[Linux] Joindre une machine Debian 10 Buster sur un domaine Active Directory

 

Joindre une machine Debian 10 Buster sur un domaine Active Directory
Version de l’OS Debian 10.1
Article original Publié le : 10 novembre 2019

Mise a jour le :

 

Comme pour Centos 8, pas de réel changement par rapport a la précédente version

 

Quelques infos

Nom de domaine: izero.fr
Nom du serveur Active Directory: srv-ad.izero.fr
Nom de la machine client Debian 10: test-debian10
Version de Windows serveur : 2012 R2
Nom de l’utilisateur AD: bef
Nom du groupe AD: it

 

 

Installer les paquets nécessaires suivants:

 

Configurer Kerberos avec les informations nom du serveur / nom de domaine, respecter la case

 

Configurer le serveur NTP
Commenter les pools existants et ajouter le(s) serveur(s) AD

 

Ajouter le DNS dans l’interface

Redémarrer le service réseau

 

Éditer le fichier common-session et l’ajouter en fin de ligne
Cela permet de créer automatiquement le répertoire personnel de l’utilisateur lors de la première connexion

 

Quelques ajustements a faire dans le fichier sssd.conf, comme ne pas ajouter le nom de domaine de l’utilisateur AD, il faut remplacer la valeur use_fully_qualified_names a False
le realmd_tags, fallback_homedir et le access_provider doivent également, être corrigés.

Le fichier sssd.conf devrait ressembler a ceci

Redémarrer le service.

 

Joindre la machine au domaine, cela ne devrait renvoyer aucun message.

Pour vérifier que les utilisateurs sont bien reconnus, utiliser la commande id

 

Restreindre les autorisations de connexion en SSH au groupe IT (dont l’utilisateur fait parti)

 

Ajouter le groupe IT au sudoers

 

La connexion ssh fonctionne.

 

Un p’tit tour dans les logs

 

La connexion est établie avec un utilisateur de l’AD et il obtient bien les droits sudo,
Il subsiste une erreur dans les logs qui se corrige par un redémarrage du service systemd-login

Erreur: pam_systemd(sshd:session): Failed to create session: No such file or directory

Refaire un check de auth.log

 

Quelques fichiers a vérifier en plus du sssd.conf en cas d’erreur.

 

 

 

Quelques liens

https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectorySssd

https://git.ipr.univ-rennes1.fr/cellinfo/ansible.sssd/commit/0430b9a016716bef6cd9d2aa334d262cb310497e

 

 

Rating: 4.0/5. From 4 votes.
Please wait...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.