====== Joindre un poste Fedora sur un domaine Active Directory ======

Valable aussi (et surtout) sur un domaine géré par samba 4 bien évidemment. Testé sur Fedora 28.

Dans cet exemple:
  * Le domaine est FWS.FR
  * Le poste à joindre se nomme dani-laptop

===== Installer les paquets =====
<code bash>
dnf install sssd-ad adcli oddjob-mkhomedir krb5-workstation
</code>

===== Configurer sssd =====
<code bash>
export DOMAIN="FWS.FR"
export HOST="laptop-dani"
</code>
<code bash>
export FQDN=$HOST.$(echo $DOMAIN | awk '{ print tolower($0) }')
cat <<_EOF > /etc/sssd/sssd.conf
[sssd]
services = nss, pam, pac
config_file_version = 2
domains = $DOMAIN
default_domain_suffix = $DOMAIN

[nss]
shell_fallback = /bin/false

[pam]

[domain/$DOMAIN]
id_provider = ad
access_provider = ad
ad_hostname = $FQDN
fallback_homedir = /home/%d/%u
default_shell = /bin/false
cache_credentials = true
krb5_store_password_if_offline = true
access_provider = ad
ad_access_filter = (&(objectCategory=person)(objectClass=user)(primaryGroupId=513))
enumerate = true
_EOF
chmod 600 /etc/sssd/sssd.conf
</code>

===== Joindre le domaine =====
<code bash>
adcli join $DOMAIN --host-fqdn=$FQDN
</code>

===== Configurer PAM et NSS =====
<code bash>
authconfig --enablesssd --enablesssdauth --enablemkhomedir --update
</code>

Il vaut mieux s'assurer que sss est utilisé après files dans nsswitch, sinon, plus grand chose ne marche
<code bash>
sed -i -e 's/sss files/files sss/g' /etc/nsswitch.conf
</code>

===== Démarrer et activer sssd =====
<code bash>
systemctl enable --now sssd
</code>

===== Modification SELinux pour les certificats utilisateurs =====
<code bash>
semanage fcontext -a -t home_cert_t "/home/[a-zA-Z\d]+(\.[a-zA-Z\d]+)+?/\w+/.(cert|pki)(/.*)?"
restorecon -Rv /home
</code>