FreeIPA : FreeIPA ユーザーで Windows ログオン2018/12/26

FreeIPA ユーザーアカウントで Windows にログオンできるよう設定します。
当例では以下のような環境を例にします。

+----------------------+          |           +----------------------+
| [ FreeIPA (CentOS) ] |10.0.0.30 | 10.0.0.100|  [ Windows (2016) ]  |
|  dlp.ipa.srv.world   +----------+-----------+  fd3s.ipa.srv.world  |
|                      |                      |                      |
+----------------------+                      +----------------------+

[1]	FreeIPA サーバー上で Windows ホストを登録しておきます。また、Kerberos プリンシパル用の Keytab を取得しておきます。

[root@dlp ~]#

ipa host-add fd3s.ipa.srv.world --ip-address=10.0.0.100

-------------------------------
Added host "fd3s.ipa.srv.world"
-------------------------------
  Host name: fd3s.ipa.srv.world
  Principal name: host/fd3s.ipa.srv.world@IPA.SRV.WORLD
  Principal alias: host/fd3s.ipa.srv.world@IPA.SRV.WORLD
  Password: False
  Keytab: False
  Managed by: fd3s.ipa.srv.world

# ipa-getkeytab -s [FreeIPAサーバー] -p [Kerberosサービスプリンシパル名] -e [暗号化タイプ] -k [Keytabファイル] -P

[root@dlp ~]#

ipa-getkeytab -s dlp.ipa.srv.world -p host/fd3s.ipa.srv.world -e arcfour-hmac -k /etc/krb5.keytab.fd3s -P

New Principal Password:     # 任意のプリンシパルパスワード設定
Verify Principal Password:
Keytab successfully retrieved and stored in: /etc/krb5.keytab.fd3s

[2]

Windows 側の設定です。
コマンドプロンプトまたはパワーシェルを管理者で起動し、以下のようにコマンドを投入します。


> ksetup /setdomain [REALM]
> ksetup /addkdc [REALM] [KDC]
> ksetup /addkpasswd [REALM] [KDC]
> ksetup /setcomputerpassword [PASSWORD]
> ksetup /mapuser * *

REALM => FreeIPA サーバーのレルム名
KDC => Key Distribution Center (当例では FreeIPA サーバー)

[3]	次に [gpedit.msc] とコマンドを入力してグループポリシーエディターを起動し、 [Windows の設定] - [セキュリティの設定] - [ローカルポリシー] - [セキュリティオプション] をクリックして、 [Kerberos で許可する暗号化の種類を構成する] を開きます。

[4]	以下のようにチェックを入れて適用します。その後、一旦システムを再起動します。

[5]	FreeIPA サーバーと Windows との ID マッピング用に、FreeIPA サーバー側に登録済みのユーザーと同名のユーザーを Windows ローカルに作成します。認証の際のパスワードは FreeIPA サーバー側のユーザーアカウントのパスワードが使用されるため、ローカルパスワードは使用されることのない不要なものですが、設定していないと、既定の設定ではパスワード無しでコンソールログオンはできてしまうため、コンソールログオンできない状態にするか、あるいは、推測されにくい適当なパスワードを無期限で設定しておいた方がよいでしょう。

[6]	ログオフして、FreeIPA サーバーのユーザーアカウントで認証します。

[7]	FreeIPA のユーザーアカウントで Windows にログオンできました。