●LinuxマシンをActive Directoryに参加させる
Samba Winbind使用して、Active Directoryに参加させます。
Active DirectoryのDNSにLinuxマシンを正引きできるよう登録します。
ここでは例として、以下のようなActive Directoryドメイン環境で設定します。
ドメイコントローラのホスト名 : dc.bigbang.dyndns.org
ドメイコントローラのIPアドレス : 192.168.0.1
ドメイン名 : BIGBANG
レルム : BIGBANG.DYNDNS.ORG
ホスト名 : dc(15文字以内)
Winbindをインストールします。
# yum -y install samba-winbind samba-winbind-clients pam_krb5ADサーバを参照するように/etc/resolv.confを編集します。resolv.confがNetworkManagerで自動更新される場合は、インターフェースを直接編集します。
# vi /etc/sysconfig/network-scripts/ifcfg-eth0 DNS1="xxx.xxx.xxx.xxx" ← ADサーバ1台目のIP DNS2="yyy.yyy.yyy.yyy" ← ADサーバ2台目のIPWinbindを設定します。
# authconfig --enablekrb5 --krb5kdc=dc.bigbang.dyndns.org --krb5adminserver=dc.bigbang.dyndns.org --krb5realm=BIGBANG.DYNDNS.ORG --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=BIGBANG.DYNDNS.ORG --smbservers=dc.bigbang.dyndns.org --smbworkgroup=BIGBANG --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update getsebool: SELinux is disabled Job for winbind.service failed. See 'systemctl status winbind.service' and 'journalctl -xn' for details.winbind起動失敗エラーが出力れますが、この時点では無視していただいて問題ありません。また、上記により反映されるファイルは/etc/krb5.conf /etc/samba/smb.conf及び/etc/pam.d/system-authです。
詳細は、こちらを参照してください。
では、Active Directoryドメインに参加させます。下記の応答があるまで5分以上を要しましたので気長に待ってください。
# net ads join -U administrator Enter Serverworld's password: Using short domain name -- BIGBANG Joined 'FEDORA22' to dns domain 'bigbang.dyndns.org' DNS Update for fedora22.bigbang.dyndns.org failed: ERROR_DNS_GSS_ERROR (最初は無視してかまいません) DNS update failed: NT_STATUS_UNSUCCESSFUL (最初は無視してかまいません)winbindが自動起動するように設定します。
# systemctl enable winbind # systemctl start winbindドメイン情報を表示できるかどうか確認します。
# net ads info LDAP server: 192.168.0.1 LDAP server name: dc.bigbang.dyndns.org Realm: BIGBANG.DYNDNS.ORG Bind Path: dc=BIGBANG,dc=DYNDNS,dc=ORG LDAP port: 389 Server time: 月, 25 1月 2016 17:56:06 JST KDC server: 192.168.0.1 Server time offset: 0ADのユーザ情報を表示させます。
# wbinfo -u guest administrator iusr_star krbtgt hogeもし、BIGBANG\hogeなどと表示された場合は下記のとおり変更します。
# vi /etc/samba/smb.conf [global] : winbind use default domain = true : # systemctl restart winbindADのユーザにスイッチ可能かどうか確認します。
# su - hoge Creating directory '/home/hoge'.