■設定環境
Active Directoryドメイン :YS-NETWORK.INFO
Linuxサーバ(クライアント) :192.168.0.2(HOGE-LINUX)
Active Directoryサーバ(FQDN):192.168.0.1(HOGE.YS-NETWORK.INFO)
■概要
1.必要なパッケージ(samba3x-winbind、samba3x-common)をインストール
2.smb.conf、resolv.confとkrb5.confを設定
3.Linuxサーバ(クライアント)でActive Directoryドメインに参加
4.Winbindサービスを起動
1.必要なパッケージ(samba3x-winbind、samba3x-common)をインストールする
| # yum install samba3x-winbind samba3x-common ~~~~~ 省略 ~~~~~ ============================================================================= Package Arch Version ============================================================================= Installing: samba3x-winbind x86_64 3.5.4-0.70.el5_6.1 Installing for dependencies: libtalloc x86_64 2.0.1-11.el5 libtdb x86_64 1.2.1-5.el5 samba3x-common x86_64 3.5.4-0.70.el5_6.1 Transaction Summary Install 4 Package(s) Total download size: 21 M |
なお、Windows2008以降のActive Directoryだと、sambaのバージョンは3.2以降でないと失敗するみたいです。
2.smb.conf、resolv.confとkrb5.confを設定する
・smb.conf(※必要最小限の設定です)
|
# vi /etc/samba/smb.conf [global] workgroup = YS-NETWORK passdb backend = tdbsam security = ads realm = YS-NETWORK.INFO winbind offline logon = YES #Active Directoryサーバに接続できない時の為にオフラインキャッシュを保存 |
・resolv.conf
|
# vi /etc/resolv.conf nameserver 192.168.0.1 #Active Directoryサーバを指定する search ys-network.info #Active Directoryドメインを指定する |
・krb5.conf(※大文字の箇所は大文字、小文字の箇所は小文字です)
|
# vi /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] [realms] [domain_realm] [appdefaults] |
3.Linuxサーバ(クライアント)でActive Directoryドメインに参加する
・Active Directoryサーバに対してKerberos認証します。
| # kinit administrator@YS-NETWORK.INFO Password for administrator@YS-NETWORK.INFO: Active DirectoryサーバのAdministratorパスワード # ※成功したかどうか確認します。 |
・Active Directoryドメインに参加します。
| # net ads join -U administrator administrator’s password: Active DirectoryサーバのAdministratorパスワード Enter administrator’s password: Using short domain name — YS-NETWORK Joined ‘HOGE-LINUX’ to realm ‘ys-network.info’ |
4.Winbindサービスを起動する
・winbinddサービスを起動して、Activedirectoryサーバからアカウント情報を取得できるようにします。
| # /etc/rc.d/init.d/winbind start Winbind サービスを起動中: [ OK ] ※Winbindサービスの正常起動を確認します |
Active Directoryサーバからアカウント情報を取得できるか確認します。
| ※ ユーザー情報を取得 # wbinfo -u YS-NETWORK\administrator YS-NETWORK\guest YS-NETWORK\krbtgt ※ユーザーグループ情報を取得 |
■上記設定中に出るエラー集
|
# net ads join -U administrator Enter administrator’s password: Using short domain name — YS-NETWORK Joined ‘HOGE-LINUX’ to realm ‘ys-network.info’ No DNS domain configured for HOGE-LINUX. Unable to perform DNS Update. DNS update failed! hostsファイルを以下のように追記修正すればOKです # vi /etc/hosts 127.0.0.1 HOGE-LINUX.ys-network.info HOGE-LINUX localhost.localdomain localhost |
|
# net ads join -U administrator administrator’s password: Using short domain name — YS-NETWORK Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Deleted account for ‘HOGE-LINUX’ in realm ‘YS-NETWORK.INFO’ Failed to join domain: Type or value exists または、以下のテストコマンドでも下記のようにエラーがでます。 # net ads testjoin [2011/07/28 00:00:00, 0] libads/kerberos.c:ads_kinit_password(228) kerberos_kinit_password HOGE-LINUX$@YS-NETWORK.INFO failed: Client not found in Kerberos database [2011/07/28 00:00:00, 0] libads/kerberos.c:ads_kinit_password(228) kerberos_kinit_password HOGE-LINUX$@YS-NETWORK.INFO failed: Client not found in Kerberos database Join to domain is not valid: Improperly formed account name これらは、Active DirectoryサーバがWindows Server2008で、sambaのバージョンが3.2以前の場合に |
| # kinit administrator@YS-NETWORK.INFO Password for administrator@YS-NETWORK.INFO: Active DirectoryサーバのAdministratorパスワード kinit(v5): Clock skew too great while getting initial credentials クライアント側とActive Directoryサーバとで時刻がズレすぎていると下記のエラーが出ますので |
| # /etc/rc.d/init.d/winbind start Winbind サービスを起動中: [ OK ] # /etc/rc.d/init.d/winbind status winbindd が停止していますが PID ファイルが残っています # ps aux |grep winbindd root 30763 0.0 0.0 65472 844pts/0 S+ 02:43 0:00 grep winbindd ドメイン参加が失敗(未参加)の状態でWinbindサービスを起動すると、上記エラーが出るっぽいです。 |
■番外編
Active Directoryドメインに参加したsambaサーバに対して、ドメインユーザでアクセスしているかどうかの確認
| # smbstatus Samba version 3.5.8-0.71.el5_0.wing.1 PID Username Group Machine ——————————————————————- 1359 YS-NETWORK\hoge YS-NETWORK\domain users 192.168.0.3 (192.168.0.3) Service pid machine Connected at Locked files: |
ファイルのオーナ情報をAcitve Directoryドメインのユーザに変更
| # chown hoge@YS-NETWORK:”domain users@YS-NETWORK” /smb/test # ls -al /smb/ drwxr-xr-x 13 YS-NETWORK\admin YS-NETWORK\domain admins 12288 7月 31 03:14 . drwxr-xr-x 24 root root 4096 7月 18 06:11 .. -rw-r–r– 1 YS-NETWORK\yukio YS-NETWORK\domain users 0 7月 31 03:14 test |
==================================================================
検証環境
クライアント側(Linuxサーバ) :CentOS5.6 x64
サーバ側(Active Directoryサーバ):Windows Server 2008R2 SP1
5Uのタワー型サーバは重い。特にIBM製だと奥行きも半端ないから尋常じゃない。
これを一人で梱包しろだと・・・?他の人は手伝ってくれないの?なに、忙しいだと?そうですか。って、UPSもかよ!
今日も、雑用係は頑張ってます。
コメント
[…] admin 今回はCentOS6でSSH接続が出来るように設定しますんで、過去記事“LinuxでActive Directoryドメインに参加”とは 若干違う部分があります。 ■設定環境 Active Directoryドメイン […]