Realmd : Active Directory ドメインに参加する2019/01/23

Windows の Active Directory ドメインに参加します。

LAN 内に Windows Active Directory Domain Service が稼働していることが前提です。
ここでは例として、以下のような Active Directory ドメイン環境で設定します。

ドメインサーバー	: Windows Server 2016
NetBIOS名	: FD3S01
ドメイン名	: srv.world
レルム	: SRV.WORLD
ホスト名	: fd3s.srv.world

[1]

必要なパッケージをインストールしておきます。

# 事前に必要なモジュールを追加

dlp:~ #

SUSEConnect -p PackageHub/15/x86_64

dlp:~ #

zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client

[2]	Active Directory ドメインに参加します。

dlp:~ #

vi /etc/sysconfig/network/config

# 195行目：参照する DNS を AD に変更

      NETCONFIG_DNS_STATIC_SERVERS="10.0.0.100"

dlp:~ #

systemctl restart wickedd wicked wickedd-nanny

# Active Directory ドメインを discover する

dlp:~ #

realm discover SRV.WORLD

srv.world
  type: kerberos
  realm-name: SRV.WORLD
  domain-name: srv.world
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: adcli
  required-package: samba-client

# Active Directory ドメインに join する

dlp:~ #

realm join SRV.WORLD

Password for Administrator:

# AD の Administrator パスワード

realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.

# PAM に sssd を設定

dlp:~ #

pam-config --add --sss

dlp:~ #

vi /etc/nsswitch.conf

# 25行目：以下のように追記

passwd: compat sss
group:  compat sss
shadow: compat sss

dlp:~ #

vi /etc/pam.d/common-session

# 必要があれば、最終行に追記 ( ログイン時にホームディレクトリを自動作成 )

session optional        pam_mkhomedir.so skel=/etc/skel umask=077

dlp:~ #

reboot


Welcome to SUSE Linux Enterprise Server 15  (x86_64) - Kernel 4.12.14-25.25-default (ttyS0).

eth0: 10.0.0.30 fe80::5054:ff:fef7:8696

# 任意の AD ユーザーでログイン
dlp login: FD3S01\Administrator
Password:

administrator@srv.world@dlp:~>    # ログインできた

[3]	AD ユーザーを指定する際に、ドメイン名を省略したい場合は、以下のように設定します。

dlp:~ #

vi /etc/sssd/sssd.conf

# 66行目：変更

use_fully_qualified_names =

False

dlp:~ #

systemctl restart sssd nscd

dlp:~ #

id Administrator

uid=1778800500(administrator) gid=1778800513(domain users) groups=1778800512(domain admins),1778800518(schema admins),1778800519(enterprise admins),1778800520(group policy creator owners),1778800572(denied rodc password replication group),1778800513(domain users)