T.P. n 4 Intégration Active Directory / NIS-NFS Etudiant Client Linux en dual-boot Composants UNIX Win2008 Groupe Nous allons dans ce TP tout d abord installer sur l espace libre du disque dur de la machine virtuelle «technique1» une distribution Linux Fedora 14 en dual boot avec l installation précédente de Windows 7. Nous ferons ensuite en sorte de pouvoir nos connecter sur cette machine «technique1 - fedora» avec les 2 comptes du domaine AD «technicien» et «stagiaire», l objectif étant de pouvoirs s authentifier et récupérer les informations de ces comptes depuis la machine serveur contrôleur de domaine AD, et d utiliser leurs dossiers de base distants comme «home directory» Linux. 1 Dual boot Windows 7 / Linux Fedora 14 Création d un «instantané» (point de restauration) de l état actuel des machines serveur et technique1 Nous allons créer des «instantanés» de nos machines virtuelles qui permettront de «revenir en arrière» en cas d erreur d installation et créez de même des instantanés pour les machines serveur et technique1 Pensez par la suite à faire d autres points de restauration entre les différentes étapes importantes de la configuration à venir. Installation du client Linux Fedora debut et reproduisez dans votre machine virtuelle les différentes étapes de l installation en essayant de bien les comprendre. Soyez en particulier attentif aux étapes de partitionnement du disque dur et de configuration du chargeur de démarrage. A quoi correspond la partition /dev/sda3? Installation du client Linux Fedora fin Démarrez votre machine serveur, enlevez le CD-ROM virtuel de la machine technique1 et redémarrez la en suivant la vidéo pour effectuer les dernières étapes de l installation de Linux Fedora 14. L installation oblige à créer un simple utilisateur, mais on se connectera avec le compte root pour configurer la machine. Vérifiez comme sur la vidéo que vous avez bien reçu les paramètres réseau de votre serveur DHCP (machine serveur) Capture d écran La modification du fichier /boot/grub/menu.lst permet de paramétrer les options de chargeur de démarrage grub Pourquoi enlève-t-on l option hiddenmenu du fichier? Quel en est l effet? Eteignez la VM technique1 et créez-y un nouvel instantané 1
2 Configuration des composants UNIX sous Windows 2008 R2 Windows Server 2008R2 dispose des composants qui facilitent la collaboration avec le monde UNIX : - Les «Services pour NFS» permettent à la machine Windows 2008 d être client, mais surtout serveur NFS, ce qui lui permet de partager des dossiers qui pourront être accessibles aux machines UNIX par le protocole NFS - La «Gestion des identités pour UNIX» permet de définir pour des comptes utilisateurs de domaine Active Directory des attributs UNIX (NIS, UID, GID, Shell de démarrage, Home directory, domaine NIS) permettant leur utilisation en environnement UNIX De plus, on peut faire correspondre un domaine NIS au domaine Active Directory (avec correspondance des comptes utilisateurs) et le contrôleur de domaine AD se comporte alors en serveur NIS maitre pour les machines UNIX sur le domaine NIS associé. - Le «Sous-système pour Applications Unix» (SUA) fournit à Windows 2008 R2 un sous- environnement Unix intégré, avec en particulier une console Shell (Korn-Shell ou C-Shell) permettant d exécuter des commandes et des scripts Unix. On peut ainsi manipuler les attributs Unix (propriétaire, groupe, droits,...) des dossiers et fichiers des partitions Windows NTFS, mais également compiler certaines applications Unix/X11 pour les exécuter nativement sous Windows. Nous allons configurer et utiliser ces composants pour «intégrer» nos machines Linux au domaine AD agence-i.c309.local Installation des différents composants nécessaires et installez de même le «sous-système pour les applications Unix» installation de la Fonctionnalité installation des outils «Sous-système pour les applications Unix» du CD-ROM «SUA pour Win2008R2» En vous aidant de la vidéo (entre 8' et 11'), installez les services de rôles suivants : «Services pour NFS» (client et serveur NFS) «Gestion des Identités pour Unix» (serveur NIS) de l installation de l installation Configuration du serveur NIS pour Windows 2008 et reproduisez les étapes dans votre machine virtuelle. Quel est le nom du domaine NIS maintenu par le serveur? A quel domaine Active Directory est-il associé? Quels est le nom du groupe principal dans le domaine NIS Unix des utilisateurs de ce domaine NIS/AD? Quel est le GID dans le domaine NIS correspondant à ce groupe principal? 2
