前提条件
・ Homeエディション ・ クライアントFQDNはwin01.local.example.com ・ クライアントのhostをKDC上で作成しておく ・ クライアントのkeytabを任意のパスワードで生成しておく (FreeIPAなら ipa-getkeytab -s dc1.local.example.com -p host/win01.local.example.com -k /etc/krb5.win01.keytab -P など)
PC名の変更
はじめにPC名をwin01にしておく。
認証サーバーの設定
コマンドプロンプトを管理者として起動し下記コマンドを実行する。
ksetup /setdomain LOCAL.EXAMPLE.COM ksetup /setcomputerpassword keytab生成時に指定したパスワード ksetup /addkdc LOCAL.EXAMPLE.COM dc1.local.example.com ksetup /addkpasswd LOCAL.EXAMPLE.COM dc1.local.example.com ksetup /mapuser * *
再起動と確認
Windowsを再起動して、フルコンピュータ名がwin01.local.example.comのようなFQDNになっていることを確認する。
暗号化の種類を構成
レジストリを編集して、Kerberosで許可する暗号化の種類を構成する。
RC4_HMAC_MD5・AES128_HMAC_SHA1・AES256_HMAC_SHA1を有効にするのが目的。
※gpedit.mscが使えるならGUIで設定しても良い
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters] "SupportedEncryptionTypes"=dword:0000001c
ローカルアカウントの作成
kerberos認証でサインインするユーザーと同名のローカルアカウントを作成する。
※実際の認証には使われないがパスワードは管理者側で何か設定した方が良い
実際のサインイン
サインインする際は「user@LOCAL.EXAMPLE.COM」のようにrealmをつけて行う。