danux.be
🔍
J’ai intégré mes machines Linux à l’Active Directory Synology… et ça change tout
linux active directory synology samba winbind administration systeme reseau authentification

J’ai intégré mes machines Linux à l’Active Directory Synology… et ça change tout

par Dany
📖 4 minutes de lecture (776 mots)

Et si Linux arrêtait enfin de vivre en solo ?

Pendant longtemps, gérer plusieurs machines Linux, c’était un peu le Far West. Chaque machine avec ses comptes locaux, ses mots de passe, ses permissions… et dès que tu dépasses deux ou trois machines, ça devient vite le bazar. Ajouter un utilisateur ? Tu répètes l’opération partout. Changer un mot de passe ? Idem. Et supprimer un accès proprement… bon courage.

Puis il y a ce moment où tu réalises que ton NAS Synology fait tourner un Active Directory complet. Et là, la question devient évidente : pourquoi ne pas centraliser aussi tes machines Linux dessus ?

Spoiler : ça marche, et c’est même étonnamment propre.

Synology Active Directory : le hack propre que personne n’utilise

Synology propose une implémentation d’Active Directory basée sur Samba. Concrètement, ton NAS devient un contrôleur de domaine, capable de gérer utilisateurs, groupes, permissions et authentification.

Et contrairement à ce que beaucoup pensent, Linux s’intègre parfaitement dans ce modèle.

Le principe est simple : au lieu d’avoir des comptes locaux sur chaque machine, tu utilises ceux du domaine. Un seul login, un seul mot de passe, les mêmes droits partout. C’est exactement ce qu’on retrouve en entreprise… mais accessible dans un homelab.

Samba + Winbind : le pont entre deux mondes

Pour faire le lien entre Linux et Active Directory, on utilise deux outils clés : Samba et Winbind.

Samba permet à Linux de communiquer avec l’AD en parlant le bon “protocole”. Winbind, lui, fait le mapping entre les utilisateurs AD et les utilisateurs Linux. Il transforme un compte du domaine en utilisateur système exploitable.

Résultat : ton Linux voit les utilisateurs AD comme des utilisateurs locaux. Et ça, c’est la clé.

⚙️ Petit tuto : intégrer une machine Linux à ton domaine Synology

On va faire simple, efficace, sans bullshit.

👉 Exemple basé sur Debian/Ubuntu

1. Installer les paquets nécessaires

sudo apt update sudo apt install samba winbind libnss-winbind libpam-winbind krb5-user

Pendant l’installation, renseigne ton domaine (ex: DANUX.LOCAL).

2. Configurer Kerberos (authentification)

Fichier :

/etc/krb5.conf

Exemple simple :

[libdefaults] default_realm = DANUX.LOCAL dns_lookup_realm = false dns_lookup_kdc = true

3. Configurer Samba

Fichier :

/etc/samba/smb.conf

Ajoute/modifie :

[global] workgroup = DANUX security = ADS realm = DANUX.LOCAL

winbind use default domain = true winbind offline logon = true

idmap config * : backend = tdb idmap config * : range = 3000-7999

idmap config DANUX : backend = rid idmap config DANUX : range = 10000-999999

template shell = /bin/bash

4. Joindre la machine au domaine

sudo net ads join -U Administrator

👉 Il va te demander le mot de passe admin AD (celui de ton Synology)

Si tout se passe bien : machine jointe au domaine

5. Activer Winbind

sudo systemctl restart smbd nmbd winbind sudo systemctl enable winbind

6. Vérifier que ça fonctionne

wbinfo -u wbinfo -g

👉 Tu dois voir les utilisateurs et groupes du domaine

Test final :

getent passwd

👉 Les utilisateurs AD apparaissent

7. Autoriser la connexion

Pour permettre le login avec un utilisateur AD :

sudo pam-auth-update

Active :

👉 Winbind authentication

Résultat

Tu peux maintenant te connecter avec :

login: utilisateur_ad

Et Linux le reconnaît comme un utilisateur local.

🧠 Ce que ça change vraiment

Une fois en place, tout devient beaucoup plus logique. Tu gères tes utilisateurs à un seul endroit. Tu ajoutes un accès, il est valable partout. Tu le supprimes, il disparaît instantanément du réseau.

Plus besoin de maintenir des comptes locaux, plus de configs divergentes, plus de “ah oui j’ai oublié cette machine”.

Et surtout, tu gagnes une cohérence énorme dans ton environnement.

Les petits pièges à connaître

Tout n’est pas magique. Il faut comprendre deux ou trois notions :

  • les UID/GID doivent être cohérents
  • le DNS doit être propre (très important)
  • Winbind met en cache certaines infos

Mais honnêtement, une fois que c’est en place… ça tourne.

Pourquoi c’est difficile de revenir en arrière

Ce genre de setup, c’est typiquement le truc que tu fais “pour tester”… et que tu gardes définitivement.

Parce que tu passes d’un système bricolé à un système structuré. Et surtout, tu simplifies ta vie.

Linux reste Linux. Tu gardes la liberté, la puissance, la bidouille. Mais tu ajoutes une couche d’organisation qui manquait clairement.

Et le plus fou dans tout ça ?

C’est que ton Synology faisait déjà 80% du boulot depuis le début.

Fallait juste lui parler 😄

Articles similaires

Wondershaper-GUI : quand limiter sa bande passante devient enfin simple

Wondershaper-GUI : quand limiter sa bande passante devient enfin simple

linuxapplication
Caddy : le serveur web qui te fait aimer l’HTTPS

Caddy : le serveur web qui te fait aimer l’HTTPS

reverse proxycaddy
Ubuntu 24.04.4 LTS : la version stable qui consolide (encore) un peu plus Noble Numbat

Ubuntu 24.04.4 LTS : la version stable qui consolide (encore) un peu plus Noble Numbat

ubuntucanonical