1 – Configuration de Kerberos
Installer les paquets nécessaires :
apt install krb5-user libpam-krb5Configurer Kerberos : fichier /etc/krb5.conf
libdefaults]
default_realm = TURGOT-PARIS.FR
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
[realms]
TURGOT-PARIS.FR = {
kdc = hapi.turgot-paris.fr
admin_server = hapi.turgot-paris.fr
}
[domain_realm]
.turgot-paris.fr = TURGOT-PARIS.FR
turgot-paris.fr = TURGOT-PARIS.FRTest de la connexion :
root@debian:~# kinit Administrateur@TURGOT-PARIS.FR
Password for Administrateur@TURGOT-PARIS.FR:
root@debian:~#Attention, le nom de domaine doit être saisi en MAJUSCULE. Si c’est le cas, HAPI demande la saisie du mot de passe.
Lister le ou les ticket(s) obtenus :
root@debian:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrateur@TURGOT-PARIS.FR
Valid starting Expires Service principal
10/08/2025 21:15:21 11/08/2025 07:15:21 krbtgt/TURGOT-PARIS.FR@TURGOT-PARIS.FR
renew until 17/08/2025 21:15:12
root@debian:~#
Tout va bien. On passe à la suite.
2 – Ajouter le serveur au domaine
Installation des paquets suivants :
apt install winbind sambaOn configure Samba. Fichier : /etc/samba/smb.conf
[global]
workgroup = TURGOT-PARIS
security = ads
realm = turgot-paris.fr
password server = hapi.turgot-paris.fr
template homedir = /home/%D/%U
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
domain master = no
local master = no
prefered master = no
os level = 0
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431On redémarre :
systemctl stop winbind
systemctl restart smbdJonction au domaine :
net ads join -U AdministrateurUn message annonce que la machine est jointe au domaine.
Remarque : au préalable, j’ai inscrit la machine dans le DNS (nouvel hôte). Sinon, nous obtenons un message qui explique que la machine ne s’est pas inscrite dans le DNS, mais la jonction au domaine est opérationnelle.
Des vérifications :
net ads infoRedémarrer Winbind :
systemctl restart winbindLister les utilisateurs :
wbinfo -uAfficher les groupes :
wbinfo -gLe serveur Debian est correctement intégré.
3 – Mapping des utilisateurs
L’objectif est de mapper les utilisateurs AD et Linux.
Installation des paquets nécessaires :
apt install libnss-winbindOn vérifie le fichier : /etc/nsswitch.conf :
passwd: files systemd winbind
group: files systemd winbind
Tests :
getent passwd
getent group4 – Configurer PAM
Installation des paquets nécessaires :
apt install libpam-winbindON met à jour PAM :
pam-auth-updateToutes les cases doivent être cochées (notamment celle qui permet la création du dossier de l’utilisateur).
Test 1 : Connexion locale :
su - test1
Création du répertoire « /home/TURGOT-PARIS/test1 ».Test 2 : Connexion (par ssh par exemple) :
P:>ssh test2@10.31.0.105
test2@10.31.0.105's password:
Creating directory '/home/TURGOT-PARIS/test2'.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
test2@debian:~$ pwd
/home/TURGOT-PARIS/test2
Tout est fonctionnel.
5 – Configurer des groupes comme sudoers
Il est possible d’utiliser un groupe par défaut déjà présent dans Active Directory.
Si vous avez un nom de groupe avec des espaces, on échappe les espaces avec l’antislash :
%admins\ du\ domaine@turgot-paris.fr ALL=(ALL) ALL6 – Quitter le domaine Active directory
root@almalinux:~# realm leave -U Administrateur TURGOT-PARIS.FRLa machine sera retirée de l’AD et les fichiers de config sur Debian seront remis à leur valeur par défaut.