Intégrer des machines Linux dans le domaine Samba-AD

Serveurs RedHat8 sans couche graphique

• Installer les paquets nécessaires pour Redhat :

  yum install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
  

• Installer les paquets NTP et faire pointer NTP sur un contrôleur de domaine :

  yum install ntpdate ntpd
  ntpdate -bu srvads1.mydomain.lan
  

Serveurs Debian / Ubuntu sans couche graphique

Note

Nous supposons que la machine aura été installée en suivant cette procédure pour Debian :

apt-get install realmd sssd oddjob oddjob-mkhomedir adcli samba-common packagekit sssd-tools

• Installer les paquets NTP et faire pointer NTP sur un contrôleur de domaine :

apt-get install ntpdate ntpd
ntpdate -bu srvads1.mydomain.lan

Joindre la machine Linux au domaine

realm join --user=administrator ad.mydomain.lan

• Modifier /etc/sssd/sssd.conf :

  [sssd]
  domains = mydomain.lan
  config_file_version = 2
  services = nss, pam
  
  [domain/mydomain.lan]
  enumerate = true
  ad_domain = mydomain.lan
  krb5_realm = MYDOMAIN.LAN
  realmd_tags = manages-system joined-with-samba
  cache_credentials = True
  id_provider = ad
  krb5_store_password_if_offline = True
  default_shell = /bin/bash
  ldap_id_mapping = True
  use_fully_qualified_names = False
  fallback_homedir = /home/%u@%d
  access_provider = ad
  auth_provider = ad
  override_shell= /bin/bash
  override_homedir = /home/homes/%u
  ad_gpo_access_control = disabled
  enumerate = true
  

• Si vous êtes en RFC2307, ajouter dans la section [domain] :

  ldap_id_mapping = False
  

• Si vous êtes en RID, ajouter dans la section [domain] :

  ldap_id_mapping = True
  ldap_idmap_autorid_compat = true
  ldap_idmap_range_min = 10000
  

• Enfin, forcer la suppression du mapping existant :

  rm -f /var/lib/sss/db/cache_mydomain.lan.ldb
  

• Sur un système basé sur Debian, vous devez reconfiguier pam :

  pam-auth-update
  

• Et cocher la case « Create home directory on login ».