🔗 Machine Linux sous contrôleur de domaine (AD)¶
Cette section décrit les étapes nécessaires pour intégrer une machine Linux dans un Active Directory (AD).
Pré-requis¶
Avant d'intégrer la machine Linux à l'AD, assurez-vous des points suivants :
-
Résolution DNS : le serveur DNS de la machine doit pointer vers le contrôleur de domaine AD.
-
Installer les paquets nécessaires :
Sur Debian/Ubuntu :
sudo apt-get install -y realmd sssd sssd-tools adcli krb5-user
Sur RHEL/CentOS/Rocky :
sudo yum install -y realmd sssd adcli krb5-workstation
1. Préparer la machine¶
Arrêter le service sssd s'il est en cours d'exécution :
sudo systemctl stop sssd
Supprimer les fichiers Kerberos et les bases de données SSSD :
sudo rm -rf /etc/krb5.keytab
sudo rm -rf /var/lib/sss/db/*
sudo rm -f /tmp/krb5*
2. Ajouter la machine au domaine¶
Vérifier que le domaine est accessible :
realm discover entreprise.corp
Rejoindre le domaine (remplacer <USER> par un compte AD autorisé à joindre des machines) :
realm join --user=<USER> entreprise.corp
Saisir le mot de passe du compte AD lorsqu'il est demandé. La machine est inscrite dans l'OU Computers par défaut.
3. Déplacer la machine dans l'OU appropriée¶
Après l'ajout au domaine, déplacez la machine dans l'Unité d'Organisation (OU) via Active Directory Users and Computers.
4. Vérifier les services¶
Après le redémarrage, vérifiez que les services nécessaires (sssd, krb5, etc.) sont opérationnels.
Remettre une machine sous gestion Active Directory¶
- Vérifier le statut de SSSD :
systemctl status sssd
- Quitter le domaine actuel :
realm leave
- Lister les domaines disponibles :
realm list
- Joindre le nouveau domaine :
realm join entreprise.corp -U <USER>
- Détruire les tickets Kerberos existants :
kdestroy
- Redémarrer le service SSSD :
service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start
- Vérifier les domaines après le redémarrage :
realm list
- Initialiser un nouveau ticket Kerberos :
kinit <USER>
- Lister les tickets Kerberos :
klist
-
Vérifier les fichiers de configuration Kerberos :
ls -la /etc/ | grep krb5