Ubuntu-fr

jjack

[ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonjour,

Comme la plupart des entreprises, étant sous Windows, il est difficile de faire accepter de déployer des postes sous Ubuntu.
La restriction des budgets aidant, nous sommes amené à déployer quelques postes Ubuntu en test sur un service.

Questions :
Quelle est la meilleure méthode pour intégrer des postes sous Ubuntu à un domaine Active Directory ?

J'ai installé SADMS qui me semblait approprié et je rencontre quelques problèmes dont je vous ferais part un peu plus tard.

Je vous remercie pour la réponse à cette première question

Dernière modification par jjack (Le 15/12/2015, à 12:14)

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

nam1962

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Cela semble être décrit dans la doc : http://doc.ubuntu-fr.org/samba-active-directory
https://help.ubuntu.com/lts/serverguide … ation.html

---

[ Modéré ]

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Merci, mais je reste sur SADMS...

Au précheck, j'ai les erreurs suivantes:

[FAIL]/lib/libnss_winbind.so.O missing
objdump:'/lib/libnss_winbind.so.O: No such file
/lib/security/pam_winbind.so FAIL (does not exist)
[FAIL] samba check failed

le paquet sadms c'est pourtant installé sans erreurs.
Il y at'il des prérequis que je n'aurais pas vu ?
Merci de votre réponse

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonjour

la meilleure solution pour intégrer les ubuntu dans AD c'est openpbis.

Je l'utilise depuis plus de 6 mois et aucun plantage tout est nickel et en deux scripts et 2 minutes c'est torché et aussi simple que de faire entrer des clients windows dans le domaine AD.

J'en ai fait un pour forcer ubuntu a utiliser le dns du serveur AD pour commencer, et le deuxième pour l'entrée dans le domaine avec openpbis.

voila le tuto a suivre à la lettre pour que cela soit nickel: https://community.spiceworks.com/how_to … -pbis-open

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonjour,

Merci HPIR40, je vais lire ce document et si je ne trouve pas pour SADMS j'essaierais cette solution, mais je suis en Ubuntu 12.04 LTS

Dernière modification par jjack (Le 09/11/2015, à 11:35)

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Rien que pour des questions de securité, fait des reinstalle avec la 14.04LTS et profites en pour les faire rejoindre AD avec openpbis

Pas la peine d'essayer de te prendre la tête avec une version de ubuntu qui est maintenant obsolete, d'autant plus que la 16.04LTS va sortir en avril de l'année prochaine.

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

oK.
Merci encore de ton aide et pour ces infos complémentaires

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonsoir HPIR40

j'ai installé la version 14.04LTS en dual boot sur mon poste. J'ai installé également Pbis-Open, mais malheureusement cette version semble ne pas être compatible avec un Processeur Intel 32Bits.

Ou puis je trouver une version compatible ?
Merci de ta réponse

je pense avoir trouvé:
http://download1.beyondtrust.com/Techni … ?Pass=True

Dernière modification par jjack (Le 25/11/2015, à 17:33)

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

ben oui tu a trouvé car il existe une version pour 64bits et une autre pour 32bits

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonjour

Installation débuté avec succès jusqu'a l'étape 4, j'aurais ensuite quelques questions.

Question sur l'étape 5

/opt/pbis/bin/config UserDomainPrefix $domain
/opt/pbis/bin/config AssumeDefaultDomain true
/opt/pbis/bin/config LoginShellTemplate /bin/bash
/opt/pbis/bin/config HomeDirTemplate %H%U
/opt/pbis/bin/config RequireMembershipOf « $domain\\$securitygroup »

Je suppose que les variables $domain et $securitygroupe doivent elles être renseignées, mais a quoi correspond $securitygroupe ?

