Intégrer un ordinateur Linux Mint MATE dans un domaine Windows



Cette documentation vous explique comment Intégrer un ordinateur Linux Mint MATE dans un domaine Windows géré par un seul serveur Windows Server 2008 Standard.



1) Configuration du serveur Windows


Le serveur Windows doit avoir pour rôles Serveur DHCP, Serveur DNS et Services de domaine Active Directory. Il doit être synchronisé avec un serveur de temps (serveur NTP) :


Notez bien l'adresse IP du serveur Windows (par exemple 192.168.0.29), son nom (par exemple 2008-STD) et le nom de domaine (par exemple 2008-standard.numopen).



2) Configuration de l'ordinateur Linux Mint MATE


Il faut paramétrer Linux Mint MATE pour qu'il utilise le DNS du serveur Windows.

Ouvrez un terminal en choisissant le menu Applications - Outils système - Terminal :


Éditez le fichier /etc/network/interfaces en tant qu'administrateur, avec l'éditeur de texte mcedit ou avec un autre éditeur de texte :



À la fin du fichier, ajoutez les lignes suivantes, en remplaçant l'adresse IP du serveur Windows et le nom de domaine par les valeurs correspondant à votre cas :

dns-nameservers 192.168.0.29
dns-search 2008-standard.numopen

Enregistrez (touche F2) puis quittez mcedit (touche F10).

Dans le terminal, écrivez les commandes suivantes pour faire prendre en compte les nouveaux paramètres :

sudo ifdown -a
sudo ifup -a

Puis testez la conversion « nom d'ordinateur » en « adresse IP » par le serveur DNS du serveur Windows :

host 2008-STD


L'ordinateur Linux Mint MATE reçoit bien en réponse l'adresse IP du serveur Windows : 192.168.0.29.

Installez les paquets adcli, krb5-user, libnss-sss, libpam-sss, ntp, realmd, samba et sssd, sssd-tools en écrivant cette commande :

sudo apt install adcli krb5-user sssd sssd-tools libnss-sss libpam-sss realmd samba ntp


Écrivez le mot de passe de l'utilisateur créé lors de l'installation de Linux Mint MATE.


Lors de l'installation, écrivez le nom de royaume Kerberos (dans cet exemple, c'est le nom de domaine Windows en majuscules) :

2008-STANDARD.NUMOPEN



Si nécessaire, vous pourrez modifier le nom de royaume Kerberos dans le fichier de configuration /etc/krb5.conf en écrivant la commande :

sudo mcedit /etc/krb5.conf


Enregistrez (touche F2) puis quittez mcedit (touche F10).


Vous pourrez aussi modifier le nom de royaume Kerberos en écrivant la commande :

sudo dpkg-reconfigure krb5-config


Choisissez <Non> pour utiliser les serveurs Kerberos définis dans le DNS de Windows :




3) Intégration de l'ordinateur Linux Mint MATE dans le domaine Windows


La commande realm simplifie l'intégration d'un ordinateur Linux dans un royaume Kerberos (le domaine Windows dans cet exemple). Elle installe les paquets manquants et paramètre les fichiers de configuration.

Pour trouver le serveur Kerberos et afficher ses caractéristiques, écrivez la commande :

realm discover 2008-standard.numopen



Pour s'identifier et s'authentifier auprès de l'annuaire Active Directory du serveur Windows, on utilise SSSD plutôt que Winbind.

Écrivez la commande suivante en remplaçant <user> par le nom de l'administrateur du domaine Windows (ou le nom d'un utilisateur créé sur le serveur Windows et ayant le droit d'ajouter un ordinateur dans le domaine Windows) :

sudo realm join -v --user=<user> --client-software=sssd 2008-STANDARD.NUMOPEN

Attention à bien écrire le nom de royaume Kerberos en majuscules.


Écrivez le mot de passe de l'administrateur du domaine Windows.
Remarque : si le mot de passe contient un caractère accentué, l'authentification échoue : https://bugs.freedesktop.org/show_bug.cgi?id=99676

Puis écrivez le mot de passe de l'utilisateur Linux Mint MATE :



L'ordinateur Linux Mint MATE apparaît maintenant dans l'annuaire Active Directory sur le serveur Windows :


Sélectionnez le menu Affichage - Fonctionnalités avancées :



Faites un clic-droit sur l'ordinateur Linux Mint MATE et sélectionnez Propriétés :



Certaines propriétés ont des valeurs récupérées sur l'ordinateur Linux Mint MATE :



Remarque : du fait de l'erreur rencontrée lors de l'intégration (https://bugs.freedesktop.org/show_bug.cgi?id=97080), la propriété servicePrincipalName n'a pas de valeur. Est-ce sans conséquence ?



4) Ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows


Vous pouvez maintenant ouvrir une session sur Linux Mint MATE avec un compte d'utilisateur Windows. Choisissez un utilisateur Windows ou créez-en un sur le serveur Windows :



Vérifiez que le nom, le numéro d'utilisateur (UID), le numéro de groupe (GID) et le dossier personnel de cet utilisateur sont bien transmis à Linux Mint MATE par l'annuaire Active Directory, en écrivant les commandes :

getent passwd Jean@2008-standard.numopen


id Jean@2008-standard.numopen


Lors de la première ouverture de session par l'utilisateur Windows, son dossier personnel n'existe pas encore. Pour qu'il soit créé automatiquement, il faut activer le module pam_mkhomedir en ajoutant dans le fichier de configuration /etc/pam.d/common-session :

session    required    pam_mkhomedir.so skel=/etc/skel/ umask=0022



Le dossier /etc/skel/ contient des fichiers de configuration qui sont dupliqués dans le dossier personnel de chaque nouvel utilisateur lorsqu'il ouvre une session pour la première fois. On peut y ajouter d'autres fichiers de configuration et modifier ceux qui existent déjà.


Le dossier personnel de l'utilisateur Windows sera créé avec le nom /home/<nom de l'utilisateur>@2008-standard.numopen. Cette syntaxe est définie dans le fichier de configuration /etc/sssd/sssd.conf :
fallback_homedir = /home/%u@%d


Ouvrez une session avec le nom de l'utilisateur Windows :

su - 2008-standard.numopenJean

ou su - 2008-standardJean

ou su - Jean@2008-standard.numopen

ou su - Jean@2008-standard

Attention : les caractères affichés dans Linux Mint MATE s'affichent parfois différemment dans Windows. Le mot de passe de l'utilisateur Windows doit alors être écrit avec des touches différentes.


En théorie, vous pouvez maintenant fermer votre session et ouvrir une nouvelle session avec le nom de l'utilisateur Windows :



Mais le gestionnaire d'affichage MDM ne fonctionne pas quand on s'identifie (touches ESC puis F1) avec le compte d'utilisateur Windows. Une solution est de remplacer le gestionnaire d'affichage MDM par le gestionnaire d'affichage LightDM.

Installez les paquets lightdm, gnome-settings-daemon, indicator-session, unity-greeter, ubuntu-mono et light-themes en écrivant cette commande :

sudo apt-get install lightdm gnome-settings-daemon indicator-session unity-greeter ubuntu-mono light-themes


Écrivez le mot de passe de l'utilisateur Linux Mint MATE.



Appuyez sur la touche O puis sur la touche Entrée.




Sélectionnez lightdm puis <Ok>.


Créez le fichier de configuration de LightDM en écrivant la commande :

sudo mcedit /etc/lightdm/lightdm.conf

Ajoutez dans ce fichier la ligne qui permet de s'identifier avec l'utilisateur de son choix et la ligne qui permet de démarrer automatiquement l'interface graphique MATE :

greeter-show-manual-login=true

user-session=mate


Enregistrez (touche F2) puis quittez mcedit (touche F10).


Redémarrez l'ordinateur Linux Mint MATE.

Avec les touches flèches, choisissez Ouvrir la session puis écrivez le nom de l'utilisateur et du domaine Windows :


Écrivez le mot de passe de l'utilisateur Windows puis appuyez sur la touche Entrée :



La session de l'utilisateur Windows s'ouvre :




6) Accès aux ressources partagées


En cours de rédaction...



7) Autres points intéressants à tester


- Vérifier les droits d'accès ;

- Tester la tenue en charge (plusieurs milliers d'authentifications en même temps) ;

- Ajouter et tester un serveur freeIPA ;

- Tester l'outil de gestion de l'Active Directory Active Directory Integration ;

- Tester PowerBroker Identity Service, une alternative à realm.



8) Bibliographie




Version 2.7

NumOpen - METZ FRANCE - Tél. : +33 7 83 99 12 08 - contact@numopen.fr - Suivez-nous sur et sur le blog.

© 2017 Vincent MERLET, David VANTYGHEM - Licence CC BY-SA