Samba4によるアクティブディレクトリードメインコントローラ(AD-DC)導入に伴い、社内PCをすべてAD-DCに参加させることにしました。
WindowsXPや7は、ネット上に山のように接続方法がアップされているので問題はなかったのですが、UbuntuをAD-DCに参加させる情報はなかなか見つけることができませんでした。
また、あっても情報が古く、設定方法が使えなくなっていたりしました。
今回は、志義ドットPCメイン機のUbuntu12.04(Linux Mint Debian mateも同じだった)をAD-DCに参加させる手順を示します。
前提は、Samba4(IPアドレスは、192.168.xxx.aaa)によるAD-DCが正常に動作していることです。
下記の設定は、AD−DCに参加させたいPC(今回はUbuntu)上の端末で実行します。
追記(2014/08/30):SSHをsynapticでインストールしておきます。ないと、項番7を実行したとき、「ないぞ!」と怒られます。
No | 参考図・設定内容 | 設定手順 |
---|---|---|
1 |
図1 $ sudo vi /etc/hosts 127.0.1.1 pcname.shigi.local pcname localhost <=追記 |
(1)hosts設定 自マシン(AD−DCに参加するPC)が自身で名前解決できなければなりません。 ※localhostは通常127.0.0.1ですが、Ubuntuの場合、インストール時、DHCPでアドレスを取得すると127.0.1.1が設定されるようです。Ubuntu12.04.3では、127.0.0.1と127.0.1.1の二つが設定されていました。念の為、127.0.0.1をコメントアウトして、127.0.1.1で設定しています。 |
2 |
図2 $ sudo vi /etc/nsswitch.conf hosts: files dns mdns4_minimal [NOTFOUND=return] mdns4 |
(2)nsswitch.conf設定 ネームサービスにdnsを利用します。 dnsを2番目(filesの後)に配置します。なお、1番目はhostsファイルです。 |
3 |
|
(3)resolv.confに設定反映 「ここが一番肝かも」 resolv.confは直接編集できません。仮に編集しても、再起動すると元に戻っていました。なぜなら、別の設定で上書きされているからでです。 3-1にあるように/etc/network/interfacesを編集します。
|
3-1 |
図3-1 $ sudo vi /etc/network/interfaces auto lo dns-nameservers 192.168.xxx.aaa |
こちらのほうがよろしいかと。 interfacesの最終行に追記。 設定後、再起動します。 |
3-2 |
図3-2 $ sudo vi /etc/sysctl.conf # Disable IPv6 $ sudo sysctl -p /etc/sysctl.conf <=設定反映 |
IPv6無効化 sysctl.confの最終行に追記しました。 |
4 |
図4 $ sudo cat /etc/resolv.conf # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) nameserver 192.168.xxx.aaa |
(4)resolv.confの設定確認
|
5 |
図5
更新(2014/08/30): PowerBroker Open Editionのダウンロード先URL
|
(5)Likewise Openのサポート終了?
追記:2014/08/30 左記のURLから、各自の情報を登録すると、登録したメールアドレスにPowerBroker Open Edtitionの「ダウンロード」ボタンがついたhtml形式のメールが送信される。 |
6 | 図6 |
(6)Beyond Trustからダウンロード pbis-open-7.1.2.1233.linux.x86.deb.sh(できるだけ最新)をダウンロードします。 ubuntuを利用しました。(図6では、バージョンが少し古い) ※あまりにも新しいものは、13移行に対応しているようですね。 |
7 |
図7 $ cd ./ダウンロード/ $ sudo chmod a+x ./pbis-open-7.1.2.1233.linux.x86.deb.sh $ sudo sh ./pbis-open-7.1.2.1233.linux.x86.deb.sh |
(7)インストール ダウンロードしたファイルに実行権を付加し、インストールします。 ※追記2014/08/30 No such fileエラー libglade-2.0.so.0がない!>> |
8 | 図8![]() |
(8)ADへの登録開始 インストールが終わると、ADに参加する画面が表示される ※図8のComputer nameはyoisho-pcではなくpcnameです。(各自で合わせます) Domainには、SHIGI.LOCALを入力します。 「Join Domain」をクリックします。 |
9 | 図9![]() |
(9)ログインパスワード入力 Samba4(AD-DC)サーバに設定されているAdministratorのパスワードを入力 「OK」ボタンをクリックしましす。 |
10 | 図10![]() ![]() |
(10)ADへの参加成功 「Succeeded」が表示され、参加が完了します。 ドメインコントローラにコンピュータpcnameが登録されています。 もし失敗するときは、各設定(1)〜(4)をチェックします。 また、時刻のズレがないかもチェックしてください。サーバと5分以上ずれると接続に失敗するようです。(重要) 時刻のズレは、ntpサーバ(インターネット経由で時刻を合わせる)で行いましょう。 失敗すると、原因を究明するのが難しく、結構はまります。焦らないことです。とにかく設定を見直し、AD-DCの仕組みをていねいにおさらいしてみます。(勉強になります) 登録に成功したら「閉じる」ボタンをクリックします。 |
11 | 図11![]() |
(11)ADのメンバーシップが表示
※Computer Nameのところは、yoisho-pcですが、実際には、pcnameとなっているはずです。(各自の環境で読み替えてください)
「閉じる」ボタンをクリックします。
※「Leave Domain」をクリックするとドメインから解放されるようです。つまり、アクティブディレクトリにログインできなくなるようです。
※Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツールを使うと、コンピュータにpcname.shigi.localが登録されているのが確認できます。
今回の目的は、UbuntuをAD-DCに参加させることです。 AD-DC上での管理方法は別のサイトや教科書を参考にしてください。
※Ubuntu14.04 64bitは、これ以降は、こちらを参考にしてください。
|
12 | 図12![]() |
(12)ログイン 再起動後、AD-DC登録ユーザでログインします。 今回は、userです。 実は、最初は、SHIGI\userでログインを試みたのですが失敗しました。 pbis-openのマニュアルには、DOMAIN\usernameのような記述があります。 ※Ubuntuのデフォルトのログイン画面はディスプレイマネジャがlightdmです。 これでは、事前にUbuntuに登録されているユーザしか選択できませんでした。 今回は、ADに登録されているユーザでログインしたいので、Ubuntuに登録されているとは限りません。 ※gdmだと、「その他」から新たにユーザ名を指定してログインできます。しかし、今回、このPCの環境では不安定でログインできないときもありました。gdm自体が落ちたりしました。 ※kdmを使いました。安定しています。各自のPCに合わせて選択します。 |
13 |
図13 現在のシェルを確認 $ echo $SHELL /bin/sh <=シェルがshになっていた ログインシェルをbashに変更する $ sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash 再起動 $ sudo reboot |
(13)ログインシェルの変更 ログイン後、シェルがbashではなくshになっていました。(本来はbashのはず) Linux MintやDebianではたしかbashだったと思います。 |
14 |
図14 ホームディレクトリ直下 $ touch .gnomerc <=空の.gnomercファイル作成 $ vi .gnomerc 上書き保存後、再ログイン |
(14)日本語表示環境構築 起動したときは、パネルが英語表示になっています。
図14の設定後、再ログインします。
このとき、ホームディレクトリ配下のフォルダ名(ドキュメントなど)を英語表記から日本語表記に変更するかの確認ダイアログが表示されます。
「OK」をクリックするとフォルダ名が日本語表記になります。お好みで。
|
15 |
図15 $ sudo visudo %SHIGI\\domain^admins ALL=(ALL) ALL <=追記 |
(15)管理者権限を登録 ※nanoがデフォルトエディターとなっていたので、viに変更するため
$ sudo update-alternatives –config editor (一行で入力)
を実行して、エディターの起動順位をviが優先されるように変更します。
|
16 |
図16 すでにsudoが実行可能なユーザでログインします。 $ sudo vi /etc/group sudo:x:27:ore,user <=user を追加 $sudo reboot |
(16)sudoに追加 (15)で、SHIGI\\domain^adminsとしているので、ADユーザでログインすると勝手にsudoができると思っていましたが、実際には、sudoがはねられました。
userをsudoユーザとして登録するために、すでにsudoが実行できるoreでログインし直します。(oreは事前に作成していたUbuntuのユーザです。)
設定後、念のために再起動してuserでログインします。
後は、通常のユーザと同じように操作できます。sudoが実行できるか確認しておきましょう。
|