Testé sur RedHat Entreprise Linux 5.2 i386 et x86_64

Prérequis :
-Samba
-Kerberos
-NTP

Synchroniser Server de temps (NTP) sur Serveur Active Directory

éditer le fichier de configuration de NTP
vi /etc/ntp.conf
ajouter :
server activedirectoryserver.domaine.tld
exemple :
server fr-bor-ads01.esi-supinfo.com

Modifier configuration de Kerberos

vi /etc/krb5.conf
modifier domain.tld, DOMAIN.TLD, serveractivedirectory par vos valeurs.
exemple : pour Supinfo domain.tld sera esi-supinfo.com et serveractivedirectory sera
fr-bor-ads01
faire attention à la casse (majuscule, minuscule)
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
#default_realm = EXAMPLE.COM
default_realm = DOMAIN.TLD
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
#EXAMPLE.COM = {
# kdc = kerberos.example.com:88
# admin_server = kerberos.example.com:749
# default_domain = example.com
#}
DOMAIN.TLD = {
kdc = serveractivedirectory.domain.tld
a_server = serveractivedirectory.domain.tld
default_domain = domain.tld
}
[domain_realm]
#.example.com = EXAMPLE.COM
#example.com = EXAMPLE.COM
.kerberos.server = DOMAIN.TLD
.domain.tld = DOMAIN.TLD
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

Modifier configuration SAMBA

éditer le fichier de configuration de samba
vi /etc/samba/smb.conf
modifier DOMAIN, SERVER_AD, domain.tld, DOMAIN.TLD, HOSTNAME, userdelad01, userdelad01
[global]
workgroup = DOMAIN
password server = SERVER_AD.domain.tld
realm = DOMAIN.TLD
security = ADS
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
netbios name = HOSTNAME
preferred master = no
server string = Samba Server version %v
encrypt passwords = yes
log level = 3
log file = /var/log/samba/%m
max log size = 50
printcap name = cups
printing = cups
winbind enum users = Yes
winbind enum groups = Yes
winbind nested groups = Yes
[tmp]
comment = Partage SAMBA de tmp
path= /tmp
# NETWORK+USER_AD @NETWORK+GROUP_AD
Valid Users = NETWORK+userdelad01 NETWORK+userdelad02
writable=yes
browseable=yes

Modifier NSSWITCH

vi /etc/nsswitch.conf
ajouter « winbind » dans les 3 lignes :
passwd: files winbind
shadow: files winbind
group: files winbind

Modifier PAM.D

sauvegarder /etc/pam.d/system-auth-ac :
cp /etc/pam.d/system-auth-ac /etc/pam.d/system-auth-ac.backup
ouvrir 2 sessions root car si jamais le fichier se corrompt on ne
pourra plus se reconnecter
éditer system-auth-ac :
vi /etc/pam.d/system-auth-ac
ajouter les lignes à system-auth-ac (si jamais vous disposez
d’une architecutre x86_64 remplacer « lib » par « lib64″) :
auth sufficient /lib/security/pam_winbind.so use_first_pass
account sufficient /lib/security/pam_winbind.so use_first_pass
password sufficient /lib/security/pam_winbind.so use_first_pass
session required /lib/security/pam_winbind.so use_first_pass
sauvegarder puis essayer de se connecter en root, si jamais
vous n’arrivez pas a vous connecter restaurer le fichier backup
en faisant :
mv /etc/pam.d/system-auth-ac /etc/pam.d/system-auth-ac.error
mv /etc/pam.d/system-auth-ac.backup /etc/pam.d/system-auth-ac

Ajouter la machine au Domaine

Récuperer ticket Kerberos :
remplacer DOMAIN.TLD par le nom de domaine et
administrator par un administrateur du domaine Active
Directory .
kinit administrator@DOMAIN.TLD
taper le mot de passe de l’administrateur du domaine.
Ajouter machine au domaine :
remplacer administrator par un administrateur du domaine
Active Directory.
net ads join -U administrator
taper le mot de passe de l’administrateur du domaine.
stopper service WINBIND :
service winbind stop
redemarrer service SAMBA :
service smb restart
démarrer service WINBIND :
service winbind start

Si vous désirez plus d’informations : http://wiki.samba.org/inde
x.php/Samba_%26_Active_Directory

Mots-clefs : Active Directory, Authentification AD, Kerberos, pam.d, planet-libre, Redhat, Samba, winbind

Cet article a été publié le Jeudi 7 mai 2009 à 23 h 51 min et est classé dans Redhat / CentOS / Fedora. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.