Ubuntu12.04をADに参加

Samba4によるアクティブディレクトリードメインコントローラ（AD-DC）導入に伴い、社内ＰＣをすべてAD-DCに参加させることにしました。

WindowsXPや7は、ネット上に山のように接続方法がアップされているので問題はなかったのですが、UbuntuをAD-DCに参加させる情報はなかなか見つけることができませんでした。

また、あっても情報が古く、設定方法が使えなくなっていたりしました。

今回は、志義ドットPCメイン機のUbuntu12.04（Linux Mint Debian mateも同じだった）をAD-DCに参加させる手順を示します。

前提は、Samba4（IPアドレスは、192.168.xxx.aaa）によるAD-DCが正常に動作していることです。

下記の設定は、ＡＤ−ＤＣに参加させたいＰＣ（今回はUbuntu）上の端末で実行します。

追記（2014/08/30）：SSHをsynapticでインストールしておきます。ないと、項番７を実行したとき、「ないぞ！」と怒られます。

No	参考図・設定内容	設定手順
1	図１ $ sudo vi /etc/hosts 127.0.1.1 pcname.shigi.local pcname localhost　＜＝追記	（１）hosts設定自マシン（ＡＤ−ＤＣに参加するＰＣ）が自身で名前解決できなければなりません。 ●pcnameは、Ubuntuのホスト名です。（コマンドhostnameで表示される。） ●shigi.localはSamba4でADを導入した時に設定したRealmまたはDNS Domainで表示されていたものです。 ※localhostは通常127.0.0.1ですが、Ubuntuの場合、インストール時、DHCPでアドレスを取得すると127.0.1.1が設定されるようです。Ubuntu12.04.３では、127.0.0.1と127.0.1.1の二つが設定されていました。念の為、127.0.0.1をコメントアウトして、127.0.1.1で設定しています。
2	図２ $ sudo vi /etc/nsswitch.conf hosts: files dns mdns4_minimal [NOTFOUND=return] mdns4 networks:files	（２）nsswitch.conf設定ネームサービスにdnsを利用します。 dnsを２番目（filesの後）に配置します。なお、１番目はhostsファイルです。
3	図３ ~~$ sudo vi /etc/resolvconf/resolv.conf.d/head~~ ~~# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)~~ ~~# DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN~~ ~~domain shigi.local　＜＝追記~~ ~~nameserver 192.168.xxx.aaa　＜＝追記~~ ~~$ sudo service resolvconf restart ＜＝設定反映~~	（３）resolv.confに設定反映「ここが一番肝かも」 resolv.confは直接編集できません。仮に編集しても、再起動すると元に戻っていました。なぜなら、別の設定で上書きされているからでです。 3-1にあるように/etc/network/interfacesを編集します。また、resolv.confには、図４のようにdomain（またはsearch） shigi.localが最上段にきて、次にnameserver 192.168.xxx.aaa（Samba4：ＡＤ−ＤＣのIPアドレス）が来る必要があります。 ~~Ubuntu（Linux Mint Debian mateも）では、「/etc/resolvconf/resolv.conf.d/head」を図３のように編集して、やっとresolv.confに設定が反映されました。~~ ちなみに、headにも「DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN」とありますが、実際に上書きされることはないようです。 resolvconfのmanに書いてあった？（記憶違いかも）
3-1	図３-1 $ sudo vi /etc/network/interfaces auto lo iface lo inet loopback dns-nameservers 192.168.xxx.aaa dns-search shigi.local	こちらのほうがよろしいかと。 interfacesの最終行に追記。設定後、再起動します。
3-2	図３-2 $ sudo vi /etc/sysctl.conf # Disable IPv6 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 $ sudo sysctl -p /etc/sysctl.conf <=設定反映	IPv6無効化 sysctl.confの最終行に追記しました。
4	図４ $ sudo cat /etc/resolv.conf # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN nameserver 192.168.xxx.aaa ~~nameserver 192.168.xxx.1~~ ~~nameserver 127.0.0.1~~ search shigi.local	（４）resolv.confの設定確認 ~~図４のようにdomainが最上段に、その下に、Samba4（ＡＤ−ＤＣ）のIPアドレスがあればいいです。~~ ~~最後の行は無くてもいいです。私の場合は、なぜか、最後の行とその上の行が表示されていました。あまり気にしていない。~~
5	図５ However, the repo version in 12.04 will not work with the repo version of samba. Get the new branded version at //www.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True 更新（2014/08/30）： PowerBroker Open Editionのダウンロード先URL ~~http://www.powerbrokeropen.org/powerbroker-open-edition-evaluation/~~ http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True	（５）Likewise Openのサポート終了？ ~~下記サイトにあるように、12.04のリポジトリからインストールできるLikeWiseは動作しないようです。（図５）~~ ~~//help.ubuntu.com/community/LikewiseOpen~~ ~~そこで、このサイトに指定されているBeyond Trustのサイトから最新のLikewiseをダウンロードします。（図５のリンクから）~~ 追記：2014/08/30　左記のURLから、各自の情報を登録すると、登録したメールアドレスにPowerBroker Open Edtitionの「ダウンロード」ボタンがついたhtml形式のメールが送信される。その「ダウンロード」ボタンをクリックすると、図６：のサイトへ接続できる。
