jeudi 20 août 2015
Installer les Vmware Tools sous Debian (Vmware Workstation)
# on install les paquets nécessaires
aptitude install build-essential linux-headers-$(uname -r) -y
# il faut monter le cdrom des tools via le menu VM
mount /media/cdrom
cd /media/cdrom
ll
# on decompresse le tar.gz dans le dossier /tmp
tar xzfv VMwareTools-9.9.3-2759765.tar.gz -C /tmp/
cd /tmp/
cd vmware-tools-distrib/
ll
# on lance l'installation via le script Vmware, l'option -d valide les questions par défauts
./vmware-install.pl -d
# on vérifie la présence des outils Vmware
vmware-checkvm
jeudi 26 février 2015
Tutoriel : Authentification Active Directory sous Debian Wheezy
Tutoriel : Authentification Active Directory sous Debian Wheezy
Bonjour,
Voici un petit tutoriel sur comment joindre une machine sous Linux Debian dans un domaine Active Directory.
Prérequis Hardware :
- Avoir un contrôleur de domaine AD sous Windows Server 2008 R2. IP : 192.168.20.x.x
- Un Poste de travail installé avec une Debian Wheezy sans interface graphique : maMachineLinux
- Connexion via putty.
Prérequis Sofware:
# aptitude install ntpdate vim sudo
NTPDATE : Synchronise l'heure de la machine via le protocole NTP
# ntpdate IP_DE_VOTRE_SERVEUR_AD
1. Vérification du fichier hosts [FQDN)]
# vi /etc/hosts
127.0.0.1 localhost maMachineLinux.MonDomaine MonDomaine
192.168.x.x maMachineLinux.MonDomaine maMachineLinux
2. Installation et Configuration de Kerberos
Kerberos récupère un ticket auprès du contrôleur de domaine
# aptitude install krb5-user libpam-krb5
Modification du fichier de configuration /etc/krb5.conf
Copie de l'original :
# cd /etc/
# cp krb5.conf krb5.conf.ORI
# vi krb5.conf
[logging]
Default = FILE:/var/log/krb5.log
[libdefaults]
ticket_lifetime = 24000
clock-skew = 300
default_realm = MonDomaine
[realms]
MonDomaine = {
kdc = 192.168.x.x
admin_server = 192.168.x.x
default_domain = MonDomaine
}
[domain_realm]
.MonDomaine = MonDomaine
MonDomaine = MonDomaine
***
ATTENTION ! le nom du domaine doit être en MAJUSCULE
Test de connexion vers l'AD
# kinit administrateur
Password for administrateur@MonDomaine: xxxx
On vérifie si on a bien reçu un ticket:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrateur@MonDomaine
Valid starting Expires Service principal
26/02/2015 11:17:00 26/02/2015 17:57:00 krbtgt/MonDomaine@MonDomaine
3. Intégration au domaine AD
# aptitude install samba winbind samba-common-bin
Modification du fichier /etc/samba/smb.conf
Backup de l'original :
# cp smb.conf smb.conf.ori
#
vi smb.conf
[global]
security
= ads
realm
= MonDomaine.local
workgroup
= MonDomaine
idmap
uid = 10000-20000
idmap
gid = 10000-20000
winbind
enum users = yes
winbind
enum groups = yes
template
homedir = /home/%D/%U
template
shell = /bin/bash
client
use spnego = yes
client
ntlmv2 auth = yes
encrypt
passwords = yes
winbind
use default domain = yes
restrict
anonymous = 2
domain
master = no
local
master = no
preferred
master = no
os
level = 0
winbind
nss info = rfc2307
On redémarre les services :
# /etc/init.d/winbind
stop
#
/etc/init.d/samba restart
# /etc/init.d/winbind start
Jonction au domaine :
# net ads join -U administrateur
Pour vérifie l'intégration, on peut aller voir sur le
serveur AD si l'objet portant le nom de la machine est bien présent, généralement
dans l' OU "Computer"
Test :
# wbinfo -u
-> retourne tous les utilisateurs de l'AD
# wbinfo -g -> tous les groupes de l'AD
# wbinfo -n "nom d'un objet
ad" -> donne le SID
4. Authentification
/etc/nsswitch.conf
On
ajoute « winbind » à la fin des deux lignes suivantes :
passwd: compat winbind
group: compat winbind
Test :
# getent passwd ->
listes des utilisateurs locaux et AD.