Question sur l'étape 6

La ligne session sufficient pam_lsass.so n'existe pas dois je ajouter session    [success=ok default=ignore]    pam_lsass.so à la fin du fichier ?
#

# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.
# here are the per-package modules (the "Primary" block)
session	[default=1]			pam_permit.so
# here's the fallback if no module succeeds
session	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session	required			pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional			pam_umask.so
# and here are more per-package modules (the "Additional" block)
session	required	pam_unix.so 
session optional	pam_lsass.so 
session	optional	pam_systemd.so 
session	optional	pam_ecryptfs.so unwrap
# end of pam-auth-update config

Dernière modification par jjack (Le 26/11/2015, à 15:25)

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

alors

etape 6

si ta ligne existe mais sous cette forme: session optional    pam_lsass.so
donc tu al remplace par: session    [success=ok default=ignore]    pam_lsass.so

etape 5

/opt/pbis/bin/config UserDomainPrefix $domain : oui il faut renseigner

/opt/pbis/bin/config HomeDirTemplate %H%U attention la bonne commande c'est sudo /opt/pbis/bin/config HomeDirTemplate %H/%U
la c'est l'endroit ou va etre situé les home des users, donc par cette commande tu peux aussi délocaliser les home ailleurs. Le %U est optionnel
en effet avec openpbis tu peux differencier les users de ton domaine qui seront donc dans /home/domaine/user des users avec uniquement un compte local qui seront donc dans /home/local/user
si tu ne veux pas differencier les comptes et mettre tout sous /home/user la commande c'est: sudo /opt/pbis/bin/config HomeDirTemplate %H

pour $securitygroupe ça peut être administrateur si tu as un groupe nommé administrateur renseigné comme tel dans ton AD.

chez moi la commande c'est: /opt/pbis/bin/config RequireMembershipOf "mondomaine\\admin_domaine"

Dernière modification par HPIR40 (Le 26/11/2015, à 19:35)

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Merci encore pour tes réponses et tes éclaircissements HPIR40
j'ai fait ça de suite et terminé les étapes.

A partir de maintenant je devrais pouvoir me connecter avec un user du domain AD
Une autre question ?  La syntaxe exacte pour se connecter depuis Ubuntu avec un user du domain AD est bien nom_domaine\User

> id y9010
id=xxxxxgid=xxxxx

> su y9010
Mot de passe:
Access denied:
su : Echec d'authentification

> su mon_domaine\\y9010
Mot de passe:
Access denied:
su : Echec d'authentification
>

j'ai fait quelques tests car la connexion ne fonctionne pas( Access denied ) depuis l'invite Ubuntu, pourtant j'accède a AD puisque la commande id me remonte les Infos d'un user AD. La commande su sur un user AD semble également fonctionner.
Apparemment l'authentification ne fonctionne pas. Si j'ai bien compris ce serait du coté des modules de Pam ??

Merci de ta réponse

Dernière modification par jjack (Le 27/11/2015, à 15:55)

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

normalement la commande c'est "ssh y9010@nomde la machine" pour ce connecter en tant que y9010 sur la machine depuis un autre pc

sinon oui si tu es connecté en tant que root par exemple, la commande pour changer de user c'est "su y9010"

Bon je ne suis pas au bureau, j'essaye de penser à reprendre mon script lundi et te le copier ici (je ne l'ai plus exactement en tête à la ligne prés vu que maintenant que cela fonctionne je le lance te basta)

Dernière modification par HPIR40 (Le 27/11/2015, à 16:48)

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

OK je te remercie

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonjour

Donc voila mes scripts, attention il faut être en root et non en sudoer

Toutes les lignes commençant par ### sont des commentaires supp que j'ai ajoutés pour que tu comprenne les modifications à faire donc tu pourra ensuite les effacer du script que tu utilisera en final. :

1/ script de préparation

# On désinstalle proprement avahi
/etc/init.d/avahi-daemon stop
update-rc.d -f avahi-daemon remove
apt-get remove -y avahi-daemon avahi-autoipd
rm -R /etc/avahi/

#On installe pam
apt-get update && apt-get install libpam-mount

#Modifications du fichier /etc/network/interfaces
###Remplacer toto.lan par le nom complet de ton domaine
echo "dns-search toto.lan" >> /etc/network/interfaces
###Remplacer xxx.xxx.xxx.xxx par l'ip de ton serveur AD et eventuellement des autres serveurs ad membre de la foret
echo "##the IP address of your domain controller" >> /etc/network/interfaces
echo "dns-nameservers xxx.xxx.xxx.xxx" >> /etc/network/interfaces
echo "dns-nameservers xxx.xxx.xxx.xxx" >> /etc/network/interfaces

# on désinstalle proprement avahi
/etc/init.d/avahi-daemon stop
update-rc.d -f avahi-daemon remove
apt-get remove -y avahi-daemon avahi-autoipd
rm -R /etc/avahi/

#On redemarre le PC
echo "Le PC va redémarrer"
reboot

2/ on fait entrer le PC dans le domaine avec Openpbis

#Download and install Power Broker Identity Services Open (PBIS Open)

#As newer versions come out you will need to go to "http://download1.beyondtrust.com/Technical-#Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True" and change the script #accordingly.

