| Joindre une machine Centos 7 sur un domaine Active Directory |
| Version de l’OS | Centos 7.3 |
Installer les paquets nécessaires suivants:
$ sudo yum install vim epel-release bash-completion bash-completion-extras chrony
Désactiver le firewall si nécessaire.
$ sudo systemctl stop firewalld.service
$ sudo systemctl disable firewalld.service
Désactiver Selinux si nécessaire.
$ sudo vim /etc/sysconfig/selinux
Et passer la propriété de SELINUX à disabled
Rebooter ou taper la commande suivante pour prendre en compte immédiatement:
$ sudo setenforce=0
Configurer le client NTP
Éditer le fichier chrony.conf pour définir les serveurs NTP interne (AD).
$ sudo vim /etc/chrony.conf
server 192.168.100.100 iburst server 192.168.100.101 iburst
Redémarrer le démon
$ sudo systemctl restart chronyd
Installer les paquets nécessaires à l’intégration AD
$ sudo yum install sssd realmd oddjob oddjob-mkhomedir sssd samba-common-tools
Rejoindre l’AD
$ sudo realm join -U compte_de_service --os-name=Centos --os-version=7 --verbose --computer-ou="ou=Centos,ou=Servers,dc=domaine,dc=tld" domaine.tld
ou
$ sudo realm join --verbose domaine.tld
* Resolving: _ldap._tcp.domaine.tld * Performing LDAP DSE lookup on: 192.168.100.100 * Performing LDAP DSE lookup on: 192.168.100.101 * Successfully discovered: domaine.tld Password for Administrator: * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads join domaine.tld Using short domain name -- DOMAINE Joined 'it-interne' to dns domain 'domaine.tld' * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads keytab create Enter Administrator's password: * /usr/bin/systemctl enable sssd.service Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service. * /usr/bin/systemctl restart sssd.service * /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service * Successfully enrolled machine in realm
Pour ne pas ajouter le nom de domaine de l’utilisateur AD, éditer le fichier sssd.conf et passer la valeur de True a False.
Vérifier également le homedir.
$ sudo vim /etc/sssd/sssd.conf
use_fully_qualified_names = False fallback_homedir = /home/%u
Redémarrer le démon sssd :
$ sudo systemctl restart sssd
Restreindre les autorisations de connexion en SSH aux groupes IT
$ sudo realm deny --all
$ sudo realm permit -g it-interne
Ajouter le groupe it-interne au sudoers
$ sudo visudo
%it-interne ALL=(ALL) ALL
Quelques tests:
$ kinit administrator
administrator@DOMAINE.TLD's Password:
$ klist
Credentials cache: FILE:/tmp/krb5cc_1000 Principal: administrator@DOMAINE.TLD Issued Expires Principal Apr 11 15:04:35 2017 Apr 12 01:04:30 2017 krbtgt/DOMAINE.TLD@DOMAINE.TLD
Bonjour,
merci pour ce post, pour ma part, impossible de joindre le domaine AD, peut-être manque-t-il quelque chose dans la config de mon serveur Centos. Petite précision, mon domaine AD se trouve sur VM dans VMWare, peut-être que mon linux doit-être mis dans ce réseau privé.
Salut,
On héberge aussi une partie des AD sur différents hyperviseurs dont vmware, ceux ci sont dans le même réseau ou dans différents vlans accessibles. Si tu es sur un réseau différent, il faudra jouer avec le routage.