FreeIPA : FreeIPA ユーザーで Windows ログオン2018/12/26 |
FreeIPA ユーザーアカウントで Windows にログオンできるよう設定します。
当例では以下のような環境を例にします。 +----------------------+ | +----------------------+ | [ FreeIPA (CentOS) ] |10.0.0.30 | 10.0.0.100| [ Windows (2016) ] | | dlp.ipa.srv.world +----------+-----------+ fd3s.ipa.srv.world | | | | | +----------------------+ +----------------------+ |
[1] | FreeIPA サーバー上で Windows ホストを登録しておきます。また、Kerberos プリンシパル用の Keytab を取得しておきます。 |
[root@dlp ~]# ipa host-add fd3s.ipa.srv.world --ip-address=10.0.0.100 ------------------------------- Added host "fd3s.ipa.srv.world" ------------------------------- Host name: fd3s.ipa.srv.world Principal name: host/fd3s.ipa.srv.world@IPA.SRV.WORLD Principal alias: host/fd3s.ipa.srv.world@IPA.SRV.WORLD Password: False Keytab: False Managed by: fd3s.ipa.srv.world # ipa-getkeytab -s [FreeIPAサーバー] -p [Kerberosサービスプリンシパル名] -e [暗号化タイプ] -k [Keytabファイル] -P [root@dlp ~]# ipa-getkeytab -s dlp.ipa.srv.world -p host/fd3s.ipa.srv.world -e arcfour-hmac -k /etc/krb5.keytab.fd3s -P
New Principal Password: # 任意のプリンシパルパスワード設定
Verify Principal Password:
Keytab successfully retrieved and stored in: /etc/krb5.keytab.fd3s
|
[2] | Windows 側の設定です。 コマンドプロンプト または パワーシェルを管理者で起動し、以下のようにコマンドを投入します。 > ksetup /setdomain [REALM] > ksetup /addkdc [REALM] [KDC] > ksetup /addkpasswd [REALM] [KDC] > ksetup /setcomputerpassword [PASSWORD] > ksetup /mapuser * * REALM => FreeIPA サーバーのレルム名 KDC => Key Distribution Center (当例では FreeIPA サーバー) |
[3] | 次に [gpedit.msc] とコマンドを入力してグループポリシーエディターを起動し、 [Windows の設定] - [セキュリティの設定] - [ローカルポリシー] - [セキュリティオプション] をクリックして、 [Kerberos で許可する暗号化の種類を構成する] を開きます。 |
[4] | 以下のようにチェックを入れて適用します。その後、一旦システムを再起動します。 |
[5] | FreeIPA サーバーと Windows との ID マッピング用に、FreeIPA サーバー側に登録済みのユーザーと同名のユーザーを Windows ローカルに作成します。 認証の際のパスワードは FreeIPA サーバー側のユーザーアカウントのパスワードが使用されるため、ローカルパスワードは使用されることのない不要なものですが、 設定していないと、既定の設定ではパスワード無しでコンソールログオンはできてしまうため、コンソールログオンできない状態にするか、 あるいは、推測されにくい適当なパスワードを無期限で設定しておいた方がよいでしょう。 |
[6] | ログオフして、FreeIPA サーバーのユーザーアカウントで認証します。 |
[7] | FreeIPA のユーザーアカウントで Windows にログオンできました。 |
Sponsored Link |
|