Joindre une machine linux Centos dans un domaine AD LDAP
Installez ces paquets
yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-pythonreal
Exemple
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
10.25.32.50 mamachine.mondomaine.local mamachine
Modifier les règles de FW, avec ici nftables
Ici 192.168.0.8 et 192.168.0.9 représentent l'ip des serveurs AD
nano /etc/nftables.rules
chain myinput {
ip saddr { 192.168.0.8, 192.168.0.9 } tcp dport {ntp,ldap,ldaps,88,445,464,3268} accept
ip saddr { 192.168.0.8, 192.168.0.9 } udp dport {ntp,ldap,ldaps,88,445,464,3268} accept
chain myoutput {
ip daddr { 192.168.0.8, 192.168.0.9 } tcp dport {ntp,ldap,ldaps,88,445,464,3268} accept
ip daddr { 192.168.0.8, 192.168.0.9 } udp dport {ntp,ldap,ldaps,88,445,464,3268} acceptAjouter votre machine dans le domaine
realm discover nomdevotredomain.localEnsuite il faut modifier le fichier sssd.conf
nano /etc/sssd/sssd.confIl faut adapter les lignes en bleu
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = false
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = Admins du domaine
Si vous avez plusieurs groupes à déclarer, il faut les séparer par une virgule. Exemple :
simple_allow_groups = Admins du domaine, grp_les_bolos
Redémarrer le service
systemctl restart sssd
systemctl status sssdAjouter le groupe AD "Admins du domaine" dans le groupe SUDOERS
nano /etc/sudoers.d/adminsIl faut remplacer la directive AllowUsers par AllowGroups
Exemple
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
#AllowUsers unlogin
AllowGroups socotec "admins du domaine"
Pour info dans /etc/sssd/sssd.conf on peut mettre un debug_level puis on a des logs dans /var/log/sssd/
