Intégration d’un poste client dans un domaine AD

Création de l’OU pour le domaine AD

Demander au responsable AD de créer l’objet dans la bonne OU.

Par exemple, nous avons les informations suivantes :

Hostname du poste client     : myClient
Nom du domaine               : EXTEST
Administrateur de l'OU       : adminOU
Password de l'administrateur : *****

Synchronisation du temps

Mettre l’adresse IP de votre router comme serveur de temps :

NTP

Fichiers concernés :

/etc/ntp.conf
/etc/ntp/step-tickers

Logiciels existants

Il existe plusieurs logiciels qui vous simplifie la vie, j’en cite quelques-uns (en remerciant ceux qui me les ont signalés) :

LikewiseOpen : https://help.ubuntu.com/community/LikewiseOpen
PowerBroker  : http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True
Centrify     : http://www.centrify.com/express/linux-unix

RHEL et Fedora

La partie ci-dessous ne concerne que RHEL et Fedora.

Ligne de commande

authconfig --kickstart --enableshadow --enablemd5 \
           --krb5realm=EXTEST.EPFL.CH --krb5kdc=extest.epfl.ch \
           --enablewinbind --enablewinbindauth --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash \
           --enablewinbindusedefaultdomain --disablewinbindoffline \
           --smbworkgroup=EXTEST --smbsecurity=ads --smbrealm=EXTEST.EPFL.CH

Pour Fedora, vérifier que winbind est bien installé :

yum install samba-winbind

Interface graphique

Pour RHEL :

User Information Authentication

Configure Windbind…

Winbinds Settings

Pour Fedora :

Identity & Authentication

Join Domain…

Joining Winbind Domain

Contrôler le fichier Fichier /etc/krb5.conf

[libdefaults]
 default_realm = EXTEST.EPFL.CH
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 #Ubunut 10.04
 allow_weak_crypto = true

[realms]
 EXTEST.EPFL.CH = {
   kdc = extest.epfl.ch
 }

[domain_realm]
 extest.epfl.ch = EXTEST.EPFL.CH
 .extest.epfl.ch = EXTEST.EPFL.CH

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Contrôler le fichier Fichier /etc/samba/smb.conf

Ajouter la ligne winbind nested groups = true :

[global]
   workgroup = EXTEST
   netbios name = myClient
   realm = EXTEST.EPFL.CH
   security = ads
   template homedir = /home/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind nested groups = true
   # Facultatif
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431

Contrôler le fichier /etc/hosts

Ajouter la ligne :

128.178.1.220 myClient.extest.epfl.ch myClient.epfl.ch myClient

Ajouter votre poste dans l’AD

Exécuter la commande suivante :

net --user=adminOU ads join
adminOU's password: *****
Using short domain name -- EXTEST
Joined 'myClient' to realm 'EXTEST.EPFL.CH'

Vérifier l’intégration du poste client :

net ads testjoin
Join is OK

Contrôler l’authentification

Taper la commande suivante :

id adminOU
uid=16777216(adminOU) gid=16777216(domain users) groups=16777216(domain users)

Note	Test de l’accès ssh -l extest\\adminOU myClient