Quels sont les attributs Unix (UID, GID, shell de démarrage, home directory) dans le domaine NIS des utilisateurs du domaine Active Directory technicien et stagiaire? Quels sont les attributs Unix dans le domaine NIS des utilisateurs du domaine Active Directory Administrateur? A quel compte local Unix déjà existant sera-t-il mappé? Configuration du serveur NFS pour Windows 2008 et reproduisez les étapes dans votre machine virtuelle. Quels sont les dossiers Windows exportés par le serveur NFS? Quelles machines peuvent y accéder, et avec quels droits? Quels utilisateurs Unix pourront-ils y accéder et pourquoi? L utilisateur Unix root le pourra-t-il aussi et pourquoi? 3 Connexion du client Fedora aux comptes Active Directory par NIS/NFS Configuration client NIS de la machine Fedora Démarrez la machine technique1 sur la partition «Fedora 14» et ouvrez-y une session root. Nous allons configurer la machine Fedora en tant que client du domaine NIS associé au domaine Active Directory en utilisant les outils intégré de Linux Fedora pour gagner du temps (vous pouvez aussi le faire «à la main» comme au TP n 1). Cliquez sur «Système / Administration / Authentification» et dans le 1 er onglet «Identité et Authentification» choisissez NIS comme Base de données des comptes utilisateurs. Quels sont les paramètres Domaine et Serveur NIS à entrer? Choisissez le Mot de passe NIS comme méthode d authentification Dans l onglet «Options avancées» cochez la case suivante Cliquez enfin sur le bouton : après quelques secondes correspondant à la vérification et à la configuration des options, la fenêtre se ferme : le service client NIS ypbind est démarré Vérifiez que la configuration NIS s est bien effectuée en examinant les fichiers /etc/sysconfig/network et /etc/yp.conf Quelles modifications/ajouts ont été apportés à ces fichiers? 3
Cliquez sur le menu «Système / Administration / Services» et vérifiez que le service ypbind (client NIS) est bien activé (lancé au démarrage de l ordinateur dans différents niveaux d exécution) et en cours d exécution Vérifiez dans un terminal avec la commande ypcat que vous voyez bien les maps NIS group et passwd. Editez le fichier /etc/nsswitch.conf et examinez l ordre de résolution des noms d utilisateurs, mots de passe et groupes Ordre de résolution Modifier une ligne pour résoudre les noms de machines par DNS en premier. Ligne modifiée Montage NFS des dossiers de base Vous allez configurer la machine Fedora en tant que client du domaine NIS associé au domaine Active Directory en utilisant les outils intégrés de Linux Fedora. Nous allons commencer par supprimer sur le serveur les dossiers de base des utilisateurs «technicien» et «stagiaire» car ils vont être recréés avec les bons droits et le bon contenu. Ouvrez le dossier «E:\bases» sur la machine virtuelle serveur Supprimer les deux sous-dossiers «technicien» et «stagiaire» Vous allez maintenant monter «E:\bases» en /nishome sur la machine Fedora technique1 Afficher depuis la machine cliente Fedora technique1 la liste d exportation NFS de la machine serveur Windows 2008. Commande et résultat Créez un dossier vide /nishome et ajoutez une ligne au fichier /etc/fstab pour monter le dossier exporté correspondant à «E:\bases» en /nishome Ligne ajoutée 4
Test de la connexion avec les comptes du domaine AD/NIS technicien et stagiaire Redémarrer la machine technique1 sous Fedora et essayez de vous connecter avec le compte NIS technicien message d erreur message d erreur Fermez le session incorrecte technicien sur la machine technique1 et repassez sous la machine serveur Cliquez sur «Démarrer / Tous les programmes / Sous-système pour les applications UNIX» et ouvrez une console Korn Shell Placez-vous dans le dossier /dev/fs/e correspondant au lecteur E:\ Afficher par une commande ls les droits Unix du dossier bases Expliquez pourquoi root a le droit d y créer des fichiers et dossiers et pas les utilisateurs technicien et stagiaire. En déduire l origine des erreurs de connexion précédentes Donnez par une commande chmod récursive tous les droits sur le dossier bases et ses sous-dossiers à tous les membres du groupe et aux autres utilisateurs Vérifiez que vous pouvez maintenant vous connecter sans erreurs avec le compte NIS technicien Affichez avec l explorateur sur la machine serveur le contenu du dossier «E:\bases\technicien» Redémarrer la machine technique1 sous Windows 7, connectez-vous sur le domaine agence-i sous le compte technicien et vérifiez que vous pouvez accéder à son dossier de base Z: et que celui-ci contient les fichiers Linux. 5
