本記事はCentOS8でActive Directoryを作成する~その2~ なので、その1を見てない人は意味が分からないかもしれません。
pokug.net
Active Directoryの構成
Active Directoryの構成以下構成を想定。
| 項目 | 値 |
|---|---|
| サーバーIPアドレス | 192.168.80.250 |
| サーバー名 | katori |
| フルネーム | katori.truk.anchorage.port |
| ドメイン名 | anchorage.port |
| Windowsドメイン名 | truk |
| Realm名 | truk.anchorage.port |
Active Directoryの事前準備
ファイアウォールの設定
今回は動作の確認なのでLinuxのファイアウォールを無効にした。
以下記事を参考
pokug.net
個別にポートを開放する場合は。。。ググってください・・・
ホスト名の設定と確認
以下のコマンドでサーバー名の設定
nmcli general hostname katori
ホスト名の確認
「hostname」コマンドで確認できる。
[root@katori ~]# hostname katori
hostsファイルの設定
hostsファイルにIPアドレスとサーバー名のフルネームとサーバー名を記述する。
今回の場合は「192.168.80.250」と「katori.truk.anchorage.port」と「katori」
[root@katori ~]# vi /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 #以下追加 192.168.80.250 katori.truk.anchorage.port katori
時刻同期の設定
以下記事参照
yarufu101.hateblo.jp
Active Directoryの設定
ここからが本番。
以下コマンドを実行
samba-tool domain provision --use-rfc2307 --interactive
以下実行結果
[root@katori ~]# samba-tool domain provision --use-rfc2307 --interactive Realm [TRUK.ANCHORAGE.PORT]: ← Realm名。デフォルトであっているのでエンター Domain [TRUK]:: ← ドメイン名デフォルトであっているのでエンター Server Role (dc, member, standalone) [dc]:← サーバーの役割でドメインコントローラーの場合にはdcなのでエンター DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: ← dnsとしてどれを利用するかを選択する。SAMBA_INTERNALはSambaに含まれるdnsサーバー。今回はこれを使うのでエンター。 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.80.2]: 8.8.8.8 ← 外へ行くDNS。今回はgoogleのパブリックDNSを使用。 Administrator password: ← administratorのパスワードを設定 Retype password: ← もう一回パスワード
DNSの設定
ファイル「/etc/resolv.conf」で現在のDNS設定が確認できる。
[root@katori ~]# cat /etc/resolv.conf # Generated by NetworkManager nameserver 192.168.80.2
現在は「nameserver 192.168.80.2」になっていて、DNSの解決は「192.168.80.2」投げている設定だが、こいつを自分自身に設定する必要がある。
以下コマンドを実行
nmcli connection modify ens192 ipv4.dns 127.0.0.1
以下コマンドでネットワークの再起動し設定を反映する。
systemctl restart NetworkManager.service
そして再度ファイル「/etc/resolv.conf」を確認。
[root@katori ~]# cat /etc/resolv.conf # Generated by NetworkManager nameserver 127.0.0.1
Sambaの起動
以下コマンドを実行
samba
Kerberos認証の設定
以下コマンドで現在の設定のバックアップ
mv /etc/krb5.conf krb5.conf.org
インストールしたsambaからKerberos認証の設定をコピー
cp -p /usr/local/samba/private/krb5.conf /etc/krb5.conf
Kerberos認証用チケットの取得
kinit administrator@TRUK.ANCHORAGE.PORT
kinit administrator@<Realm名>なので環境に合わせて変更する。あとRealm名は大文字でないとエラーが出るようです。
後処理
Sambaサービス用起動スクリプトの作成
以下コマンドで起動スクリプトを作成
vi /etc/systemd/system/samba-ad-dc.service
内容は以下
[Unit] Description=Samba Active Directory Domain Controller After=network.target remote-fs.target nss-lookup.target [Service] Type=forking ExecStart=/usr/local/samba/sbin/samba -D PIDFile=/usr/local/samba/var/run/samba.pid ExecReload=/bin/kill -HUP $MAINPID [Install] WantedBy=multi-user.target
作成したファイルの有効化を以下コマンドで実行
systemctl daemon-reload
Sambaサービスの自動起動するように設定
systemctl enable samba-ad-dc
その他
その3へ続く
pokug.net