Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Intégration Ubuntu dans un domaine Microsoft AD (multi-LDAP)

volcky

Hello,

J'ai dernièrement joins mes postes Ubuntu(14.041 LTS et 16.04 LTS) à mon domaine LDAP (Microsoft AD) à l'aide des outils SSSD, realmd, Samba, je possède plusieurs AD (environ 15) reparti dans tous le pays et à l'etrangé
Lorsque je tente de joindre mes postes c'est le premier LDAP qui répond qui enregistre mon poste, la gestion et découvertes des sites AD est sans doute mal implémenté voir mal géré par SSSD

Existe-t'il un moyen de lui forcer un serveur ou plusieurs serveurs ou un groupe de serveurs (voir un site AD) ?

Sur la documentation officielle j'ai trouvé : [mais mon soucis c'est que mon client interroge systématique ce LDAP, en cas de défaillance de celui-ci mon poste client ne pourra plus s'authentifier]

vim /etc/sssd/sssd.conf

[domain_realm]
# Define only if DNS lookups are not working
# .ad.example.com = AD.EXAMPLE.COM
# ad.example.com = AD.EXAMPLE.COM

# Uncomment if service discovery is not working
#ldap_uri = ldap://server.ad.example.com/

sources : https://fedorahosted.org/sssd/wiki/Configuring%20sssd%20to%20authenticate%20with%20a%20Windows%202008%20Domain%20Server

Merci d'avance pour vos réponses.

HPIR40

Bonjour

Perso j'implante directement les serveurs par ordre d'importance dans le /etc/network/interfaces du client avec la directive dns-nameservers

Va falloir que je me penche sur la doc de sssd ça va peut être me simplifier la vie.

volcky

Hello HPIR40

Merci pour ta réponse, mes DNS sont déjà correctement configurés et fournis par mon DHCP.

Cdt.

HPIR40

Ben moi aussi 😃

volcky

Hello,

J'ai finalement trouvé une solution 😃 😃 😃

Lors de l'installation automatisé (Kickstart) - je "set" un trigramme par site ex: PAR pour PARIS que j'inscris dans un fichier caché (ex: /root/.SITE)

Volcky a écritJe rentrerai pas dans le détails mais voici deux petits tutos que j'ai réalisé sur la l'automatisation Kickstart Ubuntu :
14.04 LTS
16.04 LTS

Kickstart extrait :

%pre
 # Lecture et mise en variables des paramètres d'installation 
 # Switch TTY
 exec < /dev/tty6 > /dev/tty6
 
 # Switch to TTY6
 chvt 6
 # Vide la console
 clear
 
 # Charge clavier FR (AZERTY) #
 loadkeys fr
 
 # Demande le Hotname #
 echo "Veuillez saisir le Hostname ! "
 read machine
 echo "$machine" > /tmp/hostname_conf

echo "Veuillez saisir le site (Ex : PAR pour PARIS) ! "
read site
echo "$site" > /tmp/site_conf

(...)
%post --nochroot
# Reprise de la définition des variables renseignées car non conservées depuis /tmp/
machine=$(cat /tmp/hostname_conf)
site=$(cat /tmp/site_conf)
echo "$site" > /target/root/.SITE
(...)

Ensuite en fonction du site, je configure SSSD en ciblant le serveur MS AD (LDAP) du site en question, voici un extrait de mon script exécuté dans l'OS :

(...)

# Installation de realmd
apt-get install realmd -y
apt-get install sssd sssd-tools samba-common krb5-user samba-common-bin samba-libs adcli ntp -y


echo " "    
echo " "
echo " +------------------------------------------------------------+"
echo "  | Jonction au domaine AD                                    |"
echo " +------------------------------------------------------------+"
echo " "
echo " "
sleep 3

# Intégration à AD

# Variables
LOC=$(cat /root/.SITE)
AD_USER_PRIV="$1"

echo -n "Merci d'entrer le compte d'un utilisateur AD avec privilèges administrateur ou compte administrateur du domaine: "
read AD_USER_PRIV < /dev/tty
realm discover mondomaine.ext

# Exemples : 
#[PAR] - PARIS
#[LON] - LONDRES
#[MAD] - MADRID

echo " "    
echo " "
echo " +------------------------------------------------------------+"
echo " | Site : $LOC                                                         |"
echo " +------------------------------------------------------------+"
echo " "
echo " "
sleep 5


case $LOC in 

"PAR") 
	realm join ad1.mondomaine.ext --verbose -U $AD_USER_PRIV --computer-ou=OU=Computers_Linux,OU=MyOU,DC=mondomain,DC=ext;;

"LON") 
	realm join ad2.mondomaine.ext --verbose -U $AD_USER_PRIV --computer-ou=OU=Computers_Linux,OU=MyOU,DC=mondomain,DC=ext;;
	
"MAD") 
	realm join ad3.mondomaine.ext --verbose -U $AD_USER_PRIV --computer-ou=OU=Computers_Linux,OU=MyOU,DC=mondomain,DC=ext;;

*) 
	realm join mondomaine.ext --verbose -U $AD_USER_PRIV --computer-ou=OU=Computers_Linux,OU=MyOU,DC=mondomain,DC=ext;;
esac

# Allow all users
realm permit --all


# Configurations Sessions: 

## Deny Guest User Session
echo -e "allow-guest=false\ngreeter-show-manual-login=true" >>/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
          
## PAM
cat << EOF >> /etc/pam.d/common-session
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session [success=ok default=ignore]
EOF

## SSSD + Unity

echo "ad_gpo_map_interactive = +unity" >> /etc/sssd/sssd.conf
echo "ad_gpo_map_permit = +polkit-1" >> /etc/sssd/sssd.conf

(...)