| Joindre une machine Centos 7 sur un domaine Active Directory |
| Version de l’OS | Centos 7.3 |
Installer les paquets nécessaires suivants:
$ sudo yum install vim epel-release bash-completion bash-completion-extras chrony
Désactiver le firewall si nécessaire.
$ sudo systemctl stop firewalld.service
$ sudo systemctl disable firewalld.service
Désactiver Selinux si nécessaire.
$ sudo vim /etc/sysconfig/selinux
Et passer la propriété de SELINUX à disabled
Rebooter ou taper la commande suivante pour prendre en compte immédiatement:
$ sudo setenforce=0
Configurer le client NTP
Éditer le fichier chrony.conf pour définir les serveurs NTP interne (AD).
$ sudo vim /etc/chrony.conf
server 192.168.100.100 iburst server 192.168.100.101 iburst
Redémarrer le démon
$ sudo systemctl restart chronyd
Installer les paquets nécessaires à l’intégration AD
$ sudo yum install sssd realmd oddjob oddjob-mkhomedir sssd samba-common-tools
Rejoindre l’AD
$ sudo realm join -U compte_de_service --os-name=Centos --os-version=7 --verbose --computer-ou="ou=Centos,ou=Servers,dc=domaine,dc=tld" domaine.tld
ou
$ sudo realm join --verbose domaine.tld
* Resolving: _ldap._tcp.domaine.tld * Performing LDAP DSE lookup on: 192.168.100.100 * Performing LDAP DSE lookup on: 192.168.100.101 * Successfully discovered: domaine.tld Password for Administrator: * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads join domaine.tld Using short domain name -- DOMAINE Joined 'it-interne' to dns domain 'domaine.tld' * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads keytab create Enter Administrator's password: * /usr/bin/systemctl enable sssd.service Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service. * /usr/bin/systemctl restart sssd.service * /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service * Successfully enrolled machine in realm
Pour ne pas ajouter le nom de domaine de l’utilisateur AD, éditer le fichier sssd.conf et passer la valeur de True a False.
Vérifier également le homedir.
$ sudo vim /etc/sssd/sssd.conf
use_fully_qualified_names = False fallback_homedir = /home/%u
Redémarrer le démon sssd :
$ sudo systemctl restart sssd
Restreindre les autorisations de connexion en SSH aux groupes IT
$ sudo realm deny --all
$ sudo realm permit -g it-interne
Ajouter le groupe it-interne au sudoers
$ sudo visudo
%it-interne ALL=(ALL) ALL
Quelques tests:
$ kinit administrator
administrator@DOMAINE.TLD's Password:
$ klist
Credentials cache: FILE:/tmp/krb5cc_1000 Principal: administrator@DOMAINE.TLD Issued Expires Principal Apr 11 15:04:35 2017 Apr 12 01:04:30 2017 krbtgt/DOMAINE.TLD@DOMAINE.TLD