Active Directory FR Linux et Unix Windows

Joindre Linux et Active directory

Linux et AD

  • Joindre un domaine Windows permet:
    • D’ouvrir une session avec un nom d’utilisateur et un mot de passe appartenant au
    • Obtenir un répertoire de base.
    • Obtenir des droits spéciaux si besoin (exemple: les droits d’administrateur).
  • Avant de commencer, assurez vous que votre contrôleur de domaine est
  • Assurez vous que le DNS de votre Debian pointe vers le controleur de domaine (/etc/resolv.conf).

 

  • Plusieurs paquets doivent être installés:
    • realmd : il s’agit du paquet qui permettra de joindre la machine Linux au
    • ntpdate : le protocole Kerberos est très sensible à l’heure, votre Debian se doit d’être à l’heure
    • adcli
    • sssd
  • Installation:

apt-get install realmd adcli sssd ntpdate

  • Mise à l’heure:

/usr/sbin/ntpdate-debian

  • Activez sssd pour qu’il démarre automatiquement: systemctl enable sssd
  • sssd ne démarre pas. Pourquoi?
  • La commande realm permet de joindre le domaine. Elle permet aussi d’obtenir des informations à propos du domaine:

# realm discover monitoring.com

 

  • Si vous obtenez l’outpu ci-dessus, vous pouvez joindre le domaine:

# realm join –user=administrateur monitoring.com

  • Vous devrez alors entrer le mot de passe de l’administrateur.
  • Après avoir démarré sssd vous êtes alors capable d’authentifier des utilisateurs du
  • Pour le valider:

getent passwd [email protected]

  • Vous devrez voir apparaître une ligne ressemblant à une ligne du fichier /etc/passwd.
  • Par défaut Debian ne crée pas le home directory lors de la connexion de l’utilisateur du
  • Pour ajouter la création automatique du home directory:

# echo “session required pam_mkhomedir.so skel=/etc/skel/ umask=0022” | sudo tee -a /etc/pam.d/common-session

  • PAM va créer le home directory automatiquement en utilisant

/etc/skel comme modèle.

  • Dans un domaine, il est utile que l’administrateur est des droits d’administrateur sur toutes les machines incluant les machines
  • Sur Linux, ceci consiste à donner le droit à sudo à l’administrateur du domaine.
  • Vous devez installer sudo

# apt-get install sudo libsss-sudo

# echo “%domain\ [email protected] ALL=(ALL) ALL” | sudo tee -a /etc/sudoers.d/domain_admins