Wiki ANF Mathrice 2014 - Mardi - TP pour la mise en oeuvre d'un domaine ActiveDirectory

Approbation de domaine ActiveDirectory

L’objectif de ce TP est de construire une relation d’approbation entre le royaume Kerberos et le Domaine Active Director. Ainsi, les utilisateurs du royaume Kerberos pourront utiliser les ressources Windows avec le même mot de passe et identifiant.

Dans le Vagrantfile, la machine virtuelle ad est commenté. Décommenter, les lignes la concernant. Demander à Vagrant la création de cette VM, puis ouvrez une session RDP dessus.

vagrant up ad
vagrant rdp ad

Domaine Active Directory

Ouvrir le Gestionnaire de serveur.
Cliquer sur Ajouter des roles et des fonctionnalités. L’assistant démarre.
- Avant de commencer => passer en cliquant sur Suivant
- Type d’installation => choisir Installation basée sur un role ou une fonctionnalité
- Sélection de serveur => choisir le serveur ad
- Rôles de serveurs => Cocher Services AD DS
- Dans la boite de dialogue qui s’ouvre confirmer l’installation en cliquant sur le bouton Ajouter des fonctionnalités puis sur le bouton Suivant
- Fonctionnalités => passer en cliquant sur le bouton _Suivant
- AD_DS => Lire les notes sur le service de domaine Active Directory et cliquer sur le bouton Suivant
- Confirmation => cliquer sur le bouton Installer pour commencer l’installation
- A la fin de l’installation, fermer l’assistant Ajout de roles et fonctionnalités par un clic sur le bouton Fermer
Dans le Gestionnaire de serveur, cliquer sur le drapeau contenant le point d’exclamation. Puis, cliquer sur Promouvoir ce serveur en controleur de domaine.
- Configuration de déploiement
  - cocher Ajouter une nouvelle forêt
  - nom de domaine racine = VBOX-2012.TP
  - cliquer sur le bouton Suivant
- Options du controleur de domaine
  - Niveau fonctionnel de la forêt = Windows Server 2012 R2
  - Niveau fonctionnel du domaine = Windows Server 2012 R2
  - Cocher Serveur DNS (Domain Name System)
  - Mot de passe du mode restauration des services d’annuaire = P@ssw0rd
- Options DNS => passer en cliquant sur le bouton Suivant
- Options Supplémentaires => attendre que le nom NetBIOS s’affiche et valider VBOX-2012 en cliquant sur le bouton Suivant
- Chemins d’accès => laisser les valeurs par défaut et cliquer sur le bouton Suivant
- Examiner les options => passer en cliquant sur le bouton Suivant
- Vérification de la configuration requise => Démarrer l’installation en cliquant sur le bouton Installer
En fin d’installation, le serveur redémarre.

Définition de la relation d’approbation

Ouvrir une session en tant que VBOX-2102\Administrateur. Le mot de passe reste inchangé : P@ssw0rd.
Sur le serveur KDC, créer un principal spécifique pour cette approbation. Le mot de passe saisie ici est appro2012!.
```
vagrant ssh kdc
vagrant@kdc$ sudo kadmin.local
kadmin.local: addprinc krbtgt/VBOX-2012.TP@VBOX.TP
```
Dans le gestionnaire de serveur, choisir Domaines et approbations Active Directory dans le menu Outils.
Dans la colonne de gauche, de la fenêtre Domaines et approbations Active Directory, cliquer droit sur VBOX-2012.TP et choisir Propriétés dans le menu contextuel.
Dans boite de dialogue des propriétés du domaine, aller sur l’onglet Approbations. Cliquer ensuite sur le bouton Nouvelle approbation…
Un assistant démarre.
- Passer l’introduction en cliquant sur le bouton Suivant
- Dans le champ nom saisir VBOX.TP, puis cliquer sur Suivant
- Cocher Approbation de domaine Kerberos, puis cliquer sur Suivant
- Cocher Non transitive, puis cliquer sur Suivant
- Cocher Sens unique : en sortie, puis cliquer sur Suivant
- Saisir le même mot de passe que lors de la création du principal krbtgt/VBOX-2012.TP@VBOX.TP sur le KDC, soit appro2012!. Puis cliquer sur le bouton Suivant
- Passer le résumé en cliquant sur le bouton Suivant
- Fermer l’assistant en cliquant sur le bouton Suivant
Femer la boite de dialogue des propriétés de VBOX-2012.TP. Fermer la fenêtre Domaines et approbations Active Directory.

Mappage d’utilisateurs

La relation d’approbation en elle même n’est pas suffisante. Chaque utilisateur du royaume devra être associé (mappé) à un utilisateur ActiveDirectory. Effectuons l’opération pour un utilisateur : vaterre.

Dans le Gestionnaire de serveur, choisir Utilisateurs et ordinateurs Active Directory dans le menu Outils.
Déplier l’aborescence VBOX-2012.TP. Nous allons placer ces utilisateurs dans une Unité d’Organisation dédiée. Dans le menu Action, choisir Nouveau, puis Unité d’organisation. Donner KerberosMappings comme nom.
Sélectionner l’OU KerberosMappings. Dans le menu Action, choisir Nouveau, puis Utilisateur. Dans la boite de dialogue compléter les informations.
- Prenom = Vac
- Nom = Aterre
- Nom complet = Vac Aterre
- Nom d’ouverture de session de l’utilisateur = vaterre@VBOX-2012.TP
- Nom d’ouverture de session de l’utilisateur (antérieur à Windows 2000) = VBOX-2012\vaterre
Passer à l’étape suivante en cliquant sur le bouton Suivant. Saisir un mot de passe aléatoire (il ne sera pas utilisé), suffisament complexe pour qu’il ne soient pas denivable (ici on propose de mettre !D3vinable).
- décocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session
- cocher L’utilisateur ne peut pas changer de mot de passe
- cocher Le mot de passe n’expire jamais
Valider le mot de passe en cliquant sur le bouton Suivant. Terminer la création de l’utilisateur en cliquant sur le bouton Terminer.
Dans le menu Affichage, choisir Fonctionnalités avancées.
Dans la partie droite de la fenêtre, sélectionner l’utilisateur nouvellement créé (dans l’OU KerberosMappings). Dans le menu contextuel qui s’ouvre sur un clic droit, choisir Mappages des noms.
Dans la boite de dialogue Mappage des identités de sécurité, aller sur l’onglet Noms Kerberos et cliquer sur le bouton Ajouter. Comme nom principal Kerberos, saisir vaterre@VBOX.TP.
Valider la saisie du principal avec le bouton OK. Fermer la fenêtre Mappage des identités de sécurité avec le bouton Appliquer puis OK. Fermer la fenêtre Utilisateurs et Ordinateurs Active Directory.