#dl='http://download.beyondtrust.com/PBISO/8.2.1/linux.deb.x64/pbis-open-8.3.0.3287.linux.x86_64.deb.sh'
### Dans cet exemple j'utilise pbis-open-8.3.0.3287.linux.x86_64.deb.sh que j'ai téléchargé au préalable et mis dans le même répertoire que mes scripts. Si il y a une mise à jour, je n'ai donc que la ligne ci dessous à modifier.
pbis=pbis-open-8.3.0.3287.linux.x86_64.deb.sh

#cd ~
#wget $dl
chmod a+x $pbis
./$pbis

#Use PBIS Open to join the PC to the Windows Domain.
#/opt/pbis/bin/domainjoin-cli join domainName ADjoinAccount

###Changer ci dessous toto.lan par le nom de ton domaine sous le même format, attention pas d'espace avant et aprés =
domainname=toto.lan
###Changer ci dessous superadmin par le login d'un administrateur AD sans ajouter le nom de domaine avant, attention pas d'espace avant et aprés =
domainadmin=superadmin

domainjoin-cli join --disable ssh $domainname $domainadmin 
#Enter password for authentication and wait for the "SUCCESS" prompt.

#Configure Domain Account defaults using PBIS.
###Remplacer toto par le nom de domaine sans le suffixe .lan, .local ou autre, le nom suffit.
/opt/pbis/bin/config UserDomainPrefix toto
/opt/pbis/bin/config AssumeDefaultDomain 'true'
/opt/pbis/bin/config LoginShellTemplate /bin/bash
/opt/pbis/bin/config HomeDirTemplate %H/%U
/opt/pbis/bin/update-dns
/opt/pbis/bin/ad-cache --delete-all

#Edit the /etc/pam.d/common-session file 
#Use sed to find the string "sufficient" and replace it with "[success=ok default=ignore]"

cp /etc/pam.d/common-session /etc/pam.d/common-session.ori
sed -i 's/optional/[success=ok default=ignore]/' /etc/pam.d/common-session

#Append the following configuration changes to the lightdm config file.
### Ici j'enleve la possibilité de se connecter en tant que invité sur les PC et prepare lightdm pour AD (il suffira donc d'entrer uniquement son login et nom pas domaine/login puis le mdp)

sh -c 'printf "[SeatDefaults]\nallow-guest=false\n" >/usr/share/lightdm/lightdm.conf.d/50-no-guest.conf'

sh -c 'printf "[SeatDefaults]\nuser-session=ubuntu\ngreeter-session=unity-greeter\ngreeter-show-manual-login=true\n" >/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf'

# /etc/sudoers modifications
chmod 777 /etc/sudoers
echo " " >> /etc/sudoers
### j'ajoute donc les admins du domaine comme sudo sur le PC (changer toto par le nom du domaine)
echo "# toto admin" >> /etc/sudoers
### Changer admin_toto par le nom du groupe admin du domaine
echo "%admin_toto ALL=(ALL:ALL) ALL" >> /etc/sudoers
chmod 440 /etc/sudoers

#Restart system to complete the process.
echo "Le PC va redémarrer"
reboot

et voila, bon ensuite j'ai d'autres scripts pour le montage des disques réseaux, mais a ce niveau la c'est bon tu peux te connecter sur le PC avec un compte user AD.

Dernière modification par HPIR40 (Le 30/11/2015, à 10:10)

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Bonjour,

Merci je regarde cela cet après midi. Déja je vois dans le script de préparation qu'il faut faire l'install de libpam-mount. Je l'avais installé sur le poste ou j'avais utilisé SADMS mais pas avec Openbis

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

ce qui est bien avec libpam-mount c'est qu'il peu aussi gérer le montage automatique de disque réseaux (d'un nas par exemple) à l'ouverture de session.

