動機
既に動いているKerberosレルムに、Windows10を足してみたいとずっと思っていた。
Samba 4からドメインコントローラーが作れるそうなので、あまり意味がないかもだが、お手軽だったので、メモ。
正しいかは自信なし。
前に試した時は、結局うまくいかなかった記憶があるが、やったことはWindows2000の時代と同じ。
環境
- OpenBSD 6.3 + heimdal-7.5
- Windows10 Insider Preview RS5 17728
前提
- Kerberosレルムを作成済み
- ユーザープリンシパルを作成済み
- sshなど他の環境で、ユーザープリンシパルの認証を確認済み
- WindowsホストのDNSレコードを作成済み
- WindowsホストのNTPを設定済み
KDCの設定
ホストプリンシパルの追加
ランダムパスワードの生成(add -r)ではなく、パスワードを手で入力(add)する。
# kadmin -l
kadmin> add host/win.example.org
Windowsの設定
やっていることは、ほとんどこちらの記事そのまま。
ちょっとだけオプションの名前が変わっている模様。
Kerberosの設定
コマンド プロンプトを管理者として実行(A)。
ksetupのマニュアルは、WindowsServer用だがこちらを参照した。
- Kerberosレルムを設定する
ksetup /setrealm EXAMPLE.ORG - KDCを設定する
ksetup /addkdc EXAMPLE.ORG kdc.example.org - ホストプリンシパルを設定する
ksetup /setcomputerpassword <パスワード> - パスワードは、ホストプリンシパル作成時に付けたもの
- ユーザープリンシパルとWindowsのアカウントを紐付ける
ksetup /mapuser * *
設定が終わったら、まとめて再起動。
ホスト名の確認
こちらによると、フルコンピューター名がFQDNと一致している必要がある。
ksetup /setrealmでDNSサフィックスが変更されるが、念のためフルコンピューター名を確認する。
-
システムのプロパティ->コンピューター名のフル コンピューター名
ドメイン名が付いていない場合、DNSサフィックスを修正して、フルコンピューター名を再確認する。
-
変更(C)...->詳細(M)...でこのコンピューターのプライマリDNSサフィックス(P):
Windowsのローカルアカウントの追加
ローカルのユーザーアカウントを作成する。本家記事を参照。
アカウントの種類は設定しておくが、パスワードは設定しなければ、入れないアカウントができる…と思う…。
Windowsにサインイン
hoge@EXAMPLE.ORGのように、ローカルアカウントのユーザー名@レルム名と、ユーザープリンシパルのパスワードで、サインインできた。
宿題
- エクスプローラーが固まるようになったのは…17728のせい?
- 追伸: 17758では起こらなくなった模様
- 暗号方式は…どれが使われている?
- パスワード変更
- IPv6
- Sambaのドメインコントローラー