4 Authentification du client Fedora par le protocole Kerberos Le système d identification/authentification natif d Unix (fichiers /etc/passwd et /etc/shadow) étant limité et peu sécurisé, SUN Microsystems a introduit le mécanisme générique des Pluggable Authentication Modules (en abrégé PAM) qui permet de configurer et utiliser différentes méthodes d identification ou d authentification, à la fois pour la procédure de login, mais aussi pour d autres usages (accès ssh, accès aux ressources partagées, commandes su et sudo, etc). Lisez les documents PDF sur PAM : Pluggable Authentication Modules - Wikipedia PAM - Pluggable Authentication Modules Le protocole client/serveur utilisé par Active Directory pour authentifier les utilisateurs est Kerberos. Celui-ci étant plus sécurisé que l authentification locale d Unix qui nécessite la transmission par le réseau des mots de passe des comptes NIS, nous allons remplacer les authentifications des comptes NIS sous Linux par le protocole Kerberos auprès du serveur. Lisez les documents PDF sur Kerberos Kerberos - Wikipedia Kerberos - le chien de garde à trois têtes Pourquoi cette authentification est-elle bien sécurisée? En quoi consiste le système de «tickets»? Configuration de l authentification Kerberos Pour que l authentification Kerberos fonctionne, il est indispensable que les horloges du client et du serveur soient synchronisées. Le plus simple pour cela est d utiliser le serveur Windows 2008 comme serveur NTP de temps pour le client Fedora. Redémarrer la machine technique1 sous Fedora et connectez vous en root Cliquez sur le menu «Système / Administration / Date & heure» puis Supprimez les adresses présentes dans «Serveurs NTP» et rentrez celle de votre machine virtuelle Windows 2008, appuyez sur la touche Entrée, puis après la vérification de la connexion au serveur, cliquez sur «Valider» Redémarrer la machine cliente Fedora et vérifiez ensuite la synchronisation de l horloge avec la machine serveur Windows 2008 Cliquez sur le menu «Système / Administration / Authentification» et choisissez comme méthode d authentification Entrez les valeurs ci-contre dans la fenêtre de dialogue Cliquez sur et patientez quelques secondes Vérifiez la configuration du domaine et des serveurs Kerberos dans le fichier /etc/krb5.conf (vous pouvez supprimer toutes les lignes relatives au domaine Exemple.com) 6
Editez le fichier /etc/pam.d/system-auth examinez le. Quelles sont les lignes qui concernent l authentification (compte et mot de passe) et l ouverture de session par Kerberos? Essayez d en donner la signification. Le dossier monté /nishome doit contenir les sous-dossiers des «home directories» des utilisateurs du domaine NIS. Ces dossiers ne doivent pas être vides mais contenir les fichiers de configuration des comptes. Complétez dans le fichier /etc/pam.d/system-auth la ligne concernant le module «session» pam_mkhomedir.so session required pam_mkhomedir.so skel=/etc/skel umask=0022 Quelle est à votre avis la signification et l effet à l ouverture de session de cette ligne? Test de la connexion avec les comptes du domaine technicien et stagiaire Fermez la session Fedora root et vérifiez que vous pouvez vous connecter avec les comptes technicien puis stagiaire. Vérifiez sur le serveur Windows 2008 sous «E:\bases» la création du «home directory» de l'utilisateur stagiaire. L intégration du client Fedora au domaine Active Directory réalisé au cours de ce TP est basée sur les composants Unix de Windows 2008 et sur le «mappage» du domaine Active Directory à un domaine NIS, ainsi que des partages Windows à des partages NFS. La configuration se fait alors essentiellement sur le serveur Windows 2008 pour rendre Active Directory compatibles avec les protocoles NIS et NFS propres à Unix : le serveur Windows 2008 «communique» avec le client Fedora dans le «langage Unix» Il est possible d utiliser une autre méthode d intégration basée sur la philosophie inverse : on fait le communiquer client Fedora avec le serveur Windows 2008 en utilisant les protocoles natifs d Active Directory, en particulier le service d'annuaire LDAP. D autre part, la machine «Fedora» n a pas été jointe au domaine Active Directory et n est donc connue sur le contrôleur de domaine, ce qui limite les possibilités de configuration d AD (par expl la restriction des comptes à certaines machines). Il est possible de joindre une machine Unix à un domaine AD en utilisant le protocole SAMBA qui est conçu pour faire communiquer les machines Unix avec Windows et en particulier son composant «Winbind», ce qui signifie en français «connexion à Windows». 7