Active Directory ドメインに参加する2015/06/07

Windows の Active Directory ドメインに参加します。

LAN 内に Windows Active Directory Domain Service が稼働していることが前提です。
ここでは例として、以下のような Active Directory ドメイン環境で設定します。

ドメインサーバー	: Windows Server 2012 R2
ドメイン名	: FD3S01
レルム	: FD3S.SRV.WORLD
ホスト名	: fd3s.srv.world

[1]

必要なパッケージをインストールしておきます。

# EPELからインストール

[root@dlp ~]#

yum --enablerepo=epel -y install adcli sssd authconfig pam_krb5 samba4-common

[2]	Active Directory ドメインに参加します。

[root@dlp ~]#

vi /etc/sysconfig/network-scripts/ifcfg-eth0

# 参照する DNS を AD に変更しておく

DNS1=

10.0.0.100

[root@dlp ~]#

/etc/rc.d/init.d/network restart

# 認証プロバイダー変更

[root@dlp ~]#

authconfig \
--enablekrb5 \
--krb5kdc=fd3s.srv.world \
--krb5adminserver=fd3s.srv.world \
--krb5realm=FD3S.SRV.WORLD \
--enablesssd \
--enablesssdauth \
--update

# Active Directory ドメイン情報確認

[root@dlp ~]#

adcli info FD3S.SRV.WORLD

[domain]
domain-name = fd3s.srv.world
domain-short = FD3S01
domain-forest = fd3s.srv.world
domain-controller = fd3s.fd3s.srv.world
domain-controller-site = Default-First-Site-Name
domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable good-timeserv full-secret ads-web
domain-controller-usable = yes
domain-controllers = fd3s.fd3s.srv.world
[computer]
computer-site = Default-First-Site-Name

# Active Directory ドメインに join する

[root@dlp ~]#

adcli join FD3S.SRV.WORLD

Password for Administrator@FD3S.SRV.WORLD:

# AD の Administrator パスワード

[root@dlp ~]#

vi /etc/sssd/sssd.conf

# 新規作成 (ホスト名等は自身の環境に置き換えてください)

[sssd]
domains = fd3s.srv.world
config_file_version = 2
services = nss, pam

[domain/fd3s.srv.world]
ad_domain = fd3s.srv.world
krb5_realm = FD3S.SRV.WORLD
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
access_provider = ad

[root@dlp ~]#

chmod 600 /etc/sssd/sssd.conf

[root@dlp ~]#

vi /etc/pam.d/system-auth

# 最終行に追記 (ホームディレクトリがない場合は自動生成)

session     optional      pam_mkhomedir.so skel=/etc/skel umask=077

[root@dlp ~]#

/etc/rc.d/init.d/sssd start

Starting sssd: [ OK ]
[root@dlp ~]#

chkconfig sssd on

# 任意の AD ユーザーの情報が取得できるか確認

[root@dlp ~]#

id Serverworld

uid=797801106(serverworld) gid=797800513(domain users) groups=797800513(domain users)

# 任意の AD ユーザーに遷移可能か確認

[root@dlp ~]#

su - Serverworld

Creating directory '/home/fd3s.srv.world/serverworld'.
[serverworld@dlp ~]$

# 遷移できた