TUTOS.EU

Joindre une machine linux Centos dans un domaine AD LDAP

Mettre à jour les paquets

yum update-minimal 
yum upgrade
Lien vers le fichier : cliquez ici

Installez ces paquets

yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-pythonreal
Lien vers le fichier : cliquez ici

Ajouter le FQDN de la vm

nano /etc/hosts
Lien vers le fichier : cliquez ici

Exemple

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

10.25.32.50    mamachine.mondomaine.local mamachine

Modifier les règles de FW, avec ici nftables
Ici 192.168.0.8 et 192.168.0.9 représentent l'ip des serveurs AD

nano /etc/nftables.rules
chain myinput {
       ip saddr { 192.168.0.8, 192.168.0.9 } tcp dport {ntp,ldap,ldaps,88,445,464,3268} accept
       ip saddr { 192.168.0.8, 192.168.0.9 } udp dport {ntp,ldap,ldaps,88,445,464,3268} accept

chain myoutput {
        ip daddr { 192.168.0.8, 192.168.0.9 } tcp dport {ntp,ldap,ldaps,88,445,464,3268} accept
        ip daddr { 192.168.0.8, 192.168.0.9 } udp dport {ntp,ldap,ldaps,88,445,464,3268} accept
Lien vers le fichier : cliquez ici

Appliquez les règles nftables

nft -f /etc/nftables.rules
Lien vers le fichier : cliquez ici

Ajouter votre machine dans le domaine

realm discover nomdevotredomain.local
Lien vers le fichier : cliquez ici

Puis

realm join --user=login_admin nomdevotredomain.local
Lien vers le fichier : cliquez ici

Ensuite il faut modifier le fichier sssd.conf

nano /etc/sssd/sssd.conf
Lien vers le fichier : cliquez ici

Il faut adapter les lignes en bleu

krb5_store_password_if_offline = True 
default_shell = /bin/bash 
ldap_id_mapping = True 
use_fully_qualified_names = false 
fallback_homedir = /home/%u@%d 
access_provider = simple 
simple_allow_groups = Admins du domaine

Redémarrer le service

systemctl restart sssd
systemctl status sssd
Lien vers le fichier : cliquez ici

Ajouter le groupe AD "Admins du domaine" dans le groupe SUDOERS

nano /etc/sudoers.d/admins
Lien vers le fichier : cliquez ici

Mettre

%\Admins\ du\ domaine     ALL=(ALL)   ALL
Lien vers le fichier : cliquez ici

Modifier la configuration SSH avec

nano /etc/ssh/sshd_config
Lien vers le fichier : cliquez ici

Il faut remplacer la directive AllowUsers par AllowGroups

Exemple


# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

#AllowUsers unlogin
AllowGroups socotec "admins du domaine"

Recharger le service

systemctl reload sshd
Lien vers le fichier : cliquez ici