2012年1月29日日曜日

LinuxサーバをActiveDirectoryに連携させる


ActiveDirectory上で一元管理されたユーザをLinuxサーバ上で使うことが目的です。
・ActiveDirectoryサーバOS: Windows Server 2008 R2
 → FQDNは win2k8r2-ad01.kuitan.net
・LinuxサーバOS: CentOS6.2 (64-bit)


■/etc/hostsに自HOSTおよびADサーバを追加

[root@centos62 ~]# vi /etc/hosts
[root@centos62 ~]# cat /etc/hosts
# 127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
127.0.0.1   centos62 localhost localhost.localdomain
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.xxx.125   win2k8r2-ad01.kuitan.net win2k8r2-ad01
[root@centos62 ~]#

■resolv.confの設定

[root@centos62 ~]# vi /etc/resolv.conf
[root@centos62 ~]# cat /etc/resolv.conf
# Generated by NetworkManager


# No nameservers found; try putting DNS servers into your
# ifcfg files in /etc/sysconfig/network-scripts like so:
#
# DNS1=xxx.xxx.xxx.xxx
# DNS2=xxx.xxx.xxx.xxx
# DOMAIN=lab.foo.com bar.foo.com

search kuitan.net
nameserver 192.168.xxx.125
[root@centos62 ~]#

⇒networkサービスを再起動すると設定がクリアされてしまうのでifcfg-eth0に記述
[root@centos62 ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
[root@centos62 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE="eth0"
NM_CONTROLLED="yes"
ONBOOT=yes
HWADDR=00:0C:29:xx:xx:xx
TYPE=Ethernet
BOOTPROTO=none
IPADDR=192.168.xxx.143
PREFIX=24
GATEWAY=192.168.xxx.1
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=5xxx6bd0-0ba0-7ffb-4xx1-d6xxxxxf3203
DOMAIN=kuitan.net
DNS1=192.168.xxx.125
[root@centos62 ~]#

[root@centos62 ~]# /etc/init.d/network restart
インターフェース eth0 を終了中:  デバイスの状態: 3 (切断済み)
                                                           [  OK  ]
ループバックインターフェースを終了中                       [  OK  ]
ループバックインターフェイスを呼び込み中                   [  OK  ]
インターフェース eth0 を活性化中:  アクティブ接続の状態: アクティベート済み
アクティブ接続のパス: /org/freedesktop/NetworkManager/ActiveConnection/3
                                                           [  OK  ]
[root@centos62 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search kuitan.net
nameserver 192.168.xxx.125
[root@centos62 ~]#

■Windbindに必要なSambaのパッケージ確認(samba-clientとsamba-commonが必要)

[root@centos62 ~]# rpm -qa | grep samba
samba-winbind-clients-3.5.10-114.el6.x86_64
samba-3.5.10-114.el6.x86_64
samba4-libs-4.0.0-23.alpha11.el6.x86_64
samba-common-3.5.10-114.el6.x86_64
samba-client-3.5.10-114.el6.x86_64
[root@centos62 ~]#

■Winbindがない場合はあらかじめインストールしておく(CentOS6.2インストールメディアより)

[root@centos62 ~]# rpm -ivh /media/CentOS_6.2_Final/Packages/samba-winbind-3.5.10-114.el6.x86_64.rpm
警告: /media/CentOS_6.2_Final/Packages/samba-winbind-3.5.10-114.el6.x86_64.rpm: ヘッダ V3 RSA/SHA1 Signature, key ID c105b9de: NOKEY
準備中...                ################################# [100%]
   1:samba-winbind          ################################# [100%]
[root@centos62 ~]# rpm -qa | grep winbind
samba-winbind-clients-3.5.10-114.el6.x86_64
samba-winbind-3.5.10-114.el6.x86_64
[root@centos62 ~]#
※ntlm_authコマンドも利用できるようになる。

■smb.confの設定([global]セクションに下記を追加)

[root@centos62 ~]# cd /etc/samba
[root@centos62 samba]# ll
合計 20
-rw-r--r--. 1 root root   20 12月  8 09:15 2011 lmhosts
-rw-r--r--. 1 root root 9778 12月  8 09:15 2011 smb.conf
-rw-r--r--. 1 root root   97 12月  8 09:15 2011 smbusers
[root@centos62 samba]# cp -p smb.conf smb.conf.20111208
[root@centos62 samba]# vi smb.conf

245行目あたりから
# ---- Settings for Winbind ----
  security = ads
  workgroup = KUITAN
  realm = KUITAN.NET
  password server = win2k8r2-ad01.kuitan.net
  encrypt passwords = true
  idmap uid = 10000-25000
  idmap gid = 10000-20000
  winbind use default domain = yes
  winbind cache time = 90
#  winbind nested groups = yes
#  template shell = /bin/bash
#  template homedir = /home/%U

■nsswitch.confの設定

[root@rails01 ~]# cp -p /etc/nsswitch.conf /etc/nsswitch.conf.20040923
[root@rails01 ~]# vi /etc/nsswitch.conf
33行目あたりを修正
passwd:     files winbind
shadow:     files winbind
group:      files winbind

■krb5.confの設定

[root@centos62 ~]# cp -p /etc/krb5.conf /etc/krb5.conf.20100218
[root@centos62 ~]# vi /etc/krb5.conf
[root@centos62 ~]# cat /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = KUITAN.NET
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 KUITAN.NET = {
  kdc = win2k8r2-ad01.kuitan.net
  admin_server = win2k8r2-ad01.kuitan.net
 }

[domain_realm]
 .kuitan.net = KUITAN.NET
 kuitan.net = KUITAN.NET
[root@centos62 ~]#

⇒下記のようにviの文字列置換を使うとラク。
:%s/EXAMPLE.COM/KUITAN.NET/g
:%s/kerberos.example.com/win2k8r2-ad01.kuitan.net/g
:%s/example.com/kuitan.net/g

■smbとwinbindを起動

[root@centos62 ~]# /etc/init.d/smb start
SMB サービスを起動中:                                      [  OK  ]
[root@centos62 ~]# /etc/init.d/winbind start
Winbind サービスを起動中:                                  [  OK  ]
[root@centos62 ~]#

■Windowsドメインに参加

[root@centos62 ~]# net ads join -U administrator
Enter administrator's password:
Using short domain name -- KUITAN
Joined 'CENTOS62' to realm 'kuitan.net'
[2012/01/29 01:52:23.073504,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password CENTOS62$@KUITAN.NET failed: Clock skew too great
No DNS domain configured for centos62. Unable to perform DNS Update.
DNS update failed!
[root@centos62 ~]#
⇒時刻のずれが大きいため接続できない。

⇒ADサーバと時刻同期
[root@centos62 ~]# net time set -I win2k8r2-ad01.kuitan.net
2012年  1月  29日 日曜日 01:42:17 JST
[root@centos62 ~]#

⇒時刻同期後再実行
[root@centos62 ~]# net ads join -U administrator
Enter administrator's password:
Using short domain name -- KUITAN
Joined 'CENTOS62' to realm 'kuitan.net'
No DNS domain configured for centos62. Unable to perform DNS Update.
DNS update failed!
[root@centos62 ~]#

⇒接続確認
[root@centos62 ~]# net ads info
LDAP server: 192.168.xxx.125
LDAP server name: win2k8r2-ad01.kuitan.net
Realm: KUITAN.NET
Bind Path: dc=KUITAN,dc=NET
LDAP port: 389
Server time: 日, 29  1月 2012 01:45:45 JST
KDC server: 192.168.xxx.125
Server time offset: 1
[root@centos62 ~]# net ads testjoin
Join is OK

⇒AD上のユーザとグループの表示
[root@centos62 ~]# wbinfo -u
administrator
guest
krbtgt
aduser01
aduser02
[root@centos62 ~]# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
allowed rodc password replication group
denied rodc password replication group
read-only domain controllers
enterprise read-only domain controllers
dnsadmins
dnsupdateproxy
[root@centos62 ~]#

[root@centos62 ~]# id aduser01
uid=10000(aduser01) gid=10000(domain users) 所属グループ=10000(domain users)

[root@centos62 ~]# ntlm_auth --username=KUITAN\\aduser02
password:
NT_STATUS_OK: Success (0x0)
[root@centos62 ~]#

この情報が何かのお役にたてれば幸いです。スポソサ~へのご協力いただけると幸いです。m(_ _)m

2012年1月22日日曜日

Windows Server 2008 R2 パスワードポリシーの変更

Windows Server 2008 R2 でADユーザを作成しようとした際、「パスワードは、複雑さの要件を満たす必要がある」と警告が表示され苛立ちを覚えた時の対処法です。


■パスワードポリシーの変更
スタート → 管理ツール → ローカル セキュリティー ポリシー
セキュリティの設定/アカウント ポリシー/パスワードのポリシー
ラジオボタンがグレーアウトされており、変更できない!!

⇒DCに昇格した場合は、グループポリシーの管理から設定する。
スタート → 管理ツール → グループ ポリシーの管理

Default Domain Policy を右クリックして編集を選択
コンピュータの構成/ポリシー/Windows の設定/セキュリティの設定/アカウント ポリシー/パスワードのポリシー
「グループポリシーの管理」画面を閉じた時にその設定が反映される。

この情報がお役に立ちましたら、いえ、ご寄付はいりません。サイト継続にご協力いただければ…。 m(_ _)m

2012年1月21日土曜日

Windows Server 2008 R2 Active Directory インストール

Windows Server 2008 R2 に Active Directoryを設定する手順をまとめてみました。
主な設定項目は下記。
・OSバージョン: Windows Server 2008 R2 Standard
・ドメインの機能レベル: Windows Server 2008
・フォレストの機能レベル: Windows Server 2008
・コンピュータ名: win2k8r2-ad01
・DNSドメイン名(Active Directoryドメイン名): kuitan.net
・NetBIOSドメイン名: KUITAN
・DNSサーバ・アドレス: 127.0.0.1(ローカル・ループバック・アドレス)


■コンピュータ名とNetBIOSドメイン名の設定
コントロール パネル → システムとセキュリティ → システム → システムの詳細設定 →
コンピュータ名タブ → 変更ボタン

■IPアドレスとDNSサーバ設定の変更
コントロール パネル → ネットワークとインターネット → ネットワーク接続 →
Local Area Connectionのプロパティ → インターネット プロトコル バージョン 4 (TCP/IPv4)のプロパティ
DNSサーバのアドレスに自分自身を指すように設定する。

■Active Directoryウィザードによるインストール
スタートメニュー → ファイル名を指定して実行 → 「dcpromo」と入力
後は画面キャプチャ参照
(※補足)DNSサーバが見つからないので、上記のようなメッセージが表示されているが、[はい]を選択して先へ進めて問題なし。
-- 概要 --
新しいフォレストの最初の Active Directory ドメイン コントローラーとしてこのサーバーを構成します。
新しいドメイン名は "kuitan.net" です。これは新しいフォレスト名にもなります。
ドメインの NetBIOS 名は "KUITAN" です。
フォレストの機能レベル: Windows Server 2008 R2
ドメインの機能レベル: Windows Server 2008 R2
サイト: Default-First-Site-Name
追加オプション:
  読み取り専用ドメイン コントローラー: "いいえ"
  グローバル カタログ: はい
  DNS サーバー: はい
DNS 委任の作成: いいえ
データベースの場所: C:\Windows\NTDS
ログ ファイルの場所: C:\Windows\NTDS
SYSVOL フォルダーの場所: C:\Windows\SYSVOL
DNS サーバー サービスはこのコンピューターにインストールされます。
DNS サーバー サービスはこのコンピューターに構成されます。
このコンピューターは、この DNS サーバーを優先 DNS サーバーとして使用するように構成されます。
新しいドメイン Administrator アカウントのパスワードはこのコンピューターのローカル Administrator アカウントのパスワードと同じものに設定されます。
これにてActive Directoryのインストールは無事完了。
以後、ドメイン・コントローラには、ローカル・ユーザー・アカウントはないので下記のようにドメイン名\アカウントで接続する。

サーバーマネージャーでActive Directory のデフォルトユーザ等を確認すると下記のようになっています。

2012年1月19日木曜日

Windows Server 2008 R2 日本語化

英語版の Windows Server 2008 R2 を日本語化する手順です。
ブログタイトルではLinux関連の情報となっていますが、今回はWindows関連の情報です。


■ Windows Server 2008 R2 複数言語ユーザー インターフェイス言語パックの適用
Microsoft Download Centerのこちらのサイトより Windows6.1-KB974587-x64-ja-jp.exe をダウンロード。

■ Windows6.1-KB974587-x64-ja-jp.exe を実行
Windows Server 2008 R2 サーバ上の適当な場所で実行する。


■ display langage を変更
Start ⇒ Control Panel
change display langage をクリック。
OKボタンをクリックすると再起動が促される。
再起動後は日本語環境になっている。
以上。これだけです。

2012年1月18日水曜日

IT検定 Lxe2に挑んでみた

Lxe2(エル・バイ・イーツー)とは、日本サード・パーティ株式会社が提供する ICT エンジニアのスキル評価テストです。流動化する労働市場でグローバルに活躍するクラ ウド・エンジニアのあるべき姿に必要とされる基礎体力(技術・知識)の「リアルタイム スコア評価」テストです。

っという検定です。サイトにログインして試験開始なんで、受ける場所は問いません。 なので受ける前まではGoogle先生に聞きながら回答すれば楽勝か、めんどくせー。くらいに思っていました。 受けてみた感想ですが、うーん、出題範囲が広い。問題数が多い。そして回答時間が少ない!少なすぎる。 なんとなく、ググっている暇はなさそうだと予想していましたが、その通り。(T-T)

132問出題されて回答時間は52分。つまり、1問あたり約24秒で解かなければならない!! これから検定する方はこの情報を知ってるか知らないかでえらい違いです。(笑)

問題レベルも簡単なものから、やってなきゃ絶対わからんやろー!とツッ込みたくなるものまで様々です。 なるほど。参考になるね。っと思った方はぜひ広告サイトクリックをお願い申し上げます。m(_ _)m

で、結果は下記な感じ。
うーん、微妙…。後半は時間なく焦ってケアレスミス連発やし。
セキュアド持ってるくせにセキュリティで点が取れていないのもいただけない。

それほど専門じゃないDBとアプリがまぁまぁ取れていたから良しとするか。ってなところです。 対策としては、そもそも対策して受ける趣旨の検定ではなさそうですが、 強いて言えば、3文字IT用語とかはその意味を把握しておいたほうがよさそう。

2012年1月17日火曜日

CentOS6.2 主なバンドルソフトウェアのバージョン

CentOS6.2の主なバンドルソフトウェアのバージョンを紐解いてみたいと思います。
ぶっちゃけrpmコマンド結果をgrepしているだけです。
■apache
[root@centos62 ~]# rpm -qa | grep httpd
httpd-tools-2.2.15-15.el6.centos.x86_64
httpd-manual-2.2.15-15.el6.centos.noarch
httpd-2.2.15-15.el6.centos.x86_64

■perl
[root@centos62 ~]# rpm -q perl
perl-5.10.1-119.el6_1.1.x86_64

■php
[root@centos62 ~]# rpm -q php
php-5.3.3-3.el6_1.3.x86_64

■java
[root@centos62 ~]# java -version
java version "1.6.0_22"
OpenJDK Runtime Environment (IcedTea6 1.10.4) (rhel-1.41.1.10.4.el6-x86_64)
OpenJDK 64-Bit Server VM (build 20.0-b11, mixed mode)

■mysql
[root@centos62 ~]# rpm -qa | grep mysql
mysql-libs-5.1.52-1.el6_0.1.x86_64
mysql-server-5.1.52-1.el6_0.1.x86_64
mysql-connector-odbc-5.1.5r1144-7.el6.x86_64
mysql-5.1.52-1.el6_0.1.x86_64

■samba
[root@centos62 ~]# rpm -qa | grep samba
samba-winbind-clients-3.5.10-114.el6.x86_64
samba-3.5.10-114.el6.x86_64
samba-client-3.5.10-114.el6.x86_64
samba-common-3.5.10-114.el6.x86_64

■NFS
[root@centos62 ~]# rpm -qa | grep nfs
nfs-utils-1.2.3-15.el6.x86_64
nfs-utils-lib-1.1.5-4.el6.x86_64
nfs4-acl-tools-0.3.3-5.el6.x86_64

■FTP
[root@centos62 ~]# rpm -qa | grep vsftpd
vsftpd-2.2.2-6.el6_0.1.x86_64

思いつくままに列挙してみましたが、何か足りてない気も…。

2012年1月15日日曜日

CentOS6.2 インストールパッケージ(3)

昨年に引き続きCentOS6.2のインストールパッケージの検証を行います。 今回はサーバタイプ「Basic Server」を選択してどのようなデフォルトインストールが設定されているのかを記載します。
【High Availability】
 □ High Availability
 □ High Availability の管理

【Load Balancer】
 □ Load Balancer

【Resilient Storage】
 □ Resilient Storage

【Scalable Filesystem】
 □ Scalable Filesystem

【Webサービス】
 □ PHP サポート
 □ TurboGears アプリケーションフレームワーク
 □ Web サーバー
 □ Web サーブレットエンジン

【アプリケーション】
 □ Emacs
 □ TeX のサポート
 □ インターネットアプリケーション
 □ インターネットブラウザ
 □ オフィススイートと生産性
 □ グラフィックツール
 □ 技術文書

【サーバー】
 □ CIFS ファイルサーバー
 □ FTP サーバー
 □ Identity Management Server
 □ NFS ファイルサーバ
 ■ サーバープラットフォーム
 □ システム管理ツール
 □ ディレクトリサーバー 
 □ ネットワークインフラストラクチャサーバー
 □ ネットワークストレージサーバー
 □ バックアップサーバー
 □ プリントサーバー
 □ 電子メールサーバー

【システム管理】
 □ SNMP サポート
 □ WBEM サポート
 □ システム管理
 □ システム管理 Messaging Server のサポート
 □ メッセージング接続クライアントのサポート

【デスクトップ】
 □ KDEデスクトップ
 □ X Window System
 □ グラフィカル管理ツール
 □ デスクトップ
 □ デスクトップのデバッグとパフォーマンスツール
 □ デスクトッププラットフォーム
 □ フォント
 □ リモートデスクトップ接続クライアント
 □ レガシー X Windows システムの互換性
 □ 入力メソッド
 □ 汎用デスクトップ (GNOMEデスクトップ)

【データベース】
 □ MySQL データベースサーバー
 □ MySQL データベース接続クライアント
 □ PostgreSQL データベースサーバー
 □ PostgreSQL データベース接続クライアント

【ベースシステム】
 □ FCoE ストレージ接続クライアント
 □ Infiniband のサポート
 ■ Java プラットフォーム
 ■ Perl のサポート
 □ Ruby Support
 □ iSCSI ストレージ接続クライアント
 ■ クライアント管理ツール
 ■ コンソールインターネットツール
 □ ストレージ可用性ツール
 □ スマートカードのサポート
 □ セキュリティツール
 □ ダイヤルアップネットワークサポート
 ■ ディレクトリ接続クライアント
 ■ デバッグツール
 □ ネットワーキングツール
 ■ ネットワークファイルシステムクライアント
 ■ ハードウェア監視ユーティリティ
 □ バックアップクライアント
 ■ パフォーマンスツール
 ■ ベース
 □ メインフレームアクセス
 □ レガシー UNIX の互換性
 □ 互換性ライブラリ
 □ 印刷クライアント
 ■ 大規模システムのパフォーマンス
 □ 数学/科学系および並列計算

【仮想化】
 □ 仮想化
 □ 仮想化クライアント
 □ 仮想化ツール
 □ 仮想化プラットフォーム

【言語】
 ■ 日本語のサポート
 ※ 他は省略

【開発】
 □ Eclipse
 □ その他の開発
 □ サーバープラットフォーム開発
 □ デスクトッププラットフォーム開発
 □ 開発ツール

---------------------------------------
 □:インストールしない
 ■:インストールする

個人的にはサーバとして最低限必要な機能のみに絞られており好感触。
これをベースに必要に応じApache機能を追加したり、NFS,FTPあたりを設定する感じ。
CentOS6.2標準のApacheやMySQLのバージョンも気になりますが、こちらは次回レポートします。

お手数をおかけして恐縮ですが、広告サイト訪問にご協力いただけるとありがたいです。m(_ _)m