Préparation :¶

monter une infrastructure Etb1 avec :¶

- Amon 2.6.1
- Scribe 2.6.1
- sauvegarder 'net getdomainsid' sur le scribe pour initialiser le Seth
- executer enregistrement_domaine.sh sur l'amon
- pc eleve 7
- pc eleve 10
- pc eleve 10 1511
- pc eleve 10 1607

Intégrer les postes aux domaines¶

- Appliquer la procédure joineole SANS client scribe
- Nommer chaque machine 'pc'+id de la VM

Installer une infra DC¶

- démarrer aca.dc1 en daily
- récupérer le config.eol default 2.6.1
- récupérer le domaine sid du scribe pour l'injecter dans gen_config du seth1 (ou CreoleSet ad_domain_sid "<sid>" )
- instance
- démarrer aca.dc2 en daily
- récupérer le config.eol default 2.6.1
- ajouter les règles sur l'Amon pour accéder aux machines seth1/seth2

Procédure Ecologie :¶

User¶

--> création d'un compte user dans l'AD existant mais pas synchronisé par les scripts LDAP

samba-tool user create prenom.nom

--> changement du sid du compte user en lui réaffectant celui d'origine

ldbmodify -v -H /usr/local/samba/var/lib/samba/private/sam.ldb.d/DC%3DTEST-PNESR,DC%3DEOLE,DC%3DE2,DC%3DRIE,DC%3DGOUV,DC%3DFR.ldb changeSID.ldif

avec changeSID.ldif

dn: CN=prenom.nom,OU=Amande,OU=DOSE,OU=CPII,OU=Services,DC=test-pnesr,DC=eole,DC=e2,DC=rie,DC=gouv,DC=fr
changetype: modify
replace: objectSid
objectSid: S-1-5-21-3474514030-1453272919-3736605999-19000

--> injection de son mot de passe issu du LDAP

Récupération du mot de passe NT (commande à lancer sur l'eCDL)

for line in $(pdbedit -L -w |grep "\[U"|awk -F : '{print $1":"$4}'); do nom=$(echo $line|cut -d: -f1);pwd=$(echo $line|cut -d: -f2);sid=$(wbinfo --name-to-sid $nom|awk -F ' ' '{print $1}');echo $nom";"$pwd";"$sid;done |grep prenom.nom

Injection du mot de passe NT dans l'AD

pdbedit -d 0 --set-nt-hash=60A519748EC506C17052A443B7FE3840 prenom.nom

--> test de connexion

Il est possible de se connecter avec ce compte sur une machine déjà dans le domaine AD, le mot de passe est bien celui voulu.

Machine¶

--> prendre une machine intégrée dans le domaine NT Test-PNESR

--> création d'un compte machine dans l'AD existant

La machine "nomMachine" a été créée via la console MMC

--> changement du sid du compte machine en lui réaffectant celui d'origine

ldbmodify -v -H /usr/local/samba/var/lib/samba/private/sam.ldb.d/DC%3DTEST-PNESR,DC%3DEOLE,DC%3DE2,DC%3DRIE,DC%3DGOUV,DC%3DFR.ldb changeSID.ldif

avec changeSID.ldif

dn: CN=W7-XX-214,OU=Machines,OU=DOSE,OU=CPII,OU=Services,DC=test-pnesr,DC=eole,DC=e2,DC=rie,DC=gouv,DC=fr
changetype: modify
replace: objectSid
objectSid: S-1-5-21-3474514030-1453272919-3736605999-1108

--> injection de son mot de passe issu du LDAP

Récupération du mot de passe NT machine

for line in $(pdbedit -L -w |grep "\[W"|awk -F : '{print $1":"$4}'); do nom=$(echo $line|cut -d: -f1);pwd=$(echo $line|cut -d: -f2);sid=$(wbinfo --name-to-sid $nom|awk -F ' ' '{print $1}');echo $nom";"$pwd";"$sid;done | grep nomMachine

Injection du mot de passe dans AD

pdbedit -d 0 --set-nt-hash=BBBF461F5F694EECE0737E2FBCB5F331 nomMachine$

--> modification du PC en indiquant le DNS de l'AD + suffixe

Le PC était intégré dans le domaine NT, une session avait déjà été ouverte par l'utilisateur prenom.nom (on simule un PC de travail d'une personne en particulier)

Les modifications faites sur le PC sont uniquement :
- suppression du WINS
- changement du DNS = AD
- ajout des suffixes DNS

A l'ouverture de session, le PC se retrouve automatiquement dans l'AD. le profil du user est inchangé, le mot de passe est celui issu du NT !!