PokuG stdio.h

stdio.hはおまじない

MENU

CentOS8でActive Directoryを作成する~その2~ Active Directory設定編

f:id:yarufu101:20200315114015g:plain

本記事はCentOS8でActive Directoryを作成する~その2~ なので、その1を見てない人は意味が分からないかもしれません。
pokug.net

Active Directoryの構成

Active Directoryの構成以下構成を想定。

項目
サーバーIPアドレス 192.168.80.250
サーバー名 katori
フルネーム katori.truk.anchorage.port
ドメイン名 anchorage.port
Windowsドメイン名 truk
Realm名 truk.anchorage.port

Active Directoryの事前準備

ファイアウォールの設定

今回は動作の確認なのでLinuxのファイアウォールを無効にした。
以下記事を参考
pokug.net
個別にポートを開放する場合は。。。ググってください・・・

ホスト名の設定と確認

以下のコマンドでサーバー名の設定

nmcli general hostname katori

ホスト名の確認
「hostname」コマンドで確認できる。

[root@katori ~]# hostname
katori

hostsファイルの設定

hostsファイルにIPアドレスとサーバー名のフルネームとサーバー名を記述する。
今回の場合は「192.168.80.250」と「katori.truk.anchorage.port」と「katori」

[root@katori ~]# vi /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
#以下追加
192.168.80.250  katori.truk.anchorage.port      katori

時刻同期の設定

以下記事参照
yarufu101.hateblo.jp

Active Directoryの設定

ここからが本番。
以下コマンドを実行

samba-tool domain provision --use-rfc2307 --interactive

以下実行結果

[root@katori ~]# samba-tool domain provision --use-rfc2307 --interactive
Realm [TRUK.ANCHORAGE.PORT]: ← Realm名。デフォルトであっているのでエンター
Domain [TRUK]::  ← ドメイン名デフォルトであっているのでエンター 
Server Role (dc, member, standalone) [dc]:←  サーバーの役割でドメインコントローラーの場合にはdcなのでエンター
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: ← dnsとしてどれを利用するかを選択する。SAMBA_INTERNALはSambaに含まれるdnsサーバー。今回はこれを使うのでエンター。
DNS forwarder IP address (write 'none' to disable forwarding) [192.168.80.2]:  8.8.8.8 ← 外へ行くDNS。今回はgoogleのパブリックDNSを使用。
Administrator password: ← administratorのパスワードを設定
Retype password:    ← もう一回パスワード

DNSの設定

ファイル「/etc/resolv.conf」で現在のDNS設定が確認できる。

[root@katori ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 192.168.80.2

現在は「nameserver 192.168.80.2」になっていて、DNSの解決は「192.168.80.2」投げている設定だが、こいつを自分自身に設定する必要がある。
以下コマンドを実行

nmcli connection modify ens192 ipv4.dns 127.0.0.1

以下コマンドでネットワークの再起動し設定を反映する。

systemctl restart NetworkManager.service

そして再度ファイル「/etc/resolv.conf」を確認。

[root@katori ~]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 127.0.0.1

Sambaの起動

以下コマンドを実行

samba

Kerberos認証の設定

以下コマンドで現在の設定のバックアップ

mv /etc/krb5.conf krb5.conf.org

インストールしたsambaからKerberos認証の設定をコピー

cp -p /usr/local/samba/private/krb5.conf /etc/krb5.conf

Kerberos認証用チケットの取得

kinit administrator@TRUK.ANCHORAGE.PORT

kinit administrator@<Realm名>なので環境に合わせて変更する。あとRealm名は大文字でないとエラーが出るようです。

後処理

Sambaサービス用起動スクリプトの作成

以下コマンドで起動スクリプトを作成

vi /etc/systemd/system/samba-ad-dc.service

内容は以下

[Unit]
Description=Samba Active Directory Domain Controller
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
ExecStart=/usr/local/samba/sbin/samba -D
PIDFile=/usr/local/samba/var/run/samba.pid
ExecReload=/bin/kill -HUP $MAINPID

[Install]
WantedBy=multi-user.target

作成したファイルの有効化を以下コマンドで実行

systemctl daemon-reload

Sambaサービスの自動起動するように設定

systemctl enable samba-ad-dc

その他

その3へ続く
pokug.net