[Linux] Joindre une machine Centos 7 sur un domaine Active Directory

 

Joindre une machine Centos 7 sur un domaine Active Directory
Version de l’OS Centos 7.3

 

 

Installer les paquets nécessaires suivants:

$ sudo yum install vim epel-release bash-completion bash-completion-extras chrony

 

Désactiver le firewall si nécessaire.

$ sudo systemctl stop firewalld.service
$ sudo systemctl disable firewalld.service

 

Désactiver Selinux si nécessaire.

$ sudo vim /etc/sysconfig/selinux

Et passer la propriété de SELINUX à disabled

 

Rebooter ou taper la commande suivante pour prendre en compte immédiatement:

$ sudo setenforce=0

 

Configurer le client NTP

Éditer le fichier chrony.conf pour définir les serveurs NTP interne (AD).

$ sudo vim /etc/chrony.conf
server 192.168.100.100 iburst
server 192.168.100.101 iburst

 

Redémarrer le démon

$ sudo systemctl restart chronyd

 

Installer les paquets nécessaires à l’intégration AD

$ sudo yum install sssd realmd oddjob oddjob-mkhomedir sssd samba-common-tools

 

Rejoindre l’AD

$ sudo realm join -U compte_de_service --os-name=Centos --os-version=7 --verbose --computer-ou="ou=Centos,ou=Servers,dc=domaine,dc=tld" domaine.tld

ou

$ sudo realm join --verbose domaine.tld
* Resolving: _ldap._tcp.domaine.tld
 * Performing LDAP DSE lookup on: 192.168.100.100
 * Performing LDAP DSE lookup on: 192.168.100.101
 * Successfully discovered: domaine.tld
 Password for Administrator:
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
 * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads join domaine.tld
  Using short domain name -- DOMAINE
 Joined 'it-interne' to dns domain 'domaine.tld'
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads keytab create
 Enter Administrator's password:
 * /usr/bin/systemctl enable sssd.service
 Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service.
 * /usr/bin/systemctl restart sssd.service
 * /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service
 * Successfully enrolled machine in realm

 

Pour ne pas ajouter le nom de domaine de l’utilisateur AD, éditer le fichier sssd.conf et passer la valeur de True a False.

Vérifier également le homedir.

$ sudo vim /etc/sssd/sssd.conf
use_fully_qualified_names = False
fallback_homedir = /home/%u

Redémarrer le démon sssd :

$ sudo systemctl restart sssd

 

Restreindre les autorisations de connexion en SSH aux groupes IT

$ sudo realm deny --all
$ sudo realm permit -g it-interne

 

Ajouter le groupe it-interne au sudoers

$ sudo visudo
%it-interne ALL=(ALL) ALL

 

 

Quelques tests:

$ kinit administrator
administrator@DOMAINE.TLD's Password:

 

$ klist
Credentials cache: FILE:/tmp/krb5cc_1000
 Principal: administrator@DOMAINE.TLD
 Issued Expires Principal
 Apr 11 15:04:35 2017 Apr 12 01:04:30 2017 krbtgt/DOMAINE.TLD@DOMAINE.TLD

 

 

 

Rating: 5.0. From 1 vote.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *