers de configuration et modifier ou supprimer ceux qui existent déjà.


Le dossier personnel de l'utilisateur Windows sera créé avec le nom /home/<nom de l'utilisateur>@2008-standard.numopen. Cette syntaxe est définie dans le fichier de configuration /etc/sssd/sssd.conf :
fallback_homedir = /home/%u@%d


Ouvrez une session avec le nom de l'utilisateur Windows :

su - 2008-standard.numopen\\Jean

ou su - 2008-standard\\Jean

ou su - Jean@2008-standard.numopen

ou su - Jean@2008-standard

Attention : les caractères affichés dans Linux Mint MATE s'affichent parfois différemment dans Windows. Le mot de passe de l'utilisateur Windows doit alors être écrit avec des touches différentes.


Vous pouvez maintenant fermer votre session et ouvrir une nouvelle session avec le nom de l'utilisateur Windows :



Les anciennes version de Linux Mint MATE utilisent par défaut le gestionnaire d'affichage MDM. MDM ne fonctionne pas quand on s'identifie avec le compte d'utilisateur Windows (touches ESC puis F1). Une solution est d'utiliser le gestionnaire d'affichage LightDM à la place de MDM.

Si nécessaire, installez les paquets lightdm, slick-greeter et lightdm-settings en écrivant cette commande :

sudo apt-get install lightdm slick-greeter lightdm-settings


Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE.



Appuyez sur la touche O puis sur la touche Entrée.



Sélectionnez lightdm puis <Ok>.


Modifiez le fichier de configuration de LightDM en écrivant la commande :

sudo mcedit /etc/lightdm/lightdm.conf.d/70-linuxmint.conf

Ajoutez dans ce fichier la ligne qui permet de s'identifier avec l'utilisateur de son choix et la ligne qui permet de démarrer l'interface graphique MATE :

greeter-show-manual-login=true

user-session=mate


Enregistrez (touche F2) puis quittez mcedit (touche F10).

Pour éviter un message d'erreur lors de la connexion d'un utilisateur, supprimez mdm en écrivant la commande :

apt remove mdm


Éteignez puis allumez l'ordinateur Linux Mint MATE en écrivant la commande reboot.

Choisissez Ouvrir la session, écrivez le nom de l'utilisateur Windows et le nom de domaine Active Directory puis appuyez sur la touche Entrée :


Écrivez le mot de passe de l'utilisateur Windows puis appuyez sur la touche Entrée :



La session de l'utilisateur Windows s'ouvre :




5) Accéder aux dossiers partagés


Sur le serveur Windows, créez un dossier partagé, avec Jean BON comme Copropriétaire (Contrôle total) :


Notez le nom et le chemin d'accès du dossier partagé.


Sur l'ordinateur Linux Mint MATE, ouvrez une session en tant qu'utilisateur Windows Jean BON.

Vous pouvez testez l'accès au dossier partagé Windows avec le gestionnaire de fichiers Caja. Démarrez Caja et choisissez le menu Se connecter à un serveur... :



Écrivez le nom du serveur Windows dans Serveur. Dans Répertoire, écrivez le chemin d'accès au dossier partagé sur le serveur Windows. Par exemple, /Users/Administrateur/Desktop/Dossier partagé pour test :


Donnez le nom que vous voulez au signet, ce sera le nom du dossier qui apparaîtra dans Caja. Sélectionnez le bouton Se connecter, un nouveau dossier apparaîtra :



Pour ne pas devoir recréer un raccourci vers le dossier partagé à chaque fois que vous démarrez Linux Mint MATE, vous pouvez activer le montage automatique du dossier partagé. Pour cela, installez les paquets libpam-krb5 et libpam-mount. Ouvrez une session dans le terminal en écrivant la commande :

su -


Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE, n'utilisez pas le mot de passe de l'utilisateur Windows.

Écrivez la commande :

apt install libpam-krb5 libpam-mount

Choisissez  <Non>.


Dans le fichier /etc/pam.d/common-session, ajoutez la ligne :

session optional pam_mount.so



Dans le fichier /etc/security/pam_mount.conf.xml, ajoutez la ligne :

<volume fstype="cifs" server="2008-STD" path="Users/Administrateur/Desktop/Dossier partagé pour test" mountpoint="/home/%(USER)/Bureau/Dossier test" options="sec=krb5,cruid=%(USERUID),uid=%(USERUID)" />


Par défaut, le dossier partagé est monté par l'utilisateur qui ouvre une session. Pour que le dossier partagé ne puisse être monté que par l'utilisateur jean@2008-standard.numopen, vous pouvez ajouter cette option :

user="jean@2008-standard.numopen"


Redémarrez Linux Mint MATE puis connectez-vous en tant qu'utilisateur Windows Jean BON. Vous verrez un nouveau dossier Dossier test sur votre bureau, qui permet d'accéder au dossier partagé sur le serveur Windows.


Vous pouvez afficher la liste des tickets Kerberos actuellement mis en cache, en écrivant la commande klist dans un terminal  :




6) Autres points intéressants à tester


- Tester la tenue en charge (plusieurs milliers d'authentifications en même temps) ;

- Ajouter et tester un serveur FreeIPA ou un serveur Samba ;

- Tester l'outil de gestion de l'Active Directory Active Directory Integration ;

- Tester PowerBroker Identity Service.



7) Documentation




Version 3.5