share facebook facebook2 twitter menu hatena pocket slack

2014.10.23 THU

[Linux][Windows] RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (5)

磯辺 和彦

WRITTEN BY 磯辺 和彦

こんにちは、cloudpack磯辺です。

前回までのあらすじ

RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (1)
認証システムの方針について
RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (2)
初期構築からドメインへの参加まで
RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (3)
ユーザのログイン
RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (4)
ホームディレクトリの自動作成とシェルの指定

realmdを使って(Sambaを使わないで)設定する

RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (2)では、samba-clientパッケージをいれてドメインへの参加を実施していた。実際にはSambaを使わないのに、samba-clientを入れるのがダメな感じであるので、新しい手段として、realmdを使ってのドメインの参加を試してみた。

パッケージの導入

RHEL7であれば、yumでインストールできる。

# yum -y install realmd

Active Directoryの情報取得(確認)

まだ、Kerberosやsssd、Sambaなどの設定をしていない状態で、realm discoverコマンドを実行して、ADの情報が取れるか確認する。

# realm discover --verbose
 * Resolving: _ldap._tcp.example.local
 * Performing LDAP DSE lookup on: 10.0.2.4
 * Performing LDAP DSE lookup on: 10.0.130.4
 * Successfully discovered: example.local
example.local
  type: kerberos
  realm-name: EXAMPLE.LOCAL
  domain-name: example.local
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common

DHCP Options Setの設定で、DNSがADサーバに向いていれば、そこから情報を取得することができる。

required-packageとして出力されているパッケージを導入する。

# yum -y install oddjob oddjob-mkhomedir sssd adcli samba-common

どうやら、samba-commonはどうしても必要になってしまうようだ。

realmd設定

ほとんどデフォルトの設定のままではあるが、/etc/realmd.confに下記の設定を追加する。

# cat /etc/realmd.conf
[users]
default-home = /home/%D/%U
default-shell = /bin/bash

[active-directory]
default-client = sssd

[service]
automatic-install = yes

[example.local]
computer-ou = OU=Computers,DC=example,DC=local
automatic-id-mapping = yes
fully-qualified-names = no

ドメインへの参加

realm joinコマンドで、ドメインに参加する。

# realm join example.local
Password for Administrator:

これで、ドメインに参加できた。

前回行った、Kerberos, SSSDの設定については、すでに自動的に更新されている。また、Sambaの設定は不要となる。あとは、RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (3)の、SSSDの設定が完了したところから、設定を続ければ良い。

元記事はこちらです。
[Linux][Windows] RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (5)

磯辺 和彦

磯辺 和彦

cloudpackに参加して以来、設計・構築・運用・開発・セキュリティなど様々な経験を経て、現在は主に社内インフラ関連を担当中。WEB+DB Press Vol.85に記事書きました。