Tâche #18446
Mis à jour par Gilles Grandgérard il y a plus de 7 ans
h1. Préparation :
h2. monter une infrastructure Etb1 avec :
- Amon 2.6.1
- Scribe 2.6.1
- sauvegarder 'net getdomainsid' sur le scribe pour initialiser le Seth
- executer enregistrement_domaine.sh sur l'amon
- pc eleve 7
- pc eleve 10
- pc eleve 10 1511
- pc eleve 10 1607
h2. Intégrer les postes aux domaines
- Appliquer la procédure joineole +SANS client scribe+
- Nommer chaque machine 'pc'+id de la VM
h2. Installer une infra DC
- démarrer aca.dc1 en daily
- récupérer le config.eol default 2.6.1
- récupérer le domaine sid du scribe pour l'injecter dans gen_config du seth1 (ou CreoleSet ad_domain_sid "<sid>" )
- instance
- démarrer aca.dc2 en daily
- récupérer le config.eol default 2.6.1
- ajouter les règles sur l'Amon pour accéder aux machines seth1/seth2
h1. Procédure Ecologie :
h2. User
--> création d'un compte user dans l'AD existant mais pas synchronisé par les scripts LDAP
samba-tool user create prenom.nom
--> changement du sid du compte user en lui réaffectant celui d'origine
ldbmodify -v -H /usr/local/samba/var/lib/samba/private/sam.ldb.d/DC%3DTEST-PNESR,DC%3DEOLE,DC%3DE2,DC%3DRIE,DC%3DGOUV,DC%3DFR.ldb changeSID.ldif
avec changeSID.ldif
dn: CN=prenom.nom,OU=Amande,OU=DOSE,OU=CPII,OU=Services,DC=test-pnesr,DC=eole,DC=e2,DC=rie,DC=gouv,DC=fr
changetype: modify
replace: objectSid
objectSid: S-1-5-21-3474514030-1453272919-3736605999-19000
--> injection de son mot de passe issu du LDAP
Récupération du mot de passe NT (commande à lancer sur l'eCDL)
for line in $(pdbedit -L -w |grep "\[U"|awk -F : '{print $1":"$4}'); do nom=$(echo $line|cut -d: -f1);pwd=$(echo $line|cut -d: -f2);sid=$(wbinfo --name-to-sid $nom|awk -F ' ' '{print $1}');echo $nom";"$pwd";"$sid;done |grep prenom.nom
Injection du mot de passe NT dans l'AD
pdbedit -d 0 --set-nt-hash=60A519748EC506C17052A443B7FE3840 prenom.nom
--> test de connexion
Il est possible de se connecter avec ce compte sur une machine déjà dans le domaine AD, le mot de passe est bien celui voulu.
h2. Machine
--> prendre une machine intégrée dans le domaine NT Test-PNESR
--> création d'un compte machine dans l'AD existant
La machine "nomMachine" a été créée via la console MMC
--> changement du sid du compte machine en lui réaffectant celui d'origine
ldbmodify -v -H /usr/local/samba/var/lib/samba/private/sam.ldb.d/DC%3DTEST-PNESR,DC%3DEOLE,DC%3DE2,DC%3DRIE,DC%3DGOUV,DC%3DFR.ldb changeSID.ldif
avec changeSID.ldif
dn: CN=W7-XX-214,OU=Machines,OU=DOSE,OU=CPII,OU=Services,DC=test-pnesr,DC=eole,DC=e2,DC=rie,DC=gouv,DC=fr
changetype: modify
replace: objectSid
objectSid: S-1-5-21-3474514030-1453272919-3736605999-1108
--> injection de son mot de passe issu du LDAP
Récupération du mot de passe NT machine
for line in $(pdbedit -L -w |grep "\[W"|awk -F : '{print $1":"$4}'); do nom=$(echo $line|cut -d: -f1);pwd=$(echo $line|cut -d: -f2);sid=$(wbinfo --name-to-sid $nom|awk -F ' ' '{print $1}');echo $nom";"$pwd";"$sid;done | grep nomMachine
Injection du mot de passe dans AD
pdbedit -d 0 --set-nt-hash=BBBF461F5F694EECE0737E2FBCB5F331 nomMachine$
--> modification du PC en indiquant le DNS de l'AD + suffixe
Le PC était intégré dans le domaine NT, une session avait déjà été ouverte par l'utilisateur prenom.nom (on simule un PC de travail d'une personne en particulier)
Les modifications faites sur le PC sont uniquement :
- suppression du WINS
- changement du DNS = AD
- ajout des suffixes DNS
A l'ouverture de session, le PC se retrouve automatiquement dans l'AD. le profil du user est inchangé, le mot de passe est celui issu du NT !!
