読者です 読者をやめる 読者になる 読者になる

らくだ

[こころに贅沢させよう]をモットーの会社で情シスやってます

Amazon LinuxでオンプレミスADのユーザ情報を使ってログインする

AWS上のLinuxインスタンスでオンプレのAD認証をする必要に迫られたのでそのメモ。

参考にしたサイト

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-admin-guide-join-rhel-linux-vm

http://jshimazu.hatenablog.com/entry/2014/02/05/165058

前提

LinuxインスタンスVPN接続でオンプレのADと接続可能な状態になっていること

手順

  1. Linuxインスタンスにログイン
  2. 必要なパッケージをインストール
    sudo yum -y install realmd sssd krb5-workstation krb5-libs
  3. DNS参照でオンプレADが見つからないといけないので、resolv.confを修正。(普通はADサーバのIPアドレスを指定すれば良いと思います。)
    vi /etc/resolv.conf
    nameserver <参照先DNSサーバ名> ※既存のnameserverの箇所はコメントアウトしておく
  4. AD参照できるか確認
    sudo realm discover <ドメイン名>
  5. kerberosの初期化
    kinit <ユーザー名>@<ドメイン名>
  6. ドメイン参加
    sudo realm join --verbose <ドメイン名> -U '<ユーザー名>@<ドメイン名>'
  7. デフォルトだとSSH接続が鍵認証なので、パスワード認証に変更する。
    sudo vi /etc/ssh/sshd_config
    PasswordAuthentication no の箇所を PasswordAuthentication yes に修正
  8. sshdの再起動
    /etc/init.d/sshd restart
  9. 以上

動作検証

対象のLinuxインスタンスSSH接続。そのとき、ユーザ名はUPN(‘<ユーザー名>@<ドメイン名>’)で、パスワードはADのものを使ってアクセス。 ログインできれば成功。

その他

管理者権限を与えたいユーザには/etc/sudoersを編集し、よしなにやってください。 グループに与える場合は「%<ドメイン名>\<グループ名> ALL=(ALL) ALL」とかすればOK