この投稿では、CentOS/RHEL 6 (クライアント) サーバーを LDAP/Kerberos/SSSD を使用して AD ドメインに統合する手順の概要を説明しています。
1. 必要なパッケージをインストールします:
# yum install sssd samba-common krb5-workstation注意 :NTP が実行され、期待どおりに機能していることを確認し、AD サーバーを /etc/hosts に追加します。
2. /etc/krb5.conf を設定します 次のように::
# vi /etc/krb5.conf
[logging]
kdc = SYSLOG:DEBUG
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
allow_weak_crypto = true
[realms]
EXAMPLE.COM = {
kdc = adserver.example.com
admin_server = adserver.example.com
}
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM 3. /etc/samba/smb.conf を構成します 次のようになります:
# vi /etc/samba/smb.conf [global] workgroup = ADGRP realm = EXAMPLE.COM security = ads kerberos method = secrets and keytab log file = /var/log/samba/log.%m max log size = 50 client signing = yes client use spnego = yes idmap config * : backend = tdb password server = adserver.example.com
4. AD 管理者として Kerberos チケットを開きます:
# kinit your-admin-user注意 :古いキーが提示された場合は、必ず削除してください。 :「rm /etc/krb5.keytab」
5. OL マシンを Active Directory に参加させ、キータブを生成します:
# net ads join createupn=host/[email protected] -k # net ads keytab create -k
6. 以下を実行して、/etc/nsswitch.conf 内で SSSD を有効にします。 および PAM:
# authconfig --enablesssd --enablesssdauth --enablelocauthorize --enablemkhomedir --update
7. /etc/sssd/sssd.conf を作成します 正しい権限を設定します:
# echo > /etc/sssd/sssd.conf # chmod 600 /etc/sssd/sssd.conf
8. /etc/sssd/sssd.conf を次のように構成します。
# vi /etc/sssd/sssd.conf [sssd] config_file_version = 2 debug_level = 9 domains = example.com services = nss, pam cache_credentials = true ad_server = adserver.example.com id_provider = ad access_provider = ad [domain/example.com] id_provider = ad debug_level = 9 access_provider = ad override_homedir = /home/%u default_shell = /bin/bash auth_provider = ad chpass_provider = ad ldap_schema = ad cache_credentials = true use_fuly_qualified_domain_name = true ad_enable_gc = false
9. 変更を有効にするために SSSD サービスを再起動します。
# service sssd restart
メモ
SSSD の ID マッピングは Winbind の autorid と同じです。同じアルゴリズムを使用して LDAP オブジェクトの SID 属性に基づいてローカルにキャッシュされた UID と GID を生成するため、ID マッピングで SSSD を使用するすべてのマシンは UID と GID 識別子で一貫しています。 /P>
Active Directory 環境にユーザー名と SID だけでなく POSIX 属性が含まれている場合は、[ドメイン] 内で次の追加構成を使用できます。
ldap_id_mapping = false
fallback_homedir を変更して、シェルとホーム ディレクトリの属性情報を上書きすることもできます と default_shell override_homedir へ と override_shell . 「フォールバック」 ' および 'デフォルト ' オプションは、この情報が AD から返されない場合にのみ使用されます。ただし、'override' オプションは、AD が返すものを無視して上書きします。
また、SSSD にこのような重要な変更を加えた場合や、ローカル SSSD キャッシュを再生成する必要があるかどうかわからない場合は、必ず後で以下を実行してください:
# service sssd stop # rm -rf /var/log/sssd/* # rm -rf /var/lib/sss/db/* # service sssd start