h2. monter une infrastructure Etb1 avec :
- Amon 2.6.1
- Scribe 2.6.1
- sauvegarder 'net getdomainsid' sur le scribe pour initialiser le Seth
- executer enregistrement_domaine.sh sur l'amon
- pc eleve 7
- pc eleve 10
- pc eleve 10 1511
- pc eleve 10 1607
h2. Intégrer les postes aux domaines
- Appliquer la procédure joineole +SANS client scribe+
- Nommer chaque machine 'pc'+id de la VM
h2. Installer une infra DC
- démarrer aca.dc1 en daily
- récupérer le config.eol default 2.6.1
- récupérer le domaine sid du scribe pour l'injecter dans gen_config du seth1 (ou CreoleSet ad_domain_sid "<sid>" )
- instance
- démarrer aca.dc2 en daily
- récupérer le config.eol default 2.6.1
- ajouter les règles sur l'Amon pour accéder aux machines seth1/seth2
h1. Procédure Ecologie :
h2. User
--> création d'un compte user dans l'AD existant mais pas synchronisé par les scripts LDAP
samba-tool user create prenom.nom
--> changement du sid du compte user en lui réaffectant celui d'origine
ldbmodify -v -H /usr/local/samba/var/lib/samba/private/sam.ldb.d/DC%3DTEST-PNESR,DC%3DEOLE,DC%3DE2,DC%3DRIE,DC%3DGOUV,DC%3DFR.ldb changeSID.ldif
avec changeSID.ldif
dn: CN=prenom.nom,OU=Amande,OU=DOSE,OU=CPII,OU=Services,DC=test-pnesr,DC=eole,DC=e2,DC=rie,DC=gouv,DC=fr
changetype: modify
replace: objectSid
objectSid: S-1-5-21-3474514030-1453272919-3736605999-19000
--> injection de son mot de passe issu du LDAP
Récupération du mot de passe NT (commande à lancer sur l'eCDL)
for line in $(pdbedit -L -w |grep "\[U"|awk -F : '{print $1":"$4}'); do nom=$(echo $line|cut -d: -f1);pwd=$(echo $line|cut -d: -f2);sid=$(wbinfo --name-to-sid $nom|awk -F ' ' '{print $1}');echo $nom";"$pwd";"$sid;done |grep prenom.nom
Injection du mot de passe NT dans l'AD
pdbedit -d 0 --set-nt-hash=60A519748EC506C17052A443B7FE3840 prenom.nom
--> test de connexion
Il est possible de se connecter avec ce compte sur une machine déjà dans le domaine AD, le mot de passe est bien celui voulu.
h2. Machine
--> prendre une machine intégrée dans le domaine NT Test-PNESR
--> création d'un compte machine dans l'AD existant
La machine "nomMachine" a été créée via la console MMC
--> changement du sid du compte machine en lui réaffectant celui d'origine
ldbmodify -v -H /usr/local/samba/var/lib/samba/private/sam.ldb.d/DC%3DTEST-PNESR,DC%3DEOLE,DC%3DE2,DC%3DRIE,DC%3DGOUV,DC%3DFR.ldb changeSID.ldif
avec changeSID.ldif
dn: CN=W7-XX-214,OU=Machines,OU=DOSE,OU=CPII,OU=Services,DC=test-pnesr,DC=eole,DC=e2,DC=rie,DC=gouv,DC=fr
changetype: modify
replace: objectSid
objectSid: S-1-5-21-3474514030-1453272919-3736605999-1108
--> injection de son mot de passe issu du LDAP
Récupération du mot de passe NT machine
for line in $(pdbedit -L -w |grep "\[W"|awk -F : '{print $1":"$4}'); do nom=$(echo $line|cut -d: -f1);pwd=$(echo $line|cut -d: -f2);sid=$(wbinfo --name-to-sid $nom|awk -F ' ' '{print $1}');echo $nom";"$pwd";"$sid;done | grep nomMachine
Injection du mot de passe dans AD
pdbedit -d 0 --set-nt-hash=BBBF461F5F694EECE0737E2FBCB5F331 nomMachine$
--> modification du PC en indiquant le DNS de l'AD + suffixe
Le PC était intégré dans le domaine NT, une session avait déjà été ouverte par l'utilisateur prenom.nom (on simule un PC de travail d'une personne en particulier)
Les modifications faites sur le PC sont uniquement :
- suppression du WINS
- changement du DNS = AD
- ajout des suffixes DNS
A l'ouverture de session, le PC se retrouve automatiquement dans l'AD. le profil du user est inchangé, le mot de passe est celui issu du NT !!