FreeIPAサーバーのdna範囲を再セットする

前提条件

FreeIPAのバージョンは4.6.8、一時的に普通のPCでipa98/ipa99というFreeIPAサーバーを立てて、移行作業後に本番で使うサーバー機でipa01/ipa02をレプリカにして、何も考えずにマルチマスターだからと思って、最初に作ったipa98/ipa99をIdMで削除して、しばらく認証されてるから良いと思ってたら新しいユーザー追加できなかった際の対応内容です。下記のエラーが発生しました。
Allocation of a new value for range cn=posix ids,cn=distributed numeric assignment plugin,cn=plugins,cn=config failed! Unable to proceed.

対応内容

現在のipa01とipa02のdna範囲を確認する。

# kinit admin
# ipa-replica-manage dnarange-show

dna範囲が設定されていなかった。

ipa01.local.example.com: No range set
ipa02.local.example.com: No range set

dnarange-setで設定できそうだけど、設定する範囲を知りたいので、消してしまったサーバーの残っていた設定ファイルをfindとgrepで探索してたら、それっぽいファイルを発見した。IdMと見比べても矛盾していなさそう。

…
dnaMaxValue: 1304599999
dnaNextValue: 1304400063
…

下記のコマンドでdnaを範囲を設定したら無事にユーザーを追加できた。

# ipa-replica-manage dnarange-set ipa01.local.example.com 1304400063-1304599999

FreeIPAサーバーからIPAユーザーとWindows10のローカルユーザーを同期する

前提条件

この手順で設定したIPAサーバーを使用する
・IPAサーバーではexpectコマンドをインストール済み
この手順で設定したWindows10を使用する
・Windows10には設定からsshdをインストール済み

スクリプトの流れ

①FreeIPAサーバーですべてのIPAユーザーを取得してカンマ区切りに加工する
②expectコマンドを使用してWindowsにsshで接続する
③Windows上でユーザーの削除と追加を行うスクリプトに「①」で取得したユーザーリストを送信する

IPAサーバーのスクリプト

cronで定期的に実行するとWindowsの管理が少し楽になるかもしれない。
Windowsの台数が多い場合はsamba4のActiveDirectory使ったほうが良い。

#!/bin/bash

# Kerberosユーザーをすべて取得する
# IPAユーザー以外でログインしている場合はkinitが必要
# echo 'password' | kinit admin
USERS=`ipa user-find | grep "User login:*" | sed "s/  User login: //g" | sed -z "s/\n/,/g"`

# Windowsクライアントにsshで接続して専用batファイルを実行する
# WindowsのIPアドレスは192.168.0.100
# Administratorのパスワードは12345678
HOST="192.168.0.100"
expect -c "
	spawn ssh administrator@$HOST
	expect \"password:\"
	send 12345678\\n
	expect \"Microsoft Windows\"
	send \"C:\\\\Script\\\\UpdateUserAccounts.bat \\\"$USERS\\\"\r\n\"
	expect \"ユーザーリストの更新が完了しました。\"
	send exit\r\n
	interact
"

Windows10のスクリプト

ここではローカルにスクリプト置いてるけど、samba共有に置いた方が管理しやすいかも。

:# ※引数として渡されるユーザーリストはカンマ区切りで末尾にもカンマが必要
@echo off
set parameters=%~1
set domain=LOCAL.EXAMPLE.COM

setlocal enabledelayedexpansion

:# 引数で渡されたリストにいないユーザーの削除
set wmicresult=
for /f "usebackq tokens=*" %%P in (`wmic useraccount where "fullname LIKE '%%@%domain%'"`) do (
	set wmicresult=!wmicresult!%%P 
)
for %%P in (%wmicresult%) do (
	echo %%P | find "%domain%" 1>NUL
	if not ERRORLEVEL == 1 (
		set localname=%%P
		set localname=!localname:@%domain%=!
		echo !parameters! | find "!localname!," 1>NUL
		if ERRORLEVEL == 1 (
			net user !localname! /del 1>NUL
			rmdir /s /q !systemdrive!\Users\!localname! 1>NUL 2>NUL
		)
	)
)

:# 引数で渡されたリストでローカルにいないユーザーの作成
:# パスワードは実際のサインインには使用されないので固定値
:# パスワードの有効期限を無期限にする
:# 「Remote Desktop Users」グループに所属させる
set password=87654321
for %%P in (%parameters%) do (
	net user %%P 1>NUL 2>NUL
	if ERRORLEVEL == 1 (
		net user %%P %password% /add /expires:never /fullname:%%P@%domain% 1>NUL
		wmic useraccount where "Name='%%P'" set PasswordExpires=FALSE 1>NUL
		net localgroup "Remote Desktop Users" %%P /add 1>NUL
	)
)

endlocal

echo ユーザーリストの更新が完了しました。

Windows10にkerberos認証でサインインする

前提条件

・HomeでもProでも良い
・クライアントFQDNはwin01.local.example.com
・クライアントのhostをKDC上で作成しておく
・クライアントのkeytabを任意のパスワードで生成しておく
 (FreeIPAなら ipa-getkeytab -s dc1.local.example.com -p host/win01.local.example.com -k /etc/krb5.win01.keytab -P など)

PC名の変更

はじめにPC名をwin01にしておく。

認証サーバーの設定

コマンドプロンプトを管理者として起動し下記コマンドを実行する。

ksetup /setdomain LOCAL.EXAMPLE.COM
ksetup /setcomputerpassword keytab生成時に指定したパスワード
ksetup /addkdc LOCAL.EXAMPLE.COM dc1.local.example.com
ksetup /addkpasswd LOCAL.EXAMPLE.COM dc1.local.example.com
ksetup /mapuser * *

