【Ubuntu 21.04】ADドメインとのネイティブ統合の検証

Linux
2021.05.09

※本サイトではアフィリエイト広告を利用しております。

※本サイトではアフィリエイト広告を利用しております。

Ubuntu 21.04 を使って AD ドメインとのネイティブ統合を検証する

2021年4月22日、「Ubuntu 21.04」(以下、Ubuntu と呼びます)がリリースされました。

そんな中、公式サイトから発表された内容で気になることがありました。
以下は発表された内容の抜粋となります。

Active Directory: Bridging the gap between system administrators and Linux developers

Ubuntu machines can join an Active Directory (AD) domain at installation for central configuration. AD administrators can now manage Ubuntu workstations, which simplifies compliance with company policies.
Ubuntu 21.04 adds the ability to configure system settings from an AD domain controller. Using a Group Policy Client, system administrators can specify security policies on all connected clients, such as password policies and user access control, and Desktop environment settings, such as login screen, background and favourite apps.

Ubuntu 21.04 is hereより引用



ふむふむ、なるほど・・・何を言っているのか、さっぱりわかりません。
発表内容の抜粋を日本語に翻訳し確認してみます。

Active Directory:システム管理者とLinux開発者との結合

Ubuntuコンピューターは、インストール時にAD(Active Directory)ドメインに参加し、一括構成に対応します。AD管理者は新たにUbuntuワークステーションを管理できるようになり、企業ポリシーの遵守が簡素化されます。
Ubuntu 21.04では、ADドメインコントローラーからシステム設定を構成する機能が追加されました。グループポリシークライアントを使用することで、システム管理者は接続されているすべてのクライアントについて、パスワードのポリシーやユーザーアクセス制御などのセキュリティポリシー、およびログイン画面、背景、お気に入りアプリなどデスクトップの環境設定を指定できます。

Ubuntu 21.04を公開より引用


んん!インストール時に AD ドメインに参加することが可能?おまけにグループポリシーで Ubuntu をインストールしたクライアントの管理ができる?

今まで Linux OS を AD ドメインに参加させる場合、AD 用パッケージのインストール、そのパッケージの設定で実現していました。なお、Linux OS の AD ドメイン参加手順に関しては、別の記事でまとめていますので、よろしければこちらをご覧ください。

それが Ubuntu は、AD 用パッケージのインストール、そのパッケージの設定が不要になるということです。

と、いうことで、早速、Ubuntu のインストール時に AD ドメインに参加させてみたいと思います。

なお、今回は AD ドメイン参加検証のみといたします。グループポリシーを用いた Ubuntu クライアント管理に関しては、もう少し情報が出てくるのを待ってから検証を実施したいと思います。


スポンサーリンク

スポンサーリンク

スポンサーリンク

検証方法

以下の方法にて、Ubuntu インストール時、AD ドメインへの参加検証を実施いたします。

検証方法1 同一ネットワークに DHCP は無し。

クライアントに IP アドレスや DNS を設定することなく、AD ドメインに参加できるかの検証をおこないます。
検証方法2 同一ネットワークに DHCP 有り。インターネット接続拒否。

クライアントは IP アドレスが自動で割り当てられ、AD ドメインに参加できるかの検証をおこないます。なお、クライアントからのインターネット接続は拒否した状態となります。インターネットに接続できないローカル環境でも、インストール時に AD ドメインに参加できるかの検証です。
検証方法3 同一ネットワークに DHCP 有り。インターネット接続許可。

クライアントは IP アドレスが自動で割り当てられ、AD ドメインに参加できるかの検証をおこないます。また、クライアントからのインターネット接続も許可した状態となります。



検証方法1の機器構成

検証方法1は、以下の機器構成となります。

画像クリックで拡大画像を表示します

Ubuntu を構築するネットワークには DHCP が存在しません。



検証方法2の機器構成

検証方法2は、以下の機器構成となります。

画像クリックで拡大画像を表示します

ドメインコントローラーと DHCP は共存しています。

なお、インターネット接続用ゲートウェイを設定していないため、インターネットへ接続できません。



検証方法3の機器構成

検証方法3は、以下の機器構成となります。

画像クリックで拡大画像を表示します

検証方法2と同一の機器構成です。

違いは、インターネット接続用ゲートウェイを設定しているため、インターネットへ接続できます。



AD ドメイン参加検証

では、検証方法にしたがい AD ドメイン参加検証を実施いたします。

なお、Ubuntu のインストール手順に関しては、検証方法1で解説いたしますが、検証方法2では、検証方法1との相違点のみ解説し、検証方法3では、検証方法1、検証方法2との相違点を解説いたします。

また、今回の検証は Ubuntu をインストールすることがターゲットではないため、Ubuntu インストールの詳しい解説は割愛いたします。なお、Ubuntu のインストール手順に関しては、別の記事でまとめていますので、よろしければこちらをご覧ください。


検証方法1

まず、同一ネットワークに DHCP が無い構成で、Ubuntuのインストール手順を検証いたします。



Ubuntu のインストールを開始すると「インストール」ウィンドウが表示されます。

画像クリックで拡大画像を表示します

[日本語] を選択し [Ubuntu をインストール] をクリックします。



次に、「インストール」ウィンドウの「キーボードレイアウト」が表示されます。

画像クリックで拡大画像を表示します

キーボードのレイアウトに [Japanese] を選択し [続ける] をクリックします。




次に、「インストール」ウィンドウの「アップデートと他のソフトウェア」が表示されます。

画像クリックで拡大画像を表示します

アプリケーションの種類とインストール時のオプションを選択し [続ける] をクリックします。



次に、「インストール」ウィンドウの「インストールの種類」が表示されます。

画像クリックで拡大画像を表示します

ディスク構成を選択し [インストール] をクリックします。




また、ディスクへの書き込み前に確認ダイアログが表示されます。

画像クリックで拡大画像を表示します

[続ける] をクリックします




次に、「インストール」ウィンドウの「どこへ住んでいますか?」が表示されます。

画像クリックで拡大画像を表示します

お住まいの地域を選択し [続ける] をクリックします。




次に、「インストール」ウィンドウの「あなたの情報を入力してください」が表示されます。

画像クリックで拡大画像を表示します

[アクティブディレクトリを使用する] が活性化されていません。

検証方法1では、Ubuntu インストール時に AD ドメインへ参加することができません。



検証方法2

続いて、同一ネットワークに DHCP が有り、インターネットへの接続を拒否した構成で、Ubuntuのインストール手順を検証いたします。



以下は、DHCP のスコープ作成時のデフォルトゲートウェイ設定です。

画像クリックで拡大画像を表示します

デフォルトゲートウェイにインターネット接続用ルーターの IP アドレスは追加しません。




「インストール」ウィンドウの「あなたの情報を入力してください」で [アクティブディレクトリを使用する] が活性化されません。

画像クリックで拡大画像を表示します

検証方法2でも、Ubuntu インストール時に AD ドメインへ参加することができません。




なお、Windows の場合はインターネット未接続構成でも AD ドメインへの参加は可能です。

画像クリックで拡大画像を表示します
画像クリックで拡大画像を表示します



検証方法3

続いて、同一ネットワークに DHCP が有り、インターネットへの接続を許可した構成で、Ubuntuのインストール手順を検証いたします。



以下は、DHCP のスコープ作成時のデフォルトゲートウェイ設定です。

画像クリックで拡大画像を表示します

デフォルトゲートウェイにインターネット接続用ルーターの IP アドレスを追加します。




インターネットへの接続が許可されているため「インストール」ウィンドウの「アップデートと他のソフトウェア」に変化が現れます。

画像クリックで拡大画像を表示します

[Ubuntu の インストール中にアップデートをダウンロードする] が活性化され、選択できるようになりました。




「インストール」ウィンドウの「あなたの情報を入力してください」で [アクティブディレクトリを使用する] が活性化されました。ようやくインストールを先に進めることができます。

画像クリックで拡大画像を表示します

アカウント情報やコンピューター情報を設定し [続ける] をクリックします。

なお、Ubuntu インストール時に AD へ参加させる場合 [アクティブディレクトリを使用する] にチェックしてください。




次に、「インストール」ウィンドウの「アクティブディレクトリの設定」が表示されます。

画像クリックで拡大画像を表示します

[ドメイン] 、[ドメイン管理者] 、[パスワード] を入力し [接続テスト] をクリックします。

AD ドメインへ接続できることが確認できたら [続ける] をクリックします。

すると、すぐに Ubuntu のインストールが開始されます。



検証確認

Ubuntu をインストールしたクライアントの状態を確認いたします。


アカウントの確認

まず、アカウントの確認を実施いたします。



クライアントにローカルアカウントでログインします。
また、id コマンドを実行し、ドメインアカウントのアカウント情報を取得します。

画像クリックで拡大画像を表示します
画像クリックで拡大画像を表示します


クライアントから AD ドメインへ接続ができ、AD ドメインのアカウント情報が取得できました。




次に、クライアントに AD ドメインのアカウントでログインします。
また、users コマンドを実行し、ログイン中アカウントの名前を取得します。

画像クリックで拡大画像を表示します
画像クリックで拡大画像を表示します


クライアントへ AD ドメインのアカウントでログインができまし。



インストールパッケージの確認

続いて、インストールされたパッケージを確認いたします。


インストールされているパッケージを確認するため、以下のコマンドを実行します。

apt list --installed | grep パッケージ



インストール中に AD ドメインに参加することで、以下のパッケージが追加インストールされています。なお、AD ドメインへ参加しない場合はインストールされません。

追加されたパッケージ一覧 realmd
sssd
libnss-sss
libpam-sss
krb5-config


AD ドメインに参加する場合に必要なパッケージのみを確認しています。

また、インターネット未接続環境で Ubuntu をインストールしたクライアント(検証方法2)と比較しています。



ドメインコントローラーからの確認

続いて、ドメインコントローラーからクライアントを確認いたします。



ping コマンドを実行し、クライアントへの疎通を確認します。

画像クリックで拡大画像を表示します

IP アドレスでもホスト名でも疎通できましたがドメイン名が「.local」となっています。

ホスト名に不明なドメイン名が付与されています。




FQDN で確認してみます。

画像クリックで拡大画像を表示します

疎通できませんでした。



Windows をインストールしたクライアントの場合は・・・

画像クリックで拡大画像を表示します

FQDN でも疎通できます。



FQDN 検証

Ubuntu をインストールしたクライアントに静的 IP アドレスの設定とDNS の追加し、FQDN で疎通できるように対応いたします。


静的 IP アドレスへの変更

まず、クライアントの IP アドレスを手動で変更いたします。



Ubuntu の NIC 設定を [自動(DHCP)] から [手動] に変更します。
また、IP アドレスやサブネットマスク、ゲートウェイや DNS などの設定を追加します。

画像クリックで拡大画像を表示します
画像クリックで拡大画像を表示します


IP アドレスを手動で割り当てる場合、DHCP のスコープに設定したアドレスの範囲外を設定する必要があります。

なお、上記以外の場合の IP アドレスを設定する場合、DHCP のスコープの除外する IP アドレスとして登録する必要があります。




次に、ping コマンドを実行し、クライアントへの疎通を確認します。

画像クリックで拡大画像を表示します

IP アドレスは変更されましたが、ドメイン名は「.local」のままとなっています。



DNS への追加

続いて、DNS 設定を追加いたします。



「DNS マネージャー」ウィンドウを開きます。

画像クリックで拡大画像を表示します

Ubuntu をインストールしたクライアントの A レコードを追加します。




次に、ping コマンドを実行し、クライアントへの疎通を確認します。

画像クリックで拡大画像を表示します

正しいドメイン名に変更されました。



雑感

Ubuntu のインストール中に AD ドメインへ参加できるため、かなり簡単になりました。しかし、Windows サーバーなどのクライアントから確認するとドメイン名が「.local」になっていました。

実害が出ない限り、ドメイン名は「.local」でもよいのかもしれませんが、Windows のクライアントと比べると差異があるため、正式な FQDN で認識できように対応した方がよいと思います。
なお、今回はドメインコントローラーの DNS(Aレコード)を追加して対応しましたが、その方法が正しいのかは不明です。

また、インターネット未接続環境では、Ubuntu のインストール中では AD ドメインへの参加ができませんでした。
インストール中にインターネット経由で AD ドメイン接続用のパッケージが追加されますので、インターネット接続は必須要件のようです。
それでも、オフライン環境などを考慮して欲しかったと思います。

最後にもう1つ。
同一ネットワークに DHCP が無いと AD ドメインへ参加できない問題です。
「DHCP サーバなし」、「インターネット接続あり」の構成でも検証いたしましたが、ドメイン名が解決できないため AD ドメインへ参加できませんでした。
Ubuntu デスクトップでは、インストール中にネットワーク設定ができません。そのため、DNS も設定できず、ドメイン名も解決できず、AD ドメインへの参加もできない。といった流れだと思います。

Ubuntu サーバーではインストール中にネットワークを設定できますので、Ubuntu デスクトップでも実現してくれていれば、同一ネットワークに DHCP が無くても AD ドメインへ参加できたのではないかと思ってしまいした。

未検証なのでわかりませんが、Azure などパブリッククラウドの DaaS をターゲットにしているのかもしれません。




今はまだ Windows のレベルには達していませんので時期尚早ですが、今後、さらに Ubuntu が改良されていけば、企業のイントラ端末などにも普及していくのではないでしょうか。

以上が AD ドメインとのネイティブ統合の検証となります。

なお、本ブログでは Ubuntu Server を使った AD ドメインの構築手順や SQL Server の構築手順なども公開していますので、よろしければそちらをご覧ください。

【Samba】Ubuntu 20.04 Server に Active Directory ドメインコントローラーを構築
Ubuntu 20.04 Server に AD DC を構築いたしました。その手順を解説いたします。
tamnology.com


【SQL Server 2019】Ubuntu 20.04 Server へインストール
SQL Server 2019 Developer エディション を Ubuntu 20.04 Server へインストールする手順を解説いたします。
tamnology.com








最後までお読みいただきありがとうございました。




では。


スポンサーリンク

スポンサーリンク

Linux
Active DirectoryLinuxubuntuWindows Server
スポンサーリンク
シェアする
たまおをフォローする
スポンサーリンク
たまお
スポンサーリンク
タイトルとURLをコピーしました