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Je vois que ce que tu fais dans le fichier /etc/pam.d/common-session est un peu différent de la documentation

Tu changes optional  par [success=ok default=ignore] pour toutes les lignes contenant optional ?

je connais pas trop la commande sed préférant le awk

Dernière modification par jjack (Le 01/12/2015, à 16:17)

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

oui je me suis rendu compte après plusieurs tests que cela n'avait aucune influence sur le comportement du PC en mettant [success=ok default=ignore] sur toutes les lignes, d'autant plus que, je touche du bois, ce qui doit être ok est toujours ok et jusqu'à présent je n'ai pas eu de comportement bizarre

Si tu veux affiner en ne mettant que la ligne concernée en [success=ok default=ignore] pas de problème

Dernière modification par HPIR40 (Le 01/12/2015, à 16:57)

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

bonsoir HPIR40

Et bien voila, j'arrive a me connecter avec un user de l'AD depuis l'invite d'Ubuntu.
Je suis tout de même surpris de ne pas voir de pam_ldap.so dans le fichier de common-session de PAM.
Pour info le su d'un user AD fonctionne et te permet de voir si l'authenfication fonctionne, vu que le password est demandé. On peut voir également la création du Répertoire du user.

Toutefois je suis preneur de ton script pour les mount
Grand merci à toi

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Ben voilà c'était simple

Oui l'authentification fonctionne en graphique et en ssh.

pour le palm_ldap.so il est dit: An nsswitch module which uses directory servers.

Si tu vois que ça bug quelque part, il te suffira d'ajouter cette valeur dans ton fichier common-session et voir ce que cela donne. Je n'ai jamais trouvé d'explications claires sur cette valeur.

pas de soucis je te donnerai le script pour le montage réseau avec pam_mount

par contre pour ma part je fait un mount d'un repertoire d'un nas synology donc montage en CIFS (j'ai des users linux et windows), donc ce sera sans doute à adapter.

Dernière modification par HPIR40 (Le 02/12/2015, à 19:19)

HPIR40

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

voila le fichier pam_mount.conf.xml pour le montage des disques réseaux à l'ouverture de session.

Perso je ne me prend pas le tête, je le colle en lieu et place du fichier existant au moment de l'installation de Ubuntu.

Il te faut donc surtout configurer la partie entre les balises <volume>, il y a des tuto sur le net.

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!-- See pam_mount.conf(5) for a description. This should go in /etc/security/ -->
<pam_mount>
<debug enable="0" />

<!-- Volume definitions -->

<volume
    fstype="cifs"
    server="xxx.xxx.xxx.xxx"
    path="repertoire_concerné_par_le montage_sur_le_serveur_de _fichiers"
    mountpoint="/home/%(USER)/Repertoire_de_montage_du_disque_reseau"
    user="*" 
    options="nodev,nosuid,dir_mode=0700"
    />

<!-- pam_mount parameters: General tunables -->

<!--<luserconf name=".pam_mount.conf.xml" />-->

<!-- Note that commenting out mntoptions will give you the defaults.
You will need to explicitly initialize it with the empty string
to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,nonempty,allow_other,sec,dir_mode,file_mode" />
<mntoptions require="nosuid,nodev,dir_mode" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<logout wait="0" hup="0" term="0" kill="0" />
<!-- pam_mount parameters: Volume-related -->
<mkmountpoint enable="1" remove="true" />
</pam_mount>

L'avantage de ce systeme c'est que le répertoire de partage des fichiers se crée automatiquement a la première ouverture de session et ensuite se vide ou se rempli suivant les régles d'accés des repertoires réseaux que tu a mis en place et des personnes connectées.
Ce n'est pas un montage permanent contrairement à ce qu'il se passerait si tu passais par le fstab ou un mount.

Modération : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 07/12/2015, à 16:30)

jjack

Re : [ Résolu ] Intégration de postes Ubuntu en entreprise (AD)

Merci HPIR40

---

Kubuntu  22.04 Lts Maj depuis 20.04 sur VPC11X9
Ubuntu Studio 22.04 Lts Maj depuis 20.04 (J'aurais mieux fait de le garder..) installé sur Sony VPC11X9E  en Dual Boot