再起動と確認

Windowsを再起動して、フルコンピュータ名がwin01.local.example.comのようなFQDNになっていることを確認する。

暗号化の種類を構成

レジストリを編集して、Kerberosで許可する暗号化の種類を構成する。
RC4_HMAC_MD5・AES128_HMAC_SHA1・AES256_HMAC_SHA1を有効にするのが目的。
※gpedit.mscが使えるならGUIで設定しても良い

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters]
"SupportedEncryptionTypes"=dword:0000001c

ローカルアカウントの作成

kerberos認証でサインインするユーザーと同名のローカルアカウントを作成する。
※実際の認証には使われないがパスワードは管理者側で何か設定した方が良い

実際のサインイン

サインインする際は「user@LOCAL.EXAMPLE.COM」のようにrealmをつけて行う。

Ubuntu18.04をIPAクライアントとして設定する

前提条件

この手順で設定したIPAサーバーを使用する
・IdMなどでIPAサーバーにクライアントhostを作成しておく

ホスト名をFQDNにする。

# hostnamectl set-hostname client01.local.example.com

FQDNでの名前解決をできるようにしておく。

127.0.0.1    client01.local.example.com

必要なパッケージのインストール。

# apt install freeipa-client

対話型のインストーラーを起動する。
※「–enable-dns-updates」はDNSへのIPアドレス自動更新を有効にするオプション

# ipa-client-install --enable-dns-updates

IPAユーザーのログイン時にホームディレクトリを自動生成する設定。

# pam-auth-update --enable mkhomedir

再起動して完了。

CentOS7で設定したIPAサーバー上でsamba共有を行う

環境

・IPAサーバーのFQDNはipa1.local.example.com
・実際にはここの手順で構築したIPAサーバーを使用した

手順

IPAサーバー上でsambaをインストールする。

# yum install samba

IPAサーバーにサービスを追加する。IdMから追加しても良い。

# kinit admin
# ipa service-add cifs/ipa1.local.example.com

keytabを作成する。

# ipa-getkeytab -s ipa1.local.example.com -p cifs/ipa1.local.example.com -k /etc/samba/samba.keytab

共有ディレクトリを作成する。
※root以外がアクセスできないようにする

# mkdir -p /var/samba/share
# chmod 770 /var/samba/share

sambaの設定ファイルを編集する。
※「force user」にrootを指定してファイル操作をrootで実行させる

[global]
unix charset = UTF-8
dos charset = CP932
realm = LOCAL.EXAMPLE.COM
workgroup = LOCAL
security = ads
kerberos method = dedicated keytab
dedicated keytab file = FILE:/etc/samba/samba.keytab

[share]
path = /var/samba/share
create mask = 0660
directory mask = 0770
force user = root
writable = yes
valid users = @testgroup

ファイアウォールに例外を登録する。

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

SELinuxに例外を登録する。

# setsebool -P allow_smbd_anon_write=on
# chcon -R -t public_content_rw_t /var/samba/share

BUILTIN\Guestsグループ(SMBプロトコルを介した匿名アクセス)をnobodyグループにマッピングする。
※これを実行しておかないとエラー(ERROR: failed to setup guest info.)でサービスを起動できない

# net groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin

サービスを起動する。

# systemctl start smb
# systemctl enable smb

CentOS7でのFreeIPAサーバーの設定

前提条件

※メインメモリが1GBだと失敗するので2GB程度は必要
・プライマリのIPアドレスは192.168.0.10
・セカンダリのIPアドレスは192.168.0.11

プライマリサーバーの設定

FQDNでホスト名を設定する。
※FQDNが192.168.0.10に名前解決できるようにしておく

# hostnamectl set-hostname ipa1.local.example.com

必要なパッケージをインストールする。

# yum install ipa-server ipa-server-dns

対話型のインストーラーを起動する。
※同時にbindも設定してもらう
※DNSフォワーダーも設定する
※そのほかは大体Enterで続行した

# ipa-server-install

ファイアウォールの例外を登録するよう促されるので登録する。
※サービス名で設定する場合は「ldap」ではなく「freeipa-ldap」なので注意
※freeipa-replicationはセカンダリを構築しない場合はいらない

# firewall-cmd --permanent --add-service={freeipa-ldap,freeipa-ldaps,freeipa-replication,dns,ntp,http,https}
# firewall-cmd --reload

参照するDNSサーバーを自身にする。

# nmcli connection modify コネクション名 ipv4.dns 192.168.0.10

初回ログイン時にホームディレクトリを自動生成するよう設定する。

# authconfig --enablemkhomedir --update

セカンダリサーバーの設定

プライマリのIdMにWEBブラウザでアクセスして、セカンダリのhostを追加。

セカンダリのホスト名をFQDNに変更する。
※FQDNが192.168.0.11に名前解決できるようにしておく

# hostnamectl set-hostname ipa2.local.example.com

必要なパッケージをインストールする。

# yum install ipa-server ipa-server-dns

IPAクライアントとして設定する。

# ipa-client-install

初回ログイン時にホームディレクトリを自動生成するよう設定する。

# authconfig --enablemkhomedir --update

ファイアウォールの例外を登録する。

# firewall-cmd --permanent --add-service={freeipa-ldap,freeipa-ldaps,freeipa-replication,dns,ntp,http,https}
# firewall-cmd --reload

レプリカインストールを実行する。
※プライマリからCA設定をコピーするため「–setup-ca」オプション指定
※DNSとしても動作させるため「–setup-dns」オプション指定

# ipa-replica-install --setup-ca --setup-dns --forwarder <forwarderのIPアドレス1> --forwarder <forwarderのIPアドレス2>

参照するDNSサーバーを自身にする。

# nmcli connection modify コネクション名 ipv4.dns 192.168.0.11