やさしいCent OS をADに登録する方法

Linux OSのAD登録方法

前提条件

  • AWSでは手軽にADサービスを利用することができます。本投稿では、マネージド型の Microsoft Active DirectoryにLinux OSを登録する手順を記載します。OSのバージョンは、Cent OS 7 となります。
  • Microsoft ADサービスを立ち上げる方法は、下記の記事を参照ください。

Linux OSをADに参加させる手順

  • ADドメインに参加する時に必要となるパッケージをインストールします。初めに、yum list installedコマンドでパッケージがインストールされていないことを確認し、未インストールであればyum installコマンドでインストールします。

$ yum list installed | egrep "sssd|realmd|krb5-work station"

$ sudo yum -y install sssd realmd krb5-workstation
 

 yum list installed | egrep "oddjob"
oddjob.x86_64                         0.31.5-4.el7                    @base     
oddjob-mkhomedir.x86_64               0.31.5-4.el7                    @base
 

$ yum list installed | egrep "adcli|samba-common-tools"

$ sudo yum -y install adcli samba-common-tools
 
  • /etc/resolv.confにDNSサーバーを設定します。DNSサーバーのIPアドレス確認方法は、下記の記事を参照ください。

$ sudo vi /etc/resolv.conf

$ cat /etc/resolv.conf
search oji-cloud.com
nameserver 10.10.1.2
nameserver 10.10.1.3
 
  • ADドメインに参加します。Adminユーザーのパスワード入力が必要となります。”Successfully enrolled machine in realm”が出力されれば、成功です。
  • 
    $ sudo realm join -U Admin@oji-cloud.com --verbose
     * Resolving: _ldap._tcp.oji-cloud.com
     * Performing LDAP DSE lookup on: 10.10.1.3
     * Successfully discovered: oji-cloud.com
    Password for Admin@oji-cloud.com: 
     * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
     * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.8NXM2Z -U Admin@oji-cloud.com ads join oji-cloud.com
    Enter Admin@oji-cloud.com's password:DNS update failed: NT_STATUS_INVALID_PARAMETER
    
    Using short domain name -- oji-cloud
    Joined 'LINUX1' to dns domain 'oji-cloud.com'
    No DNS domain configured for linux1. Unable to perform DNS Update.
     * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.8NXM2Z -U Admin@oji-cloud.com ads keytab create
    Enter Admin@oji-cloud.com's password:
     * /usr/bin/systemctl enable sssd.service
    Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service.
     * /usr/bin/systemctl restart sssd.service
     * /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service
     * Successfully enrolled machine in realm