ADJOINロール

このロールは、DebianまたはRedHatのマシンをActive Directoryドメインに参加させます。このロールを使用するには、以下が必要です。

Windows側:

• ADドメインが設定され、使用可能であること
• ドメインのDNSレコードが正しく設定されていること
• コンピュータオブジェクトを作成するための十分な権限を持つユーザーアカウント

Linux側:

• クライアントシステムへの管理者アクセス
• クライアントがADドメインコントローラーと時刻を同期していること

設定手順

このロールは、AD認証のためにシステムを準備する以下のプログラムを設定します：

• Kerberos
• Oddjob（RHEL専用）
• OpenLDAP
• PAM
• Samba
• SSSD

このロールが実行されるたびに、ADドメインへの参加の有効性をチェックします。このチェックが失敗した場合、設定済みの資格情報で自動的にドメインへの再参加を試みます。

また、ユーザーが指定したADグループのsudo権限を設定します。このグループに対して与えられるデフォルトの権限は次の通りです：

ALL=(ALL) ALL:NOPASSWD

これには2つの理由があります：

• Kerberosによる強力な認証と組み合わせることで、パスワードの価値はほとんどなくなります。
• これにより、rootユーザーに直接SSHキーを使用した場合でも同じSSO体験が得られます。

使用方法

上記の要件を満たした後、このロールを次のように使用できます：

• ロールをインストールします（Galaxyからまたは直接GitHubから）
• デフォルトファイルをインベントリ（または保管場所）にコピーし、空欄を入力します
• マスタープレイブックにロールを追加します
• Ansibleを実行します
• ???
• 利益！