Linux et AD
- Joindre un domaine Windows permet:
- D’ouvrir une session avec un nom d’utilisateur et un mot de passe appartenant au
- Obtenir un répertoire de base.
- Obtenir des droits spéciaux si besoin (exemple: les droits d’administrateur).
- Avant de commencer, assurez vous que votre contrôleur de domaine est
- Assurez vous que le DNS de votre Debian pointe vers le controleur de domaine (/etc/resolv.conf).
- Plusieurs paquets doivent être installés:
- realmd : il s’agit du paquet qui permettra de joindre la machine Linux au
- ntpdate : le protocole Kerberos est très sensible à l’heure, votre Debian se doit d’être à l’heure
- adcli
- sssd
- Installation:
apt-get install realmd adcli sssd ntpdate
- Mise à l’heure:
/usr/sbin/ntpdate-debian
- Activez sssd pour qu’il démarre automatiquement: systemctl enable sssd
- sssd ne démarre pas. Pourquoi?
- La commande realm permet de joindre le domaine. Elle permet aussi d’obtenir des informations à propos du domaine:
# realm discover monitoring.com
- Si vous obtenez l’outpu ci-dessus, vous pouvez joindre le domaine:
# realm join –user=administrateur monitoring.com
- Vous devrez alors entrer le mot de passe de l’administrateur.
- Après avoir démarré sssd vous êtes alors capable d’authentifier des utilisateurs du
- Pour le valider:
getent passwd [email protected]
- Vous devrez voir apparaître une ligne ressemblant à une ligne du fichier /etc/passwd.
- Par défaut Debian ne crée pas le home directory lors de la connexion de l’utilisateur du
- Pour ajouter la création automatique du home directory:
# echo « session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 » | sudo tee -a /etc/pam.d/common-session
- PAM va créer le home directory automatiquement en utilisant
/etc/skel comme modèle.
- Dans un domaine, il est utile que l’administrateur est des droits d’administrateur sur toutes les machines incluant les machines
- Sur Linux, ceci consiste à donner le droit à sudo à l’administrateur du domaine.
- Vous devez installer sudo
# apt-get install sudo libsss-sudo
# echo « %domain\ [email protected] ALL=(ALL) ALL » | sudo tee -a /etc/sudoers.d/domain_admins