Samba4によるアクティブディレクトリードメインコントローラ(AD-DC)導入に伴い、社内PCをすべてAD-DCに参加させることにしました。

WindowsXPや7は、ネット上に山のように接続方法がアップされているので問題はなかったのですが、UbuntuをAD-DCに参加させる情報はなかなか見つけることができませんでした。

また、あっても情報が古く、設定方法が使えなくなっていたりしました。

今回は、志義ドットPCメイン機のUbuntu12.04(Linux Mint Debian mateも同じだった)をAD-DCに参加させる手順を示します。

前提は、Samba4(IPアドレスは、192.168.xxx.aaa)によるAD-DCが正常に動作していることです。

下記の設定は、AD−DCに参加させたいPC(今回はUbuntu)上の端末で実行します。

追記(2014/08/30):SSHをsynapticでインストールしておきます。ないと、項番7を実行したとき、「ないぞ!」と怒られます。

No 参考図・設定内容 設定手順
1

図1

$ sudo vi /etc/hosts

127.0.1.1 pcname.shigi.local pcname localhost <=追記

(1)hosts設定

自マシン(AD−DCに参加するPC)が自身で名前解決できなければなりません。
●pcnameは、Ubuntuのホスト名です。(コマンドhostnameで表示される。)
●shigi.localはSamba4でADを導入した時に設定したRealmまたはDNS Domainで表示されていたものです。

※localhostは通常127.0.0.1ですが、Ubuntuの場合、インストール時、DHCPでアドレスを取得すると127.0.1.1が設定されるようです。Ubuntu12.04.3では、127.0.0.1と127.0.1.1の二つが設定されていました。念の為、127.0.0.1をコメントアウトして、127.0.1.1で設定しています。
2

図2

$ sudo vi /etc/nsswitch.conf

hosts: files dns mdns4_minimal [NOTFOUND=return] mdns4
networks:files

(2)nsswitch.conf設定

ネームサービスにdnsを利用します。

dnsを2番目(filesの後)に配置します。なお、1番目はhostsファイルです。
3

図3

$ sudo vi /etc/resolvconf/resolv.conf.d/head

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN

domain shigi.local <=追記
nameserver 192.168.xxx.aaa <=追記

 

$ sudo service resolvconf restart  <=設定反映

(3)resolv.confに設定反映

「ここが一番肝かも」

resolv.confは直接編集できません。仮に編集しても、再起動すると元に戻っていました。なぜなら、別の設定で上書きされているからでです。

3-1にあるように/etc/network/interfacesを編集します。

また、resolv.confには、図4のようにdomain(またはsearch) shigi.localが最上段にきて、次にnameserver 192.168.xxx.aaa(Samba4:AD−DCのIPアドレス)が来る必要があります。

Ubuntu(Linux Mint Debian mateも)では、「/etc/resolvconf/resolv.conf.d/head」を図3のように編集して、やっとresolv.confに設定が反映されました。

ちなみに、headにも「DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN」とありますが、実際に上書きされることはないようです。 resolvconfのmanに書いてあった?(記憶違いかも)
3-1

図3-1

$ sudo vi /etc/network/interfaces

auto lo
iface lo inet loopback

dns-nameservers 192.168.xxx.aaa
dns-search shigi.local

こちらのほうがよろしいかと。

interfacesの最終行に追記。

設定後、再起動します。
3-2

図3-2

$ sudo vi /etc/sysctl.conf

# Disable IPv6
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1

$ sudo sysctl -p /etc/sysctl.conf <=設定反映

IPv6無効化

sysctl.confの最終行に追記しました。
4

図4

$ sudo cat /etc/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN

nameserver 192.168.xxx.aaa
nameserver 192.168.xxx.1
nameserver 127.0.0.1
search shigi.local

(4)resolv.confの設定確認

図4のようにdomainが最上段に、その下に、Samba4(AD−DC)のIPアドレスがあればいいです。

最後の行は無くてもいいです。私の場合は、なぜか、最後の行とその上の行が表示されていました。あまり気にしていない。
5

図5

However, the repo version in 12.04 will not work with the repo version of samba. Get the new branded version at //www.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True

更新(2014/08/30):

PowerBroker Open Editionのダウンロード先URL

http://www.powerbrokeropen.org/powerbroker-open-edition-evaluation/

http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True

 

(5)Likewise Openのサポート終了?

下記サイトにあるように、12.04のリポジトリからインストールできるLikeWiseは動作しないようです。(図5)

//help.ubuntu.com/community/LikewiseOpen

そこで、このサイトに指定されているBeyond Trustのサイトから最新のLikewiseをダウンロードします。(図5のリンクから)

追記:2014/08/30 左記のURLから、各自の情報を登録すると、登録したメールアドレスにPowerBroker Open Edtitionの「ダウンロード」ボタンがついたhtml形式のメールが送信される。
その「ダウンロード」ボタンをクリックすると、図6:のサイトへ接続できる。
6 図6
LikewiseOpenのダウンロード

LikewiseOpenのダウンロード

(6)Beyond Trustからダウンロード

pbis-open-7.1.2.1233.linux.x86.deb.sh(できるだけ最新)をダウンロードします。

ubuntuを利用しました。(図6では、バージョンが少し古い)

※あまりにも新しいものは、13移行に対応しているようですね。

 図7

$ cd ./ダウンロード/

$ sudo chmod a+x ./pbis-open-7.1.2.1233.linux.x86.deb.sh

$ sudo sh ./pbis-open-7.1.2.1233.linux.x86.deb.sh

(7)インストール

ダウンロードしたファイルに実行権を付加し、インストールします。

※追記2014/08/30 No such fileエラー libglade-2.0.so.0がない!>>
対策:synapticより、libgtk2-gladexml-perlをインストール。
$ sudo apt-get install libgrade2-0
図8Screenshot_from_2013-05-22 17_16_18

(8)ADへの登録開始

インストールが終わると、ADに参加する画面が表示される

※図8のComputer nameはyoisho-pcではなくpcnameです。(各自で合わせます)

Domainには、SHIGI.LOCALを入力します。

「Join Domain」をクリックします。
 図9Screenshot_from_2013-05-22 17_16_31

(9)ログインパスワード入力

Samba4(AD-DC)サーバに設定されているAdministratorのパスワードを入力

「OK」ボタンをクリックしましす。
10  図10Screenshot_from_2013-05-22 17_16_53Screenshot_from_2013-05-22 17_17_11

(10)ADへの参加成功

「Succeeded」が表示され、参加が完了します。

ドメインコントローラにコンピュータpcnameが登録されています。

もし失敗するときは、各設定(1)〜(4)をチェックします。

また、時刻のズレがないかもチェックしてください。サーバと5分以上ずれると接続に失敗するようです。(重要)

時刻のズレは、ntpサーバ(インターネット経由で時刻を合わせる)で行いましょう。

失敗すると、原因を究明するのが難しく、結構はまります。焦らないことです。とにかく設定を見直し、AD-DCの仕組みをていねいにおさらいしてみます。(勉強になります)

登録に成功したら「閉じる」ボタンをクリックします。
11  図11Screenshot_from_2013-05-22 17_17_29  (11)ADのメンバーシップが表示

 
※Computer Nameのところは、yoisho-pcですが、実際には、pcnameとなっているはずです。(各自の環境で読み替えてください)
 
「閉じる」ボタンをクリックします。
 
※「Leave Domain」をクリックするとドメインから解放されるようです。つまり、アクティブディレクトリにログインできなくなるようです。
 
Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツールを使うと、コンピュータにpcname.shigi.localが登録されているのが確認できます。
 
今回の目的は、UbuntuをAD-DCに参加させることです。 AD-DC上での管理方法は別のサイトや教科書を参考にしてください。
※Ubuntu14.04 64bitは、これ以降は、こちらを参考にしてください。
12  図12shot5-resizedKDMのログイン画面

 (12)ログイン

再起動後、AD-DC登録ユーザでログインします。

今回は、userです。

実は、最初は、SHIGI\userでログインを試みたのですが失敗しました。

pbis-openのマニュアルには、DOMAIN\usernameのような記述があります。

※Ubuntuのデフォルトのログイン画面はディスプレイマネジャがlightdmです。 これでは、事前にUbuntuに登録されているユーザしか選択できませんでした。

今回は、ADに登録されているユーザでログインしたいので、Ubuntuに登録されているとは限りません。

※gdmだと、「その他」から新たにユーザ名を指定してログインできます。しかし、今回、このPCの環境では不安定でログインできないときもありました。gdm自体が落ちたりしました。

※kdmを使いました。安定しています。各自のPCに合わせて選択します。
13

図13

現在のシェルを確認

$ echo $SHELL

/bin/sh <=シェルがshになっていた

ログインシェルをbashに変更する

$ sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

再起動

$ sudo reboot

(13)ログインシェルの変更

ログイン後、シェルがbashではなくshになっていました。(本来はbashのはず)

Linux MintやDebianではたしかbashだったと思います。
14

図14

ホームディレクトリ直下

$ touch .gnomerc <=空の.gnomercファイル作成

$ vi .gnomerc
export LANG=ja_JP.UTF8  <=追記
export LANGUAGE=ja_JP.en <=追記

上書き保存後、再ログイン

(14)日本語表示環境構築

起動したときは、パネルが英語表示になっています。
図14の設定後、再ログインします。
このとき、ホームディレクトリ配下のフォルダ名(ドキュメントなど)を英語表記から日本語表記に変更するかの確認ダイアログが表示されます。
 
「OK」をクリックするとフォルダ名が日本語表記になります。お好みで。
15

 図15

$ sudo visudo

%SHIGI\\domain^admins ALL=(ALL) ALL <=追記

(15)管理者権限を登録

※nanoがデフォルトエディターとなっていたので、viに変更するため
 
$ sudo update-alternatives –config editor (一行で入力)
 
を実行して、エディターの起動順位をviが優先されるように変更します。
16

図16

すでにsudoが実行可能なユーザでログインします。
この場合は、ore。

$ sudo vi /etc/group

sudo:x:27:ore,user <=user を追加

$sudo reboot

 (16)sudoに追加

(15)で、SHIGI\\domain^adminsとしているので、ADユーザでログインすると勝手にsudoができると思っていましたが、実際には、sudoがはねられました。
 
userをsudoユーザとして登録するために、すでにsudoが実行できるoreでログインし直します。(oreは事前に作成していたUbuntuのユーザです。)
 
設定後、念のために再起動してuserでログインします。
 
後は、通常のユーザと同じように操作できます。sudoが実行できるか確認しておきましょう。