Joindre une machine Centos 7 sur un domaine Active Directory |
Version de l’OS | Centos 7.3 |
Installer les paquets nécessaires suivants:
1 |
$ sudo yum install vim epel-release bash-completion bash-completion-extras chrony |
Désactiver le firewall si nécessaire.
1 |
$ sudo systemctl stop firewalld.service |
1 |
$ sudo systemctl disable firewalld.service |
Désactiver Selinux si nécessaire.
1 |
$ sudo vim /etc/sysconfig/selinux |
Et passer la propriété de SELINUX à disabled
Rebooter ou taper la commande suivante pour prendre en compte immédiatement:
1 |
$ sudo setenforce=0 |
Configurer le client NTP
Éditer le fichier chrony.conf pour définir les serveurs NTP interne (AD).
1 |
$ sudo vim /etc/chrony.conf |
1 2 |
server 192.168.100.100 iburst server 192.168.100.101 iburst |
Redémarrer le démon
1 |
$ sudo systemctl restart chronyd |
Installer les paquets nécessaires à l’intégration AD
1 |
$ sudo yum install sssd realmd oddjob oddjob-mkhomedir sssd samba-common-tools |
Rejoindre l’AD
1 |
$ sudo realm join -U compte_de_service --os-name=Centos --os-version=7 --verbose --computer-ou="ou=Centos,ou=Servers,dc=domaine,dc=tld" domaine.tld |
ou
1 |
$ sudo realm join --verbose domaine.tld |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
* Resolving: _ldap._tcp.domaine.tld * Performing LDAP DSE lookup on: 192.168.100.100 * Performing LDAP DSE lookup on: 192.168.100.101 * Successfully discovered: domaine.tld Password for Administrator: * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads join domaine.tld Using short domain name -- DOMAINE Joined 'it-interne' to dns domain 'domaine.tld' * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads keytab create Enter Administrator's password: * /usr/bin/systemctl enable sssd.service Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service. * /usr/bin/systemctl restart sssd.service * /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service * Successfully enrolled machine in realm |
Pour ne pas ajouter le nom de domaine de l’utilisateur AD, éditer le fichier sssd.conf et passer la valeur de True a False.
Vérifier également le homedir.
1 |
$ sudo vim /etc/sssd/sssd.conf |
1 2 |
use_fully_qualified_names = False fallback_homedir = /home/%u |
Redémarrer le démon sssd :
1 |
$ sudo systemctl restart sssd |
Restreindre les autorisations de connexion en SSH aux groupes IT
1 |
$ sudo realm deny --all |
1 |
$ sudo realm permit -g it-interne |
Ajouter le groupe it-interne au sudoers
1 |
$ sudo visudo |
1 |
%it-interne ALL=(ALL) ALL |
Quelques tests:
1 |
$ kinit administrator |
1 |
administrator@DOMAINE.TLD's Password: |
1 |
$ klist |
1 2 3 4 |
Credentials cache: FILE:/tmp/krb5cc_1000 Principal: administrator@DOMAINE.TLD Issued Expires Principal Apr 11 15:04:35 2017 Apr 12 01:04:30 2017 krbtgt/DOMAINE.TLD@DOMAINE.TLD |
/!\ Nouvelle article : Joindre une machine Centos 8 sur un domaine Active Directory
Bonjour,
merci pour ce post, pour ma part, impossible de joindre le domaine AD, peut-être manque-t-il quelque chose dans la config de mon serveur Centos. Petite précision, mon domaine AD se trouve sur VM dans VMWare, peut-être que mon linux doit-être mis dans ce réseau privé.
Salut,
On héberge aussi une partie des AD sur différents hyperviseurs dont vmware, ceux ci sont dans le même réseau ou dans différents vlans accessibles. Si tu es sur un réseau différent, il faudra jouer avec le routage.