1.NTP設定

Debianインストール後、まずNTPの設定。
NTPインストールでも書いたけど、Kerberosは時計があってないとダメなので。

apt-get install ntpdate ntp-doc

よく考えたらntpもインストールしなきゃダメだな、ホントは。まぁ、aptのおかげでインストールされるからよしとしよう。
で、/etc/default/ntpdateを修正。ドメインコントローラに合わせる。

/etc/default/ntpdate

NTPSERVERS="10.239.0.100" … DCのIPアドレス

変更後、ntpdateを起動。

/etc/init.d/ntpdate start

2.Kerberos5設定

これはKerberos5インストールを見てください。

3.Samba+Winbind設定

apt-get install samba samba-common winbind

で、ワークグループ名の入力がくるので、ドメイン名を入れる。

次に、/etc/samba/smb.confを変更。

/etc/samba/smb.conf

[global]
workgroup = R2N … ドメイン名（NT用）
security = ADS … AD統合モードを指定
realm = R2N.LOCAL … Kerberosレルムを指定する。ドメイン名を大文字で
netbios name = debian2 … Netbios名
idmap uid = 10000-20000 … ADのユーザをLinuxにマッピングする際のIDを決める
idmap gid = 10000-20000 … ADのグループをLinuxにマッピングする際のIDを決める
winbind cache time = 15 … WinbindでADの情報をどれだけキャッシュするか(分）
winbind separator = @ … Linuxでは「/」が特別な意味を持つので、それを@に置き換える
winbind use default domain = yes … 後述
template homedir = /home/%U … ユーザのホームディレクトリ
template shell = /bin/false … ユーザのシェル。今回ADのユーザはメールだけなのでfalse
obey pam  restrictions = yes … PAMを使用して認証するかどうか

「winbind use default domain」は、本来、ADユーザはアカウント名@ドメイン名という形が正式なのだが。
これを毎回入力すると長いので、ユーザ名としてアカウントだけを入力し、