コマンドラインからCentOS7をSamba4ADに統合する-パート14


このガイドでは、Authconfigソフトウェアを使用して、コマンドラインからグラフィカルユーザーインターフェースのないCentOS7サーバーをSamba4ActiveDirectoryドメインコントローラーに統合する方法を説明します。

このタイプのセットアップは、Sambaが保持する単一の集中型アカウントデータベースを提供し、ADユーザーがネットワークインフラストラクチャ全体でCentOSサーバーに対して認証できるようにします。

  1. Create an Active Directory Infrastructure with Samba4 on Ubuntu
  2. CentOS 7.3 Installation Guide

ステップ1:Samba4 ADDC用にCentOSを構成する

1. CentOS7サーバーをSamba4DCに参加させる前に、DNSサービスを介してドメインを照会するようにネットワークインターフェイスが適切に構成されていることを確認する必要があります。

以下に示すように、ip addressコマンドを実行してマシンのネットワークインターフェイスを一覧表示し、この例のens33などのインターフェイス名に対してnmtui-editコマンドを発行して、編集する特定のNICを選択します。

# ip address
# nmtui-edit ens33

2.ネットワークインターフェイスを編集用に開いたら、LANに最適な静的IPv4構成を追加し、DNSサーバーのSambaADドメインコントローラーのIPアドレスを設定していることを確認します。

また、提出された検索ドメインにドメイン名を追加し、[TAB]キーを使用して[OK]ボタンに移動して変更を適用します。

提出された検索ドメインは、ドメインDNSレコードに短い名前のみを使用する場合、対応するドメインにDNS解決(FQDN)が自動的に追加されることを保証します。

3.最後に、ネットワークデーモンを再起動して変更を適用し、以下に示すように、ドメイン名とドメインコントローラーの短縮名に対して一連のpingコマンドを発行して、DNS解決が適切に構成されているかどうかをテストします。

# systemctl restart network.service
# ping -c2 tecmint.lan
# ping -c2 adc1
# ping -c2 adc2

4.また、次のコマンドを発行して、マシンのホスト名を構成し、マシンを再起動して設定を適切に適用します。

# hostnamectl set-hostname your_hostname
# init 6

以下のコマンドを使用して、ホスト名が正しく適用されているかどうかを確認します。

# cat /etc/hostname
# hostname

5.最後に、root権限で以下のコマンドを発行して、現地時間をSamba4 ADDCと同期します。

# yum install ntpdate
# ntpdate domain.tld

ステップ2:CentOS7サーバーをSamba4ADDCに参加させる

6. CentOS7サーバーをSamba4Active Directoryに参加させるには、まず、root権限を持つアカウントから次のパッケージをマシンにインストールします。

# yum install authconfig samba-winbind samba-client samba-winbind-clients

7. CentOS 7サーバーをドメインコントローラーに統合するには、root権限でauthconfig-tuiグラフィカルユーティリティを実行し、以下に説明するように以下の構成を使用します。

# authconfig-tui

最初のプロンプト画面で、次を選択します。

  • On User Information:
    • Use Winbind
    • On Authentication tab select by pressing [Space] key:
      • Use Shadow Password
      • Use Winbind Authentication
      • Local authorization is sufficient

      8. [次へ]をクリックして[Winbind設定]画面に進み、以下に示すように構成します。

      • Security Model: ads
      • Domain = YOUR_DOMAIN (use upper case)
      • Domain Controllers = domain machines FQDN (comma separated if more than one)
      • ADS Realm = YOUR_DOMAIN.TLD
      • Template Shell = /bin/bash

      9.ドメイン参加を実行するには、[tab]キーを使用して[ドメインに参加]ボタンに移動し、[Enter]キーを押してドメインに参加します。

      次の画面プロンプトで、昇格された特権を持つSamba4 ADアカウントの資格情報を追加して、ADへのマシンアカウントの参加を実行し、[OK]をクリックして設定を適用してプロンプトを閉じます。

      ユーザーパスワードを入力すると、パスワード画面に資格情報が表示されないことに注意してください。残りの画面でもう一度[OK]をクリックして、CentOS7マシンのドメイン統合を終了します。

