LinuxマシンをActive Directoryに参加させる





●LinuxマシンをActive Directoryに参加させる

 Samba Winbind使用して、Active Directoryに参加させます。

 Active DirectoryのDNSにLinuxマシンを正引きできるよう登録します。
 ここでは例として、以下のようなActive Directoryドメイン環境で設定します。

 ドメイコントローラのホスト名  :  dc.bigbang.dyndns.org
 ドメイコントローラのIPアドレス  :  192.168.0.1
 ドメイン名      :  BIGBANG
 レルム          :  BIGBANG.DYNDNS.ORG
 ホスト名        :  dc(15文字以内)

 Winbindをインストールします。 
# yum -y install samba-winbind samba-winbind-clients pam_krb5
 ADサーバを参照するように/etc/resolv.confを編集します。resolv.confがNetworkManagerで自動更新される場合は、インターフェースを直接編集します。 
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DNS1="xxx.xxx.xxx.xxx" ← ADサーバ1台目のIP
DNS2="yyy.yyy.yyy.yyy" ← ADサーバ2台目のIP
 Winbindを設定します。 
# authconfig --enablekrb5 --krb5kdc=dc.bigbang.dyndns.org --krb5adminserver=dc.bigbang.dyndns.org --krb5realm=BIGBANG.DYNDNS.ORG --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=BIGBANG.DYNDNS.ORG --smbservers=dc.bigbang.dyndns.org --smbworkgroup=BIGBANG --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
getsebool: SELinux is disabled
Job for winbind.service failed. See 'systemctl status winbind.service' and 'journalctl -xn' for details.
 winbind起動失敗エラーが出力れますが、この時点では無視していただいて問題ありません。また、上記により反映されるファイルは/etc/krb5.conf /etc/samba/smb.conf及び/etc/pam.d/system-authです。
 詳細は、こちらを参照してください。
 では、Active Directoryドメインに参加させます。下記の応答があるまで5分以上を要しましたので気長に待ってください。 
# net ads join -U administrator
Enter Serverworld's password:
Using short domain name -- BIGBANG
Joined 'FEDORA22' to dns domain 'bigbang.dyndns.org'
DNS Update for fedora22.bigbang.dyndns.org failed: ERROR_DNS_GSS_ERROR
    (最初は無視してかまいません)
DNS update failed: NT_STATUS_UNSUCCESSFUL
    (最初は無視してかまいません)
 winbindが自動起動するように設定します。 
# systemctl enable winbind 
# systemctl start winbind
 ドメイン情報を表示できるかどうか確認します。 
# net ads info
LDAP server: 192.168.0.1
LDAP server name: dc.bigbang.dyndns.org
Realm: BIGBANG.DYNDNS.ORG
Bind Path: dc=BIGBANG,dc=DYNDNS,dc=ORG
LDAP port: 389
Server time: 月, 25  1月 2016 17:56:06 JST
KDC server: 192.168.0.1
Server time offset: 0
 ADのユーザ情報を表示させます。 
# wbinfo -u
guest
administrator
iusr_star
krbtgt
hoge
 もし、BIGBANG\hogeなどと表示された場合は下記のとおり変更します。 
# vi /etc/samba/smb.conf
[global]
 :
winbind use default domain = true
 :
# systemctl restart winbind
 ADのユーザにスイッチ可能かどうか確認します。 
# su - hoge
Creating directory '/home/hoge'.