Création de l’OU pour le domaine AD

Demander au responsable AD de créer l’objet dans la bonne OU.

Par exemple, nous avons les informations suivantes :

Hostname du poste client     : myClient
Nom du domaine               : EXTEST
Administrateur de l'OU       : adminOU
Password de l'administrateur : *****

Synchronisation du temps

Mettre l’adresse IP de votre router comme serveur de temps :

NTP

Fichiers concernés :

/etc/ntp.conf
/etc/ntp/step-tickers

Logiciels existants

Il existe plusieurs logiciels qui vous simplifie la vie, j’en cite quelques-uns (en remerciant ceux qui me les ont signalés) :

LikewiseOpen : https://help.ubuntu.com/community/LikewiseOpen
PowerBroker  : http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True
Centrify     : http://www.centrify.com/express/linux-unix

RHEL et Fedora

La partie ci-dessous ne concerne que RHEL et Fedora.

Ligne de commande

authconfig --kickstart --enableshadow --enablemd5 \
           --krb5realm=EXTEST.EPFL.CH --krb5kdc=extest.epfl.ch \
           --enablewinbind --enablewinbindauth --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash \
           --enablewinbindusedefaultdomain --disablewinbindoffline \
           --smbworkgroup=EXTEST --smbsecurity=ads --smbrealm=EXTEST.EPFL.CH

Pour Fedora, vérifier que winbind est bien installé :

yum install samba-winbind

Interface graphique

Pour RHEL :

User Information Authentication

Configure Windbind…

Winbinds Settings

Pour Fedora :

Identity & Authentication

Join Domain…

Joining Winbind Domain

Contrôler le fichier Fichier /etc/krb5.conf

[libdefaults]
 default_realm = EXTEST.EPFL.CH
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 #Ubunut 10.04
 allow_weak_crypto = true

[realms]
 EXTEST.EPFL.CH = {
   kdc = extest.epfl.ch
 }

[domain_realm]
 extest.epfl.ch = EXTEST.EPFL.CH
 .extest.epfl.ch = EXTEST.EPFL.CH

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Contrôler le fichier Fichier /etc/samba/smb.conf

Ajouter la ligne winbind nested groups = true :

[global]
   workgroup = EXTEST
   netbios name = myClient
   realm = EXTEST.EPFL.CH
   security = ads
   template homedir = /home/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind nested groups = true
   # Facultatif
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431

Contrôler le fichier /etc/hosts

Ajouter la ligne :

128.178.1.220 myClient.extest.epfl.ch myClient.epfl.ch myClient

Ajouter votre poste dans l’AD

Exécuter la commande suivante :

net --user=adminOU ads join
adminOU's password: *****
Using short domain name -- EXTEST
Joined 'myClient' to realm 'EXTEST.EPFL.CH'

Vérifier l’intégration du poste client :

net ads testjoin
Join is OK

Contrôler l’authentification

Taper la commande suivante :

id adminOU
uid=16777216(adminOU) gid=16777216(domain users) groups=16777216(domain users)
Note
Test de l’accès

ssh -l extest\\adminOU myClient