Intégrer des machines Linux dans le domaine Samba-AD

Serveurs RedHat8 sans couche graphique

  • Installer les paquets nécessaires pour Redhat :

    yum install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
    
  • Installer les paquets NTP et faire pointer NTP sur un contrôleur de domaine :

    yum install ntpdate ntpd
    ntpdate -bu srvads1.mydomain.lan
    

Serveurs Debian / Ubuntu sans couche graphique

Note

Nous supposons que la machine aura été installée en suivant cette procédure pour Debian :

apt-get install realmd sssd oddjob oddjob-mkhomedir adcli samba-common packagekit sssd-tools
  • Installer les paquets NTP et faire pointer NTP sur un contrôleur de domaine :

apt-get install ntpdate ntpd
ntpdate -bu srvads1.mydomain.lan

Joindre la machine Linux au domaine

realm join --user=administrator ad.mydomain.lan
  • Modifier /etc/sssd/sssd.conf :

    [sssd]
    domains = mydomain.lan
    config_file_version = 2
    services = nss, pam
    
    [domain/mydomain.lan]
    enumerate = true
    ad_domain = mydomain.lan
    krb5_realm = MYDOMAIN.LAN
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False
    fallback_homedir = /home/%u@%d
    access_provider = ad
    auth_provider = ad
    override_shell= /bin/bash
    override_homedir = /home/homes/%u
    ad_gpo_access_control = disabled
    enumerate = true
    
  • Si vous êtes en RFC2307, ajouter dans la section [domain] :

    ldap_id_mapping = False
    
  • Si vous êtes en RID, ajouter dans la section [domain] :

    ldap_id_mapping = True
    ldap_idmap_autorid_compat = true
    ldap_idmap_range_min = 10000
    
  • Enfin, forcer la suppression du mapping existant :

    rm -f /var/lib/sss/db/cache_mydomain.lan.ldb
    
  • Sur un système basé sur Debian, vous devez reconfiguier pam :

    pam-auth-update
    
  • Et cocher la case « Create home directory on login ».