2.4. Joindre un système RHEL à un domaine AD

Procédure

1. Si votre AD nécessite le type de chiffrement RC4, obsolète, pour l'authentification Kerberos, activez la prise en charge de ces algorithmes de chiffrement dans RHEL :

   # update-crypto-policies --set DEFAULT:AD-SUPPORT

2. Install the following packages:

   # dnf install realmd oddjob-mkhomedir oddjob samba-winbind-clients \
          samba-winbind samba-common-tools samba-winbind-krb5-locator

3. Pour partager des répertoires ou des imprimantes sur le membre du domaine, installez le paquet samba:

   # dnf install samba

4. Sauvegarder le fichier de configuration de /etc/samba/smb.conf Samba existant :

   # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

5. Rejoindre le domaine. Par exemple, pour rejoindre un domaine nommé ad.example.com:

   # realm join --membership-software=samba --client-software=winbind ad.example.com

   En utilisant la commande précédente, l'utilitaire realm s'affiche automatiquement :

   • Crée un fichier /etc/samba/smb.conf pour un membre du domaine ad.example.com
   • Ajoute le module winbind pour les recherches d'utilisateurs et de groupes au fichier /etc/nsswitch.conf
   • Met à jour les fichiers de configuration du module d'authentification enfichable (PAM) dans le répertoire /etc/pam.d/
   • Démarre le service winbind et permet au service de démarrer lorsque le système démarre
6. Il est possible de définir un autre back-end de mappage d'identifiants ou des paramètres de mappage d'identifiants personnalisés dans le fichier /etc/samba/smb.conf.

1. Modifiez le fichier /etc/krb5.conf et ajoutez la section suivante :

   [plugins]
       localauth = {
           module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
           enable_only = winbind
       }

2. Vérifiez que le service winbind est en cours d'exécution :

   # systemctl status winbind
   ...
      Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago

   Important

   Pour permettre à Samba d'interroger les informations sur les utilisateurs et les groupes du domaine, le service winbind doit être en cours d'exécution avant que vous ne lanciez smb.

3. Si vous avez installé le paquetage samba pour partager des répertoires et des imprimantes, activez et démarrez le service smb:

   # systemctl enable --now smb

Verification steps

1. Afficher les détails d'un utilisateur AD, tel que le compte administrateur AD dans le domaine AD :

   # getent passwd "AD\administrator"
   AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash

2. Interroger les membres du groupe des utilisateurs du domaine dans le domaine AD :

   # getent group "AD\Domain Users"
       AD\domain users:x:10000:user1,user2

3. Si vous le souhaitez, vérifiez que vous pouvez utiliser les utilisateurs et les groupes du domaine lorsque vous définissez les autorisations sur les fichiers et les répertoires. Par exemple, pour définir le propriétaire du fichier /srv/samba/example.txt comme étant AD\administrator et le groupe comme étant AD\Domain Users:

   # chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt

4. Vérifiez que l'authentification Kerberos fonctionne comme prévu :

   1. Sur le membre du domaine AD, obtenez un ticket pour le principal administrator@AD.EXAMPLE.COM:

      # kinit administrator@AD.EXAMPLE.COM

   2. Affiche le ticket Kerberos mis en cache :

      # klist
      Ticket cache: KCM:0
      Default principal: administrator@AD.EXAMPLE.COM
      
      Valid starting       Expires              Service principal
      01.11.2018 10:00:00  01.11.2018 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
              renew until 08.11.2018 05:00:00

5. Affichez les domaines disponibles :

   # wbinfo --all-domains
   BUILTIN
   SAMBA-SERVER
   AD