CentOS 7
Sponsored Link

FreeIPA : FreeIPA ユーザーで Windows ログオン2018/12/26

 
FreeIPA ユーザーアカウントで Windows にログオンできるよう設定します。
当例では以下のような環境を例にします。
+----------------------+          |           +----------------------+
| [ FreeIPA (CentOS) ] |10.0.0.30 | 10.0.0.100|  [ Windows (2016) ]  |
|  dlp.ipa.srv.world   +----------+-----------+  fd3s.ipa.srv.world  |
|                      |                      |                      |
+----------------------+                      +----------------------+

[1] FreeIPA サーバー上で Windows ホストを登録しておきます。また、Kerberos プリンシパル用の Keytab を取得しておきます。
[root@dlp ~]#
ipa host-add fd3s.ipa.srv.world --ip-address=10.0.0.100

-------------------------------
Added host "fd3s.ipa.srv.world"
-------------------------------
  Host name: fd3s.ipa.srv.world
  Principal name: host/fd3s.ipa.srv.world@IPA.SRV.WORLD
  Principal alias: host/fd3s.ipa.srv.world@IPA.SRV.WORLD
  Password: False
  Keytab: False
  Managed by: fd3s.ipa.srv.world

# ipa-getkeytab -s [FreeIPAサーバー] -p [Kerberosサービスプリンシパル名] -e [暗号化タイプ] -k [Keytabファイル] -P

[root@dlp ~]#
ipa-getkeytab -s dlp.ipa.srv.world -p host/fd3s.ipa.srv.world -e arcfour-hmac -k /etc/krb5.keytab.fd3s -P

New Principal Password:     # 任意のプリンシパルパスワード設定
Verify Principal Password:
Keytab successfully retrieved and stored in: /etc/krb5.keytab.fd3s
[2] Windows 側の設定です。
コマンドプロンプト または パワーシェルを管理者で起動し、以下のようにコマンドを投入します。

> ksetup /setdomain [REALM]
> ksetup /addkdc [REALM] [KDC]
> ksetup /addkpasswd [REALM] [KDC]
> ksetup /setcomputerpassword [PASSWORD]
> ksetup /mapuser * *

REALM => FreeIPA サーバーのレルム名
KDC => Key Distribution Center (当例では FreeIPA サーバー)
[3] 次に [gpedit.msc] とコマンドを入力してグループポリシーエディターを起動し、 [Windows の設定] - [セキュリティの設定] - [ローカルポリシー] - [セキュリティオプション] をクリックして、 [Kerberos で許可する暗号化の種類を構成する] を開きます。
[4] 以下のようにチェックを入れて適用します。その後、一旦システムを再起動します。
[5] FreeIPA サーバーと Windows との ID マッピング用に、FreeIPA サーバー側に登録済みのユーザーと同名のユーザーを Windows ローカルに作成します。 認証の際のパスワードは FreeIPA サーバー側のユーザーアカウントのパスワードが使用されるため、ローカルパスワードは使用されることのない不要なものですが、 設定していないと、既定の設定ではパスワード無しでコンソールログオンはできてしまうため、コンソールログオンできない状態にするか、 あるいは、推測されにくい適当なパスワードを無期限で設定しておいた方がよいでしょう。
[6] ログオフして、FreeIPA サーバーのユーザーアカウントで認証します。
[7] FreeIPA のユーザーアカウントで Windows にログオンできました。
関連コンテンツ