SUSE Linux MicroからのActive Directoryへのアクセス

発行日: 18/06/2025

概要: SUSE Linux Microでは、Active Directoryに保存されているデータを操作できます。
目的: このトピックでは、Active Directoryドメインに参加する方法について説明します。
所要時間: この記事の理解には5分ほどを要します。
目標: Active Directoryドメインに保存されているデータにアクセスできるようになります。
要件: 特定のActive Directoryドメインの資格情報

改訂履歴: SUSE Linux MicroからのActive Directoryへのアクセス

1 Active Directoryとは #

Active Directory* (AD)は、LDAP、Kerberos、およびその他のサービスに基づくディレクトリサービスです。Microsoft* Windows*が、リソース、サービス、ユーザを管理するために使用します。Microsoft Windowsネットワークでは、Active Directoryはこれらのオブジェクトに関する情報を提供し、オブジェクトへのアクセスを制限し、ポリシーを強制します。SUSE Linux Microを使用すると、既存のActive Directoryドメインに参加して、LinuxマシンをWindows環境に統合できます。

SUSE Linux MicroをActive Directoryと統合すると、次のようなメリットがあります

オフライン認証: ユーザは、オフラインの場合でも、他の理由でActive Directoryサーバが利用できない場合でも、Linuxマシンにログインしてローカルデータにアクセスできます。
Windowsパスワードの変更: LinuxでのActive Directoryサポートのこの部分では、Active Directoryに格納されている企業パスワードポリシーを強制します。コンソールは、パスワード変更メッセージをサポートし、ユーザ入力を受け入れます。passwdコマンドを使用して、Windowsパスワードを設定することもできます。
Kerberosによるシングルサインオン: adcliは、Webサーバ、プロキシ、グループウェアアプリケーション、またはその他の場所でパスワードを再入力することなく、ユーザの認証を透過的に処理できます。

ディレクトリサービスと通信するために、クライアントは少なくとも2つのプロトコルをサーバと共有する必要があります。

LDAP: LDAPは、ディレクトリ情報を管理できるように最適化されたプロトコルです。Active Directoryと連携するWindowsドメインコントローラでは、LDAPプロトコルを使用して、ディレクトリ情報をクライアントと交換できます。
Kerberos: Kerberosは、信頼できる第三者による認証サービスです。そのすべてのクライアントは、別のクライアントの識別情報に関するKerberos認証を信頼し、Kerberos化されたシングルサインオン(SSO)ソリューションを有効にします。Windowsは、Kerberos実装をサポートしていて、LinuxクライアントでもKerberos SSOを有効にします。

2 Active Directoryに参加するために必要な前提条件 #

Active Directoryドメインに参加する前に、次の要件が満たされていることを確認してください。

DNS: DNS要求をActive Directory DNSサーバに転送するように、DNSが設定されている必要があります。または、Active Directory DNSを使用するようにクライアントを設定します。
NTP: Kerberosを使用する場合は、時刻が正しく同期されていることを確認してください。この目的のために、中央のNTPタイムサーバを使用することを強くお勧めします(これは、Active Directoryドメインコントローラで実行されているNTPサーバでもかまいません)。詳細については、NTP time synchronizationを参照してください。
ファイアウォール: ファイアウォールを完全に無効にするか、参照に使用するインタフェースを内部ゾーンの一部としてマークします。Cockpitを使用して、内部ファイアウォールゾーンを設定できます。
Active Directoryアカウント: Active Directoryドメインにアクセスするための適切な資格情報があることを確認します。

3 Active Directoryドメインへの追加 #

SUSE Linux Microでは、最初にActive Directoryドメインに参加する必要があります。これを行うには、adcliコマンドを使用します。これにより、ドメインに参加しているマシンのコンピュータアカウントが作成され、Kerberosが使用されている場合は、マシンのキータブが作成されます。

ドメインに参加するには、次の手順に従います。

(オプション) SSSDを使用してオフライン認証を使用するには、まずそれをインストールします。
1. 次のコマンドを実行します。
```
> sudo  transactional-update pkg install sssd
```
2. システムを再起動します。
3. 調整が必要な場合は、/etc/sssd/sssd.confを確認します。
4. SSSDにKerberosの使用を許可するには、次のコマンドを実行してkerberos_enabledブール値をオンにします。
```
> sudo setsebool -P kerberos_enabled 1
```
次のように、adcliコマンドを実行します。
```
> sudo adcli join -d DOMAIN_NAME
```
ドメインの資格情報を入力します。

ドメインに参加すると、Active Directoryにログインし、オフライン認証を使用できるようになります。

4 Active Directoryドメインへのログ記録 #

Active Directoryクライアントマシンには、テキストベースのコンソールを使用してログインすることも、SSHを使用してリモートでログインすることもできます

コンソールからログインするには、login:プロンプトで次のように入力します。

      DOMAIN_NAME\USER_NAME

次に、パスワードを入力します。

リモートログインの場合は、次のようにSSHを使用します。

> sudo ssh DOMAIN_NAME\\USER_NAME@HOST_NAME

\ドメインとログインの区切り文字は、別の\記号でエスケープされます。

次に、パスワードを入力してログインします。

5 法的事項 #

この文書は、GNUフリー文書ライセンスのバージョン1.2または(オプションとして)バージョン1.3の条項に従って、複製、頒布、および/または改変が許可されています。ただし、この著作権表示およびライセンスは変更せずに記載すること。ライセンスバージョン1.2のコピーは、「GNUフリー文書ライセンス」セクションに含まれています。

SUSEの商標については、https://www.suse.com/company/legal/を参照してください。その他の第三者のすべての商標は、各社の所有に帰属します。商標記号(®、™など)は、SUSEおよび関連会社の商標を示します。アスタリスク(*)は、第三者の商標を示します。

本書のすべての情報は、細心の注意を払って編集されています。しかし、このことは正確性を完全に保証するものではありません。SUSE LLC、その関係者、著者、翻訳者のいずれも誤りまたはその結果に対して一切責任を負いかねます。