Création de l’OU pour le domaine AD
Demander au responsable AD de créer l’objet dans la bonne OU.
Par exemple, nous avons les informations suivantes :
Hostname du poste client : myClient
Nom du domaine : EXTEST
Administrateur de l'OU : adminOU
Password de l'administrateur : *****
Synchronisation du temps
Mettre l’adresse IP de votre router comme serveur de temps :
Fichiers concernés :
/etc/ntp.conf
/etc/ntp/step-tickers
Logiciels existants
Il existe plusieurs logiciels qui vous simplifie la vie, j’en cite quelques-uns (en remerciant ceux qui me les ont signalés) :
LikewiseOpen : https://help.ubuntu.com/community/LikewiseOpen
PowerBroker : http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True
Centrify : http://www.centrify.com/express/linux-unix
RHEL et Fedora
La partie ci-dessous ne concerne que RHEL et Fedora.
Ligne de commande
authconfig --kickstart --enableshadow --enablemd5 \
--krb5realm=EXTEST.EPFL.CH --krb5kdc=extest.epfl.ch \
--enablewinbind --enablewinbindauth --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash \
--enablewinbindusedefaultdomain --disablewinbindoffline \
--smbworkgroup=EXTEST --smbsecurity=ads --smbrealm=EXTEST.EPFL.CH
Pour Fedora, vérifier que winbind est bien installé :
yum install samba-winbind
Interface graphique
Pour RHEL :
Configure Windbind…
Pour Fedora :
Join Domain…
Contrôler le fichier Fichier /etc/krb5.conf
[libdefaults]
default_realm = EXTEST.EPFL.CH
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
#Ubunut 10.04
allow_weak_crypto = true
[realms]
EXTEST.EPFL.CH = {
kdc = extest.epfl.ch
}
[domain_realm]
extest.epfl.ch = EXTEST.EPFL.CH
.extest.epfl.ch = EXTEST.EPFL.CH
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Contrôler le fichier Fichier /etc/samba/smb.conf
Ajouter la ligne winbind nested groups = true :
[global]
workgroup = EXTEST
netbios name = myClient
realm = EXTEST.EPFL.CH
security = ads
template homedir = /home/%U
template shell = /bin/bash
winbind use default domain = true
winbind nested groups = true
# Facultatif
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
Contrôler le fichier /etc/hosts
Ajouter la ligne :
128.178.1.220 myClient.extest.epfl.ch myClient.epfl.ch myClient
Ajouter votre poste dans l’AD
Exécuter la commande suivante :
net --user=adminOU ads join
adminOU's password: *****
Using short domain name -- EXTEST
Joined 'myClient' to realm 'EXTEST.EPFL.CH'
Vérifier l’intégration du poste client :
net ads testjoin
Join is OK
Contrôler l’authentification
Taper la commande suivante :
id adminOU
uid=16777216(adminOU) gid=16777216(domain users) groups=16777216(domain users)
Note
|
Test de l’accès
ssh -l extest\\adminOU myClient |