Rôle ADJOIN

Ce rôle permet de joindre une machine Debian ou RedHat à un ou plusieurs domaines Active Directory. Pour utiliser ce rôle, vous avez besoin de ce qui suit :

Côté Windows :

• Domaine AD configuré et prêt à l'emploi
• Assurez-vous que les enregistrements DNS pour le domaine sont correctement configurés
• Un compte utilisateur avec suffisamment de privilèges pour créer des objets ordinateur

Côté Linux :

• Accès administratif à votre système client
• Horloges synchronisées avec le contrôleur de domaine AD sur le client

Étapes de configuration

Ce rôle configurer les programmes suivants pour préparer votre système à l'authentification AD :

• Kerberos
• Oddjob (uniquement pour RHEL)
• OpenLDAP
• PAM
• Samba
• SSSD

Chaque fois que ce rôle est exécuté, il vérifiera la validité de la jonction avec le domaine AD. Lorsque cette vérification échoue, il essayera automatiquement de rejoindre le domaine à nouveau avec les identifiants configurés.

Il configurera également les permissions sudo pour un groupe AD spécifié par l'utilisateur. Les permissions par défaut accordées à ce groupe sont :

ALL=(ALL) ALL:NOPASSWD

Il y a 2 raisons à cela :

• Associé à une authentification forte via Kerberos, la valeur ajoutée d'un mot de passe est négligeable.
• Cela permet d'avoir la même expérience SSO en utilisant les clés SSH directement en tant qu'utilisateur root.

Utilisation

Après avoir rempli les conditions ci-dessus, ce rôle peut être utilisé comme suit :

• Installez le rôle (soit depuis Galaxy, soit directement depuis GitHub)
• Copiez le fichier par défaut dans votre inventaire (ou où que vous les stockiez) et remplissez les informations requises
• Ajoutez le rôle à votre playbook principal
• Exécutez Ansible
• ???
• Profitez-en !