# getent group -> idem mais pour les
groupes
5. PAM -> autorise les utilisateurs de l'AD à se connecter sur le poste Linux
Dans /etc/pam.d/
Normalement la bibliothèque
pam_winbind.so doit être présente dans chaque fichier de configuration
suivant :
# vi
common-auth
auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
# vi common-account
account
[success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account
[success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
# vi common-session
session optional pam_winbind.so
session required pam_mkhomedir.so umask=0022
skel=/etc/skel <-- on ajoute cette
ligne pour le creation automatique du dossier home de chaque utilisateurs
# end of
pam-auth-update config
On essaie de se connecter via ssh en putty ou autre :
Login: bruce.lee
bruce.lee@192.168.x.x's password:
Le prompt se présente à nous :
Linux maMachineLinux 3.2.0-4-amd64 #1 SMP Debian
3.2.65-1+deb7u2 x86_64
The
programs included with the Debian GNU/Linux system are free software;
the exact
distribution terms for each program are described in the
individual
files in /usr/share/doc/*/copyright.
Debian
GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted
by applicable law.
Last login:
Thu Feb 26 10:46:50 2015 from maMachineLinux.MonDomaine
bruce.lee@maMachineLinux:~$
6. Autoriser uniquement les membres d'un groupe AD à se connecter
Pour cela il faut éditer
le fichier /etc/pam.d/common-auth et modifier la ligne suivante et ajouter le SID du
groupe concerné:
auth [success=1 default=ignore] pam_winbind.so require_membership_of=S-1-5-21-796845957-1229272821-682003330-10184
krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
Pour obtenir le SID d'un groupe AD :
# wbinfo -n "nom du groupe"
exemple ~$ wbinfo -n debian
S-1-5-21-796845957-1229272821-682003330-10184
SID_DOM_GROUP (2)
Les Logs
En cas de problèmes vous pouvez regarder les logs dans /var/log/ notamment "messages"
Liens
https://wiki.debian.org/fr/LDAP/NSS
https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto
samedi 25 janvier 2014
MDT 2012 + IE 10 BUG Windows could not parse or process the unattend answer file for pass [specialize]
MDT 2012 + IE 10 BUG
Windows could not parse or process the unattend answer file for pass [specialize]
Cette erreur apparait lorsque vous avez intégrer Internet Explorer 10 dans votre master pour Windows 7 - 2008 R2.
Pour corriger ce bug, il faut aller éditer le fichier de réponse unatend.xml dans : \\DeploymentShare\Control\"nom du déploiement" et supprimer la ligne suivant :
" <IEWelcomeMsg>false</IEWelcomeMsg> "
Ne pas oublier de mettre à jour votre déploiement pour la prise en compte de la modification.
lundi 8 avril 2013
TUTO : Déploiement de Windows 8 avec (MDT 2012 Microsoft Deployment Tool) et Windows ADK
Bonjour,
Voici un rapide tutoriel sur
comment déployé Windows 8 avec les nouveaux outils de Microsoft®. Exit WAIK et
bonjour Windows ADK, une des nouveautés de cette version est le prise en charge
de la migration des profils utilisateurs vers Windows 8 avec USMT 5. Elle intègre
aussi de nombreux outils pour la gestion des projets de déploiement. Voir le
site de Microsoft pour plus de détails :
http://www.microsoft.com/fr-fr/download/details.aspx?id=30652
http://www.microsoft.com/fr-fr/download/details.aspx?id=30652
Ce tutoriel est une première
ébauche et a pour but d’expliquer rapidement et simplement la mise en place des
outils nécessaires pour ce type de déploiement. Il s’adresse avant tout aux
personnes débutante dans ce domaine ou cherchant un moyen rapide de s’informer.
Environnement de Test :
Pour la création de ce document, j’ai utilisé une plateforme
virtuelle sous Virtual Box. Vous pouvez le télécharger il a l'avantage d'être gratuit:
Les systèmes employés sont des version d'évaluation disponible gratuitement sur le site de Microsoft :
Windows Server 2008 R2 (180 jours)
Windows 8 Entreprise :
- Domaine : blog-lab.lan
- Deux contrôleurs de domaines sous Windows Server 2008 R2@ IP : 1er CD (Active Directory, DNS): 192.168.0.200
- @ IP : 2ème CD (AD, DNS, DHCP- WDS-MDT) : 192.168.0.201
- 1 Vms pour le déploiement du poste de travail
Pour le déploiement de Windows 8 avec MDT 2012 vous avez besoin :
- Un Domain active directory avec au moins un contrôleur de domaine.
- Un serveur DHCP et DNS
- D’un espace de stockage NTFS à la hauteur du nombre des systèmes déployés.
- Ajouter et configurer le rôle Windows Déploiement Service
- Kit de déploiement et d’évaluation Windows (ADK) pour Windows® 8
- Microsoft Déploiement Tools kit 2012 :
http://www.microsoft.com/en-us/download/details.aspx?id=25175
Solution de déploiement pour les systèmes et applications. L’update 1 supporte toutes les versions de Windows ainsi que Office à partir de la version 2010.
1. Ajout du rôle Windows Déploiement Service
 |
| Clic doit sur "Rôles" |
 |
| Cliquez sur suivant et terminer. |
Une fois celui-ci installé il reste à le configuré.
 |
| Clic droit sur le serveur WDS |
 |
| Indiquez le dossier ou seront stockées les images de déploiements ainsi que les fichiers de configurations liées à WDS |
 |
|
Ici sélectionnez l’option : Répondre à tous les
ordinateurs clients (connus et inconnus). Par souci de simplicité de notre
tutoriel ne coché pas pour l’instant : Exigé l’approbation de
l’administrateur…
|
 |
|
Désélectionnez « Ajouter les images au serveur
maintenant » et cliquez sur terminer. Cette étape se fera plus tard.
|
Il reste à configurer les option DHCP du serveur WDS dans le cas ou le rôle est installé sur le même serveur physique que Windows Deployment Service.
Cochez les deux cases. Cela permet d’ajouter le port PXE et d’indiquer un port diffèrent
du service DHCP (67).
 |
| Ajout des deux options DHCP
|
2. Installation
de Windows ADK
- Le kit Windows ADK remplace WAIK, il permet le déploiement des plateformes Windows client et serveur (Seven, 8, 2008 / R2). Il intègre les fonctionnalités suivantes :
- ACT (Application Compatibility ToolKit) : Organise et identifie les problèmes de compatibilité d’application avant la migration de tous nouveaux systèmes.
- USMT version 5 : Compatible avec Windows 8 cet outil permet la migration des données utilisateurs vers le nouveau système d’exploitation de Microsoft.
- VAMT : Validation Activation Mangement Tools : Gestion des licences et de leur activation pour les plateformes Windows et Office.
- WPT : Windows Performance ToolKit : Analyse les données de performance se trouvant dans les journaux d’évènements.
Il se
télécharge à cette adresse : http://www.microsoft.com/fr-fr/download/details.aspx?id=30652
Plusieurs composant seront nécessaires à l’installation de
Windows ADK, valider et installer.
 |
|
Choix des fonctionnalités, laissez par défaut et installer.
|
3. Microsoft Déploiement ToolKit 2012
Installation :
Solution de déploiement pour les systèmes et applications. L’update 1 supporte toutes les versions de Windows ainsi que Office à partir de la version 2010.
 |
|
Suivant et terminer. |
Configuration :
Lancer la console MDT (Deployment WorkBench)
 |
|
|
 |
On indique où créer le dossier de déploiement logiquement sur un disque différent du système.
|
 |
Le nom de partage.
|
 |
|
Pour l’instant décochez toutes les cases. Suivant.
|
 |
La configuration de base est terminée, cliquez sur Finish. |
Inscription à :
Articles (Atom)