[Linux] Joindre une machine Centos 7 sur un domaine Active Directory

 

Joindre une machine Centos 7 sur un domaine Active Directory
Version de l’OS Centos 7.3

 

 

Installer les paquets nécessaires suivants:

$ sudo yum install vim epel-release bash-completion bash-completion-extras chrony

 

Désactiver le firewall si nécessaire.

$ sudo systemctl stop firewalld.service
$ sudo systemctl disable firewalld.service

 

Désactiver Selinux si nécessaire.

$ sudo vim /etc/sysconfig/selinux

Et passer la propriété de SELINUX à disabled

 

Rebooter ou taper la commande suivante pour prendre en compte immédiatement:

$ sudo setenforce=0

 

Configurer le client NTP

Éditer le fichier chrony.conf pour définir les serveurs NTP interne (AD).

$ sudo vim /etc/chrony.conf
server 192.168.100.100 iburst
server 192.168.100.101 iburst

 

Redémarrer le démon

$ sudo systemctl restart chronyd

 

Installer les paquets nécessaires à l’intégration AD

$ sudo yum install sssd realmd oddjob oddjob-mkhomedir sssd samba-common-tools

 

Rejoindre l’AD

$ sudo realm join -U compte_de_service --os-name=Centos --os-version=7 --verbose --computer-ou="ou=Centos,ou=Servers,dc=domaine,dc=tld" domaine.tld

ou

$ sudo realm join --verbose domaine.tld
* Resolving: _ldap._tcp.domaine.tld
 * Performing LDAP DSE lookup on: 192.168.100.100
 * Performing LDAP DSE lookup on: 192.168.100.101
 * Successfully discovered: domaine.tld
 Password for Administrator:
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
 * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads join domaine.tld
  Using short domain name -- DOMAINE
 Joined 'it-interne' to dns domain 'domaine.tld'
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.5CKEYY -U Administrator ads keytab create
 Enter Administrator's password:
 * /usr/bin/systemctl enable sssd.service
 Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service.
 * /usr/bin/systemctl restart sssd.service
 * /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service
 * Successfully enrolled machine in realm

 

Pour ne pas ajouter le nom de domaine de l’utilisateur AD, éditer le fichier sssd.conf et passer la valeur de True a False.

Vérifier également le homedir.

$ sudo vim /etc/sssd/sssd.conf
use_fully_qualified_names = False
fallback_homedir = /home/%u

Redémarrer le démon sssd :

$ sudo systemctl restart sssd

 

Restreindre les autorisations de connexion en SSH aux groupes IT

$ sudo realm deny --all
$ sudo realm permit -g it-interne

 

Ajouter le groupe it-interne au sudoers

$ sudo visudo
%it-interne ALL=(ALL) ALL

 

 

Quelques tests:

$ kinit administrator
administrator@DOMAINE.TLD's Password:

 

$ klist
Credentials cache: FILE:/tmp/krb5cc_1000
 Principal: administrator@DOMAINE.TLD
 Issued Expires Principal
 Apr 11 15:04:35 2017 Apr 12 01:04:30 2017 krbtgt/DOMAINE.TLD@DOMAINE.TLD

 

 

 

Rating: 5.0/5. From 4 votes.
Please wait...

2 thoughts to “[Linux] Joindre une machine Centos 7 sur un domaine Active Directory”

  1. Bonjour,
    merci pour ce post, pour ma part, impossible de joindre le domaine AD, peut-être manque-t-il quelque chose dans la config de mon serveur Centos. Petite précision, mon domaine AD se trouve sur VM dans VMWare, peut-être que mon linux doit-être mis dans ce réseau privé.

    No votes yet.
    Please wait...
    1. Salut,

      On héberge aussi une partie des AD sur différents hyperviseurs dont vmware, ceux ci sont dans le même réseau ou dans différents vlans accessibles. Si tu es sur un réseau différent, il faudra jouer avec le routage.

      No votes yet.
      Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.