      マシンを特定のSambaAD組織単位に強制的に追加するには、hostnameコマンドを使用してマシンの正確な名前を取得し、そのOUにマシンの名前で新しいComputerオブジェクトを作成します。

      Samba4 ADに新しいオブジェクトを追加する最良の方法は、RSATツールがインストールされているドメインに統合されたWindowsマシンからADUCツールを使用することです。

      重要:ドメインに参加する別の方法は、統合プロセスを広範囲に制御できるauthconfigコマンドラインを使用することです。

      ただし、このメソッドは、以下のコマンドの抜粋に示されているように、その多数のパラメーターに対してエラーが発生する傾向があります。コマンドは、1つの長い行に入力する必要があります。

      # authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups
      

      10.マシンがドメインに参加した後、以下のコマンドを発行して、winbindサービスが稼働しているかどうかを確認します。

      # systemctl status winbind.service
      

      11.次に、CentOSマシンオブジェクトがSamba4ADで正常に作成されたかどうかを確認します。 RSATツールがインストールされたWindowsマシンからADユーザーとコンピューターツールを使用して、ドメインのコンピューターコンテナーに移動します。 CentOS7サーバーの名前を持つ新しいADコンピューターアカウントオブジェクトが右側の平面に表示されます。

      12.最後に、テキストエディターでsambaメイン構成ファイル(/etc/samba/smb.conf)を開いて構成を微調整し、以下に示すように[global]構成ブロックの最後に以下の行を追加します。

      winbind use default domain = true
      winbind offline logon = true
      

      13.最初のログオン時にADアカウント用のローカルホームをマシン上に作成するには、以下のコマンドを実行します。

      # authconfig --enablemkhomedir --update
      

      14.最後に、Sambaデーモンを再起動して変更を反映し、ADアカウントを使用してサーバーでログオンを実行してドメインへの参加を確認します。 ADアカウントのホームディレクトリが自動的に作成されます。

      # systemctl restart winbind
      # su - domain_account
      

      15.次のいずれかのコマンドを発行して、ドメインユーザーまたはドメイングループを一覧表示します。

      # wbinfo -u
      # wbinfo -g
      

      16.ドメインユーザーに関する情報を取得するには、以下のコマンドを実行します。

      # wbinfo -i domain_user
      

      17.要約ドメイン情報を表示するには、次のコマンドを発行します。

      # net ads info
      

      ステップ3:Samba4 ADDCアカウントでCentOSにログインする

      18. CentOSでドメインユーザーで認証するには、次のコマンドライン構文のいずれかを使用します。

      # su - ‘domain\domain_user’
      # su - domain\\domain_user
      

      または、winbind use default domain u003d trueパラメーターがsamba構成ファイルに設定されている場合は、以下の構文を使用してください。

      # su - domain_user
      # su - [email protected]
      

      19.ドメインユーザーまたはグループのroot権限を追加するには、visudoコマンドを使用してsudoersファイルを編集し、以下のスクリーンショットに示すように次の行を追加します。

      YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
      %YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups
      

      または、winbind use default domain u003d trueパラメーターがsamba構成ファイルに設定されている場合は、以下の抜粋を使用してください。

      domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
      %your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups
      

      20. Samba4 AD DCに対する次の一連のコマンドは、トラブルシューティングの目的にも役立ちます。

      # wbinfo -p #Ping domain
      # wbinfo -n domain_account #Get the SID of a domain account
      # wbinfo -t  #Check trust relationship
      

      21.ドメインを離れるには、昇格された特権を持つドメインアカウントを使用して、ドメイン名に対して次のコマンドを実行します。マシンアカウントがADから削除された後、統合プロセスの前にマシンを再起動して変更を元に戻します。

      # net ads leave -w DOMAIN -U domain_admin
      # init 6
      

      それで全部です!この手順は主にCentOS7サーバーをSamba4AD DCに参加させることに焦点を当てていますが、ここで説明するのと同じ手順は、CentOSサーバーをMicrosoft Windows Server 2012 ActiveDirectoryに統合する場合にも有効です。