Linux

LinuxサーバのActiveDirectoryへの参加手順【CentOS】

スポンサーラベル
Linux
2019.11.29

Linuxサーバ(CentOS)をADへ参加させる手順を紹介します。
以下の条件で進めます。

  • 参加ドメイン名:ADTEST.HOGEHOGE.CO.JP
  • ドメインコントローラ:
    ad01.hogehoge.co.jp(192.168.1.1)

手順

  1. DNSサーバの設定
  2. 時刻同期の実施
  3. Sambaの設定
  4. kerberosの設定
  5. winbindの設定
  6. ドメイン参加
  7. 確認

DNSサーバの設定

はじめにLinuxマシンのDNS参照先をドメインコントローラーに設定します。
/etc/resolv.confを編集します。

nameserver 192.168.1.1

時刻同期の実施

ADに参加する際に、Linuxサーバ側の時刻とずれているとドメイン参加に失敗します。

# ntp -q

Sambaの設定

初めに/etc/smb.confを編集します。(Samba3.*の場合です)。

[global]
 workgroup = ad ←ドメイン名
security = ADS ←ActiveDirectory認証(kerberos)を利用する
realm = AD.HOGEHOGE.CO.JP ←レノム名
password server = ad01.hogehoge.co.jp ←ドメインコントローラー(IPアドレスでもオッケー)
winbind cache time = 0
 winbind separator = @
 winbind use default domain = yes
 template homedir = /home/%U
 template shell = /bin/bash
 idmap uid = 10000-20000
 idmap gid = 10000-20000
 obey pam restrictions = no
 username map = None
 log file = /var/log/samba/log.%m
 max log size = 50
 load printer = no

kerberosの設定

次に/etc/krb5.confを編集します。

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

 [libdefaults]
 default_realm = ADTEST.HOGEHOGE.CO.JP <-レノム名
 dns_lookup_realm = true
 dns_lookup_kdc = true

 [realms]
 EXAMPLE.COM = {
 kdc = kerberos.example.com:88
 admin_server = kerberos.example.com:749
 default_domain = example.com
 }

ADTEST.HOGEHOGE.CO.JP = {
 kdc = ad01.hogehoge.co.jp:88
 admin_server = ad01.hogehoge.co.jp:749
 }

 [domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

 [kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

 [appdefaults]
 pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
 }

winbindの設定

最後に/etc/nsswitch.confを編集します。

passwd: files winbind <-winbindを追加
shadow: files winbind <-winbindを追加
group: files winbind <-winbindを追加

サービスを起動します。
CentOS6の場合

# /etc/rc.d/init.d/smb start 
# /etc/rc.d/init.d/winbind start

CentOS7の場合

# systemctl start smb.service 
# systemctl start winbind.service

ドメイン参加

準備が整いましたので、net ads join にてドメイン参加します

# kinit administrator@ADTEST.HOGEHOGE.CO.JP
Password for administrator@ADTEST.HOGEHOGE.CO.JP:<-パスワード入力
# net ads join -S ad01.hogehoge.co.jp -U administrator
Enter administrator's password:<-パスワード入力
Using short domain name -- ADTEST
Joined 'ADTEST' to dns domain 'adtest.hogehoge.co.jp'
net_update_dns_internal: Failed to connect to our DC!<-もし出ても無視してよい
DNS update failed!<-もし出ても無視してよい

確認

ドメイン参加状態を確認

net ads testjoinコマンドを実行します。
“Join is OK”と表示されれば成功です。

# net ads testjoin
Join is OK

ADにコンピュータオブジェクトが登録されているかを確認

ドメインコントローラー「ad01.hogehoge.co.jp」にて確認します。
[管理ツール]->[ActiveDirectoruyユーザ管理]->[Computers]
グループ内にサーバが登録されている事.を確認します。

wbinfoコマンドでユーザ情報が取得できること

wbinfoコマンドを利用してドメインコントローラーに対してユーザ情報やグループ情報が取得できるか確認します。

# wbinfo -u
# wbinfo -g

以上でLinuxサーバをドメイン参加は完了しました。

スポンサーラベル

コメント