Intégrer une Station Debian à un domaine Active Directory

Intégrer une Station Debian à un domaine Active Directory

  • Préparer un serveur 2019 avec un AD
  • Respecter les prérequis habituels
  • Mettre en place une structure AD de test avec quelques UO et Users
  • Installer un Debian 10/11 sur le même Réseau

Le but final est de pouvoir s’authentifier avec un utilisateur de l’Active directory en graphique sur la station Debian.

Dans un second temps il sera possible d’affiner le paramétrage de Samba pour optimiser les liens entre serveur de fichier et les objets de l’Active Directory

Les prérequis du serveur Debian sont les mêmes qu’un Membre Active Directory qui serait paramétré sur un Serveur Microsoft ( IP, DNS,Nom du Serveur etc)

Packages nécessaires sur la Debian:

apt install packagekit samba-common-bin sssd-tools sssd libnss-sss libpam-sss policykit-1 sssd ntpdate ntp realmd

Les paquets installés permettent de contacter l’annuaire LDAP, prendre en charge Kerberos, et des outils pour effectuer des actions sur l’AD.
Il faut aussi s’assurer que le DNS de la Debian est configuré, et pointe bien sur le contrôleur de domaine.
Si le DNS et le suffixe ne sont pas donnés par le DHCP ou qu’on est dans une configuration IP Statique

Editer le fichier Resolv.conf

nano /etc/resolv.conf
##attention au reboot de la machine
##dans le fichier resolv.conf
search tontonfred.adds
nameserver 192.168.21.222

Editer le fichier hostname

nano /etc/hostname
## attention
## mettre le nom en FQDN
## fully qualified domain name
stationlinux.tontonfred.adds

Tester la resolution DNS avec un ping du domaine

Ping tontonfred.adds

il doit vous répondre avec l’ip du SERVEUR DNS

Si ce n’est pas le cas refaire revoir les étapes précédentes


Joindre le système au domaine Windows

realm join --user=administrateur tontonfred.adds
Password for administrateur:

Le mot de passe de l’administrateur du domaine est demandé.
Le compte AD utilisé doit posséder les droits de faire adhérer des machines au domaine.
Les fichiers /etc/sssd/sssd.conf , /etc/krb.conf et /etc/krb5.keytab seront configurés automatiquement grâce à la commande ci-dessus. ici il ya une énorme différence avec les versions précédente de Linux et Samba

realm list

Vous devriez avoir un truc qui ressemble à ceci :

tontonfred.adds
  type: kerberos
  realm-name: TONTONFRED.ADDS
  domain-name: tontonfred.adds
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %U@tontonfred.adds
  login-policy: allow-realm-logins

Faire vérification dans l’AD que la machine est apparue

Pour vérifier les comptes qui peuvent se connecter à cette Debian on peut utiliser la commande id :

id utilisateur@tontonfred.adds

La commande doit vous renvoyer les informations sur l’utilisateur si ce n’est pas le cas reprendre les étapes précédentes

Ensuite il devrait être possible de se connecter avec un utilisateur de l’AD sur la station Debian en mode graphique en utilisant un login de type : utilisateur@tontonfred.adds

www.pdf24.org    Envoyer l'article en PDF   
Posted on: 17 décembre 2021tontonfred