6	図６ LikewiseOpenのダウンロード	（６）Beyond Trustからダウンロード pbis-open-7.1.2.1233.linux.x86.deb.sh（できるだけ最新）をダウンロードします。 ubuntuを利用しました。（図６では、バージョンが少し古い） ※あまりにも新しいものは、13移行に対応しているようですね。
７	図７ $ cd ./ダウンロード/ $ sudo chmod a+x ./pbis-open-7.1.2.1233.linux.x86.deb.sh $ sudo sh ./pbis-open-7.1.2.1233.linux.x86.deb.sh	（７）インストールダウンロードしたファイルに実行権を付加し、インストールします。 ※追記2014/08/30 No such fileエラー　libglade-2.0.so.0がない！＞＞対策：synapticより、libgtk2-gladexml-perlをインストール。 $ sudo apt-get install libgrade2-0
８	図８	（８）ADへの登録開始インストールが終わると、ADに参加する画面が表示される ※図８のComputer nameはyoisho-pcではなくpcnameです。（各自で合わせます） Domainには、SHIGI.LOCALを入力します。「Join Domain」をクリックします。
９	図９	（９）ログインパスワード入力 Samba4（AD-DC）サーバに設定されているAdministratorのパスワードを入力「OK」ボタンをクリックしましす。
10	図10	（10）ADへの参加成功「Succeeded」が表示され、参加が完了します。ドメインコントローラにコンピュータpcnameが登録されています。もし失敗するときは、各設定（１）〜（４)をチェックします。また、時刻のズレがないかもチェックしてください。サーバと5分以上ずれると接続に失敗するようです。（重要）時刻のズレは、ntpサーバ（インターネット経由で時刻を合わせる）で行いましょう。失敗すると、原因を究明するのが難しく、結構はまります。焦らないことです。とにかく設定を見直し、AD-DCの仕組みをていねいにおさらいしてみます。（勉強になります）登録に成功したら「閉じる」ボタンをクリックします。
11	図11	（11）ADのメンバーシップが表示 ※Computer Nameのところは、yoisho-pcですが、実際には、pcnameとなっているはずです。(各自の環境で読み替えてください）「閉じる」ボタンをクリックします。 ※「Leave Domain」をクリックするとドメインから解放されるようです。つまり、アクティブディレクトリにログインできなくなるようです。 ※Windows 7 Service Pack 1 (SP1) 用のリモートサーバー管理ツールを使うと、コンピュータにpcname.shigi.localが登録されているのが確認できます。今回の目的は、UbuntuをAD-DCに参加させることです。 AD-DC上での管理方法は別のサイトや教科書を参考にしてください。 ※Ubuntu14.04 64bitは、これ以降は、こちらを参考にしてください。
12	図12KDMのログイン画面	（12）ログイン再起動後、AD-DC登録ユーザでログインします。今回は、userです。実は、最初は、SHIGI\userでログインを試みたのですが失敗しました。 pbis-openのマニュアルには、DOMAIN\usernameのような記述があります。 ※Ubuntuのデフォルトのログイン画面はディスプレイマネジャがlightdmです。これでは、事前にUbuntuに登録されているユーザしか選択できませんでした。今回は、ADに登録されているユーザでログインしたいので、Ubuntuに登録されているとは限りません。 ※gdmだと、「その他」から新たにユーザ名を指定してログインできます。しかし、今回、このPCの環境では不安定でログインできないときもありました。gdm自体が落ちたりしました。 ※kdmを使いました。安定しています。各自のPCに合わせて選択します。
13	図13 現在のシェルを確認 $ echo $SHELL /bin/sh　＜＝シェルがshになっていたログインシェルをbashに変更する $ sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash 再起動 $ sudo reboot	（13）ログインシェルの変更ログイン後、シェルがbashではなくshになっていました。（本来はbashのはず） Linux MintやDebianではたしかbashだったと思います。
14	図14 ホームディレクトリ直下 $ touch .gnomerc　＜＝空の.gnomercファイル作成 $ vi .gnomerc export LANG=ja_JP.UTF8　　＜＝追記 export LANGUAGE=ja_JP.en　＜＝追記上書き保存後、再ログイン	（14）日本語表示環境構築起動したときは、パネルが英語表示になっています。図14の設定後、再ログインします。このとき、ホームディレクトリ配下のフォルダ名（ドキュメントなど）を英語表記から日本語表記に変更するかの確認ダイアログが表示されます。「OK」をクリックするとフォルダ名が日本語表記になります。お好みで。
15	図15 $ sudo visudo %SHIGI\\domain^admins ALL=(ALL) ALL　＜＝追記	（15）管理者権限を登録 ※nanoがデフォルトエディターとなっていたので、viに変更するため $ sudo update-alternatives –config editor　（一行で入力）を実行して、エディターの起動順位をviが優先されるように変更します。
16	図16 すでにsudoが実行可能なユーザでログインします。この場合は、ore。 $ sudo vi /etc/group sudo:x:27:ore,user　＜＝user を追加 $sudo reboot	（16）sudoに追加（15）で、SHIGI\\domain^adminsとしているので、ADユーザでログインすると勝手にsudoができると思っていましたが、実際には、sudoがはねられました。 userをsudoユーザとして登録するために、すでにsudoが実行できるoreでログインし直します。（oreは事前に作成していたUbuntuのユーザです。）設定後、念のために再起動してuserでログインします。後は、通常のユーザと同じように操作できます。sudoが実行できるか確認しておきましょう。