Forum Linux.général dual boot (windows/linux) dans domaine microsoft

Posté par . Licence CC by-sa
2
19
août
2015

Salut,

Je souhaite faire évoluer les PC de mon entreprise, qui contient 9 salles de 30 PC.

Historiquement les PC avaient le dual boot. Le windows client est intégré au domaine et le linux aest à moitié dans le domaine (authentification unique, mais pas dans le domaine).

Les images sont diffusées via le réseau avec Ghost (pour la partie windows) et avec spacewalk (pour les linux, via boot PXE).

La partie windows, je ne la gère pas. Moi c'est Linux :-)

J'ai proposé une solution basée sur centos à base de authconfig, winbind, kerberos, samba et pam_mount (pour monter les home directory du partage de fichier des utilisateurs).

Je suis arrivé à le faire fonctionner. Y a encore des réglages mais c'est pas mal.

Dans mes scripts post configuration, j'intègre la machine dans le domaine avec la commande authconfig et un "net ads join DOMAIN.FR". Un jeton kerberos est donné à la machine sous linux).

Quand je redémarre sous windows et que j'essaye de m'identifier, la machine n'est plus dans le domaine ! Je la réintègre, je redémarre sous linux et Paf! c'est le linux qui n'est plus dans le domaine.

Est-ce que quelqu'un comprend ce que je raconte ? :-)

Comment faites vous pour avoir une machine en dual/boot, avec le même enregistrement DNS, qui puisse être enregistré dans un domaine avec un Active directory ?

Quelle stratégie utiliser ?

Merci d'avance pour vos réponses…

PS: pour être un peu plus clair concernant la configuration que j'ai utilisé :

http://blog.palalinha.com/2009/04/integrate-linux-box-with-windows-ad.html
basé sur samba + krb5-workstation + pam_krb5

Je suis en train de tester avec ce tuto :
http://thornelabs.net/2014/01/30/authenticate-rhel-5-and-6-against-active-directory-on-windows-server-2008-r2-with-sssd-using-kerberos-and-ldap.html
basé sur sssd oddjob oddjob-mkhomedir

Mais l'authentification basée sur un domaine active directory reste du kerberos. J'ai bien peur que mon problème de machine qui sort du domaine soit le même…

  • # Re : dual boot (windows/linux) dans domaine microsoft

    Posté par . Évalué à 2.

    À priori, ce comportement me paraît normal, car le compte créé sur le serveur AD est réinitialisé à chaque fois que tu fais une intégration dans le domaine.

    Le hostname et le FQDN sont utilisés comme principal Kerberos pour les ordinateurs avec l'AD. (voir https://msdn.microsoft.com/en-us/library/cc246064.aspx)

    Donc si tu veux pouvoir utiliser le même nom DNS pour les deux OSes, tu dois exporter le matériel de chiffrement associé au compte d'ordinateur dans l'AD et créé lors de l'intégration de l'ordinateur dans le domaine AD depuis Windows, et l'importer dans une keytab dans l'OS GNU/Linux.

    Mais tu risques de rencontrer des problèmes même en faisant comme cela. En effet, pour des raisons de sécurité, Windows est configuré pour renouveler les passwords des ordinateurs tous les mois par défaut, et comme les clés de chiffrement sont dérivées du password, alors cela signifie qu'il te faudra réimporter le matériel de chiffrement dans GNU/Linux. (voir http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx)

    Dans l'absolu, je te déconseille d'utiliser le même FDQN pour Windows et GNU/Linux, car tu vas au devant d'effets de bord pernicieux.

    À ta place, j'utiliserais une nomenclature qui différencie les Oses, quand bien même ils s'exécutent sur la même machine. Réfléchis au fait que si les deux OSes s'exécutaient en même temps sur la machine, tu aurais naturellement utilisé des noms différents. Ce n'est pas parce que les OSes ne s'exécutent pas en même temps qu'il faut voir les choses différemment.

  • # petit probleme de nom dans l'AD

    Posté par . Évalué à 3.

    les SID des machines windows/linux ne sont pas les memes, donc remplacés au demarrage de l'un ou l'autre.

    tu peux tricher en mettant un nom de machine comme
    - P25L : pour le poste 25 sous linux,
    - P25W : quand le poste est sous windows

    ca devrait faire l'astuce.

  • # Résolu mais partiellement

    Posté par . Évalué à 1.

    Avoir un nom d'hôte différent ça me semble idéal mais un autre problème persiste.

    Les machines sont en DHCP (serveur dhcp microsoft) avec une mise à jour automatique des enregistrements DNS (serveur DNS microsoft, ça se configure ça).

    Comment faire pour avoir 2 enregistrements DNS avec une seule adresse MAC ?

    D'autant plus que j'installe les partitions linux depuis spacewalk via des kickstarts :
    - boot PXE (donc recherche du DHCP - à ce stade comment faire pour différencier la machine P25L de P25W ??)
    - recherche d'un serveur TFTP
    - chargement d'une image d'amorçage

    En admettant que via des script pré-install ou post install j'arrive à modifier le nom d'hôte de ma machine, ce serait vachement plus simple de le faire en amont … :-)

    Des idées ?
    Et Super, merci pour vos réponses !

    • [^] # Re: Résolu mais partiellement

      Posté par . Évalué à 2.

      bah le PXE il descend une image anonyme à partir du DHCP de base,

      c'est dans les scripts ensuite que tu chopes le nom de la machine à partir du DHCP utilisateur

      kickstart permet de faire plein de truc dans le post-install.
      et tu peux donc lancer un script qui ajoute le "-L" dans le hostname de ta machine,

      par contre il faut remettre à jour le DNS,
      mais ca ce fait lors de l'integration au domaine en principe,
      donc si l'hote est devenu P25-L, tu integres apres le changement de nom, et le nouveau nom est publié dans le DNS

      • [^] # Re: Résolu mais partiellement

        Posté par . Évalué à 1.

        À priori, je ne crois pas que le fait d'intégrer un poste dans un domaine AD entraîne une mise à jour de la zone DNS.

        • [^] # Re: Résolu mais partiellement

          Posté par . Évalué à 2.

          si si, c'est meme prevu pour et c'est ce qu'il se passe aussi avec les postes windows.

          • [^] # Re: Résolu mais partiellement

            Posté par . Évalué à 1.

            Tu as les sources qui expliquent quand la mise à jour de l'enregistrement DNS a lieu lors de l'intégration dans le domaine ? Ça m'intéresse.
            Je ne vois pas l'intérêt de mettre a jour l'enregistrement DNS lors de l'intégration du poste dans le domaine quand la mise à jour dynamique des zones DNS n'est pas sécurisée, puisqu'à priori l'enregistrement a déjà été effectué lors de l'attribution du bail DHCP.

            • [^] # Re: Résolu mais partiellement

              Posté par . Évalué à 3.

              les sources c'est mes tests avec des essais d'integrations squid/kerberos

              1°) sortir la machine du domaine : net ads leave -U tonadmin
              2°) change l'IP de ton poste (sans passer par le DHCP) ou ajoutes une IP sur ta carte reseau, genre une VIP partagée en vrrp
              3°) reintegre la machine au domaine : net ads join -U tonadmin
              4°) vas faire un tour sur ton DNS windows ho, miracle, la machine a bien repris la nouvelle IP (voire LES nouvelles IPs)

    • [^] # Re: Résolu mais partiellement

      Posté par . Évalué à 1.

      Les enregistrements DNS ne sont pas liés à l'adresse MAC, à moins que cela soit fait volontairement. Donc je ne vois pas le problème que tu as à ce niveau-là.

      Pour ce qui est de PXE, tu ne peux pas différencier les OSes à ce stade, puisque tu utilises le firmware de la NIC, si j'ai bien compris ton utilisation.
      Par contre si ta question est de savoir s'il est possible d'utiliser PXE pour installer Windows ou GNU/Linux à partir de la même configuration, alors oui c'est possible en utilisant le chainloading et iPXE par exemple.

      Tu devrais fournir des explications détaillées de ce que tu veux faire pour voir s'il est possible de te répondre plus précisément.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.