Skip to content

🔗 Machine Linux sous contrôleur de domaine (AD)

Cette section décrit les étapes nécessaires pour intégrer une machine Linux dans un Active Directory (AD).


Pré-requis

Avant d'intégrer la machine Linux à l'AD, assurez-vous des points suivants :

  • Résolution DNS : le serveur DNS de la machine doit pointer vers le contrôleur de domaine AD.

  • Installer les paquets nécessaires :

Sur Debian/Ubuntu :

sudo apt-get install -y realmd sssd sssd-tools adcli krb5-user

Sur RHEL/CentOS/Rocky :

sudo yum install -y realmd sssd adcli krb5-workstation

1. Préparer la machine

Arrêter le service sssd s'il est en cours d'exécution :

sudo systemctl stop sssd

Supprimer les fichiers Kerberos et les bases de données SSSD :

sudo rm -rf /etc/krb5.keytab
sudo rm -rf /var/lib/sss/db/*
sudo rm -f /tmp/krb5*

2. Ajouter la machine au domaine

Vérifier que le domaine est accessible :

realm discover entreprise.corp

Rejoindre le domaine (remplacer <USER> par un compte AD autorisé à joindre des machines) :

realm join --user=<USER> entreprise.corp

Saisir le mot de passe du compte AD lorsqu'il est demandé. La machine est inscrite dans l'OU Computers par défaut.


3. Déplacer la machine dans l'OU appropriée

Après l'ajout au domaine, déplacez la machine dans l'Unité d'Organisation (OU) via Active Directory Users and Computers.


4. Vérifier les services

Après le redémarrage, vérifiez que les services nécessaires (sssd, krb5, etc.) sont opérationnels.


Remettre une machine sous gestion Active Directory

  1. Vérifier le statut de SSSD :
systemctl status sssd
  1. Quitter le domaine actuel :
realm leave
  1. Lister les domaines disponibles :
realm list
  1. Joindre le nouveau domaine :
realm join entreprise.corp -U <USER>
  1. Détruire les tickets Kerberos existants :
kdestroy
  1. Redémarrer le service SSSD :
service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start
  1. Vérifier les domaines après le redémarrage :
realm list
  1. Initialiser un nouveau ticket Kerberos :
kinit <USER>
  1. Lister les tickets Kerberos :
klist
  1. Vérifier les fichiers de configuration Kerberos :

    ls -la /etc/ | grep krb5