Intégration serveur Centos 7 dans un domaine Windows

Intégration serveur Centos 7 dans un domaine Windows

Il est très utile parfois d’intégrer un serveur linux dans un domaine Windows pour, par exemple, se connecter en ssh avec un compte de domaine.

Avant toute chose, il faut mettre à jour le système :

Yum update

Installation des dépendances :

yum install realmd oddjob oddjob-mkhomedir sssd samba-common-tools adcli ntp ntpdate krb5-workstation openldap-clients policycoreutils-python

Configuration du serveur de temps :

Si ce n’est pas déja fait, il faut configurer le/les serveurs de temps (souvent ce sont les serveurs AD qui sont utilisés). Il faut tout d’abord arrêter le démon ntpd :

systemctl stop ntpd

On édite le fichier de configuration :

vi /etc/ntp.conf

Et on modifie les noms de domaine qui se trouvent après server :

ex : server mondomain.local

Ensuite on relance le service ntpd:

intégration au domaine :

realm join -U « administrateur » –computer-ou= » OU=linux,OU=Serveurs,DC=mondomaine,DC=local » mondomaine.local

Vous devez utiliser cette commande avec le compte administrateur du domaine (j’ai testé avec un compte membre du groupe administrateurs du domaine sans succès). Le paramètre –computer-ou= n’est pas obligatoire mais permet d’indiquer la bonne OU du domaine où placer le serveur.

Modification format de login de connexion :

Pour se connecter avec un login de la forme admin_nom (sans à avoir à préciser le nom de domaine @domain.local), éditer le fichier /etc/sssd/sssd.conf  et modifier la variable comme ci-dessous :

use_fully_qualified_names = False

Relancer le service :

systemctl restart sssd.service

Autoriser le groupe AD Grp_admins_Users  à se connecter en ssh :

realm permit -g Grp_admins_Users

Ajouter le groupe au fichier sudoers :

editer le fichier sudoers avec la commande visudo pui sajouter la ligne :

%Grp_admins_Users ALL=(ALL)       NOPASSWD:  ALL

explications : les membres du groupe AD Grp_admins_Users sont autorisés à executer n’importe quelles commandes depuis n’importe quel hôte sans s’authentifier (il ne s’agit que d’un exemple, évitez ces autorisations sur un serveur critique !! ).

Le serveur est désormais intégré à l’AD mais l’entrée DNS n’est pas créée. Il faut l’ajouter manuellement.

Commandes utiles :

  • sss_cache –E : en cas de pb de connexion, il peut être utile de vider le cache sssd.
  • realm list : afficher les parametres de connexion (dont le groupe autorisé à se connecter)
  • realm leave domain.local : sortir le serveur du domaine domain.local
  • systemctl restart sssd.service : relancer le service sssd à chaque modifiaction des paramètres

lien officiel CentOS

A VOIR AUSSI : Installation Nextcloud

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *