2021年5月20日 / 最終更新日 : 2021年5月20日 株式会社エス・ワイ・シー エンジニア サーバー/OS関連

Ubuntu 21.04 ADネイティブ統合を試す

こんにちは、エス・ワイ・シーの中尾です。

2021年4月22日に Ubuntu 21.04 がリリースされました。新機能として Microsoft Active Directoryのネイティブ統合が含まれており、実際に試してみます。

The Active Directory integration has been improved. User authentication with GPO enabled works out of the box after installation. It also includes a Group Policy client (ADSys) 231 to configure various settings from a central AD controller.

引用元:https://discourse.ubuntu.com/t/hirsute-hippo-release-notes/19221

目次

事前準備

  • 次のオンプレ環境を想定した構成を用います。
    • ESXi仮想マシン環境
      • Active Directoryサーバー – Windows Server 2019 Standard 試用版
        • AD、DNS、DHCP機能
          • 新規ドメイン:syctest-nko.syc.co.jp
            • 新規OU:CAD用PC
              • 新規ユーザー:user001
              • 今回のUbuntuコンピューター
      • Ubuntu Desktop 21.04

Ubuntuインストール、ドメイン参加

  • 公式サイトからisoイメージをダウンロードし、isoをBootします。
    https://jp.ubuntu.com/download
  • 画面に従い、言語選択~パーティション構成・地域選択 まで進めます。この辺りは18.04, 20.04の画面と同じです。
  • ユーザー名、コンピューターの名前、パスワード入力画面で新たに「アクティブディレクトリを使用する」のチェックボックスが増えている事が確認できます。チェックを入れて先に進みます。
  • AD情報を求められるため、ドメイン名、ドメイン管理者アカウント・パスワードを入力して先に進みます。

注意

インストール中はDHCPなどでIPアドレスが割り振られている事を確認します。
デフォルトゲートウェイが設定されていないと本チェックボックスはグレーアウトし選択できないため、ご注意ください。

また、参加先ドメイン名が ~.local で終わらないようご注意ください。
.localは推奨されておらず、後述するadsysの動作やDNS名前解決に影響が発生します。
 参考:ドメイン名 – Wikipedia

  • インストールを進めます。ログからは以下のコマンドでドメイン参加している様子が見られます。
    タイミング的にはインストール最後あたりでドメイン参加が実行されているようです。
ubiquity realm join --install /target --user ユーザー名 --computer-name ホスト名 --unattended ドメイン名
  • インストール完了後、再起動します。
  • ADサーバーから追加されたコンピューターを検証OUへ移動します。
  • ユーザー名@ドメイン名でログインできる事を確認します。

sssdなどドメイン参加に必要な設定は自動的に行われているため、基本設定はこれだけで完了します。
GUIのみでドメイン参加が行えるようになっただけでも便利になったのではないかと思います。

adsysインストール

  • 新たにadsysと呼ばれる Active Directory bridging toolset が提供されるようになった事で、UbuntuをADサーバーから管理できるようになりました。
    https://github.com/ubuntu/adsys

2021年5月17日現在、adsysは標準でUbuntuに導入されません。
ドキュメントがまだ整っておらず、adsysバージョン表記もv0.5となっており正式リリースではないように見えます。
今回は情報発信の目的で、ちょっと手探りで導入してみます。

  • Ubuntu上でterminalを開き、以下コマンドでadsysをインストールします。
sudo apt install adsys
  • そのままだと、エラーとなりadsysサービスが立ち上がりません。
    暫定対処として /etc/sssd/sssd.conf に以下の記述を追加します。
    • ad_server = ADサーバー名
  • 追加でlockファイル関係のエラーが表示されるので、次のコマンドで暫定対処しadsysサービスを再起動します。
sudo mkdir -p /etc/dconf/db/machine.d/locks
sudo touch /etc/dconf/db/machine.d/locks/adsys
sudo systemctl restart adsysd
  • 上手くいけば su – ユーザー名@ドメイン名などで正常にログインできるようになります。
    (将来的に修正されるのではないかと思います)
  • ユーザーログイン時に毎回、adsysが呼ばれているようです。

ADサーバーへUbuntu管理テンプレートを導入

  • 検証時はAdministrator@ドメイン名でUbuntuへログインして確認しました。
  • terminalを開き、以下コマンドを入力します。
adsysctl policy admx all
  • デスクトップ画面にUbuntu.admx、Ubuntu.admlが生成されます。
  • 生成されたファイルをADサーバーの以下へ配置します。
    • admxファイル:C:\windows\Sysvol\domain\Policies\PolicyDefinitions
    • admlファイル:C:\windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP
  • ADサーバーのグループポリシー管理エディタを開くと、以下が追加されている事が見えます。
    • コンピューターの管理 – ポリシー – 管理用テンプレート – Ubuntu
    • ユーザーの管理 – ポリシー – 管理用テンプレート – Ubuntu
  • GPOを作成しOUへ割り当てます。
    • 試しにデスクトップの壁紙を削除するユーザー設定を入れてみます。
    • 検証では「Ubuntuポリシー」名でGPOを作成し、検証OUへ割り当てました。

Ubuntuへグループポリシー適用

  • Ubuntu上のterminalから次のコマンドでグループポリシーを適用し、何が適用されたかを確認します。
adsysctl policy update -a
adsysctl policy applied
  • コンピューターの管理分はGPOが適用されている事が確認できます。
  • GPOが適用される対象ユーザーで再度ログインしてみます。
  • GPOで設定した、壁紙の削除が動作している事を確認します。

最後に

Windows PCと同様にGPO適用が行える部分を見られると… 感慨深いですね。

WSLが搭載された時は Windows と Linux(Ubuntu)は身近な存在になったと感じましたが、より近くなったのではないでしょうか。

Ubuntu、ドメイン環境構築のみでなく弊社Windows、Linux全般、HPC環境構築などもご支援が可能です。お困りの点がありましたら、ぜひお気軽にご相談ください。

カテゴリー
サーバー/OS関連
ストレージ関連

前の記事

Qumuloストレージソリューションのご紹介
2021年4月12日
その他/雑ネタ

次の記事

Apple 社製品と MDM と bundleID
2021年6月18日