🔧 Joindre un domaine Active Directory sous Linux (RHEL / Ubuntu)

Introduction

Dans un environnement professionnel, il est courant d’intĂ©grer des serveurs Linux dans une infrastructure Active Directory afin de centraliser l’authentification et simplifier la gestion des accĂšs.

Ce guide détaille comment joindre un domaine Active Directory sous Linux, configurer SSSD et permettre aux utilisateurs AD de se connecter directement au systÚme.

Pourquoi intégrer Linux à Active Directory ?

L’intĂ©gration d’un serveur Linux Ă  Active Directory permet :

  • Une centralisation des identitĂ©s utilisateurs
  • Une rĂ©duction des comptes locaux
  • Une gestion simplifiĂ©e des accĂšs
  • Une compatibilitĂ© avec les politiques de sĂ©curitĂ© existantes

C’est une pratique standard dans les architectures hybrides modernes.

Prérequis

Avant de commencer, vérifiez les points suivants :

  • Serveur Linux (Debian, Ubuntu, RHEL, AlmaLinux
)
  • AccĂšs rĂ©seau au contrĂŽleur de domaine
  • DNS configurĂ© vers l’Active Directory
  • Synchronisation NTP fonctionnelle
  • Compte avec droits pour joindre le domaine

Installation des dépendances

Debian / Ubuntu

apt update
apt install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

RHEL / CentOS / AlmaLinux

dnf install realmd sssd adcli samba-common-tools oddjob oddjob-mkhomedir

DĂ©couverte du domaine Active Directory

Avant l’intĂ©gration, vĂ©rifier que le domaine est dĂ©tectĂ© :

realm discover domaine.local

Si tout est correctement configurĂ© (DNS notamment), les informations du domaine doivent s’afficher.

Joindre le domaine Active Directory

Commande principale :

realm join domaine.local -U administrateur

Une fois l’opĂ©ration terminĂ©e, vĂ©rifier :

realm list

Configuration de l’authentification avec SSSD

Le service SSSD (System Security Services Daemon) gĂšre l’authentification et la rĂ©cupĂ©ration des utilisateurs.

Fichier de configuration :

/etc/sssd/sssd.conf

Exemple :

[sssd]
services = nss, pam
config_file_version = 2
domains = domaine.local

[domain/domaine.local]
id_provider = ad 
access_provider = ad 
override_homedir = /home/%u 
default_shell = /bin/bash

Redémarrage :

systemctl restart sssd

Création automatique du home directory

Pour créer le dossier utilisateur à la premiÚre connexion :

pam-auth-update

Activer :

Create home directory on login

Ou configurer manuellement :

auth required pam_mkhomedir.so skel=/etc/skel/ umask=0077

Tester l’authentification Active Directory

VĂ©rifier qu’un utilisateur AD est bien reconnu :

id utilisateur@domaine.local

Connexion :

ssh utilisateur@serveur

Restreindre l’accĂšs aux utilisateurs autorisĂ©s

Pour limiter l’accùs :

realm permit utilisateur@domaine.local

Ou pour un groupe :

realm permit -g admins_linux

DĂ©pannage : erreurs courantes

DNS mal configuré

La majoritĂ© des problĂšmes provient d’une mauvaise rĂ©solution DNS.

DĂ©synchronisation horaire

Kerberos nécessite une horloge parfaitement synchronisée.

Services non démarrés

VĂ©rifier :

systemctl status sssd

Logs utiles

/var/log/sssd/

Bonnes pratiques

  • Restreindre l’accĂšs via groupes AD
  • Monitorer les connexions (logs)
  • IntĂ©grer dans un processus d’industrialisation (Ansible, Terraform
)
  • Documenter la configuration dans votre SI

Conclusion

Joindre un serveur Linux Ă  un domaine Active Directory est une Ă©tape clĂ© pour standardiser l’authentification dans une infrastructure professionnelle.

Avec une configuration basĂ©e sur realmd + SSSD, vous obtenez une solution robuste, maintenable et alignĂ©e avec les pratiques modernes d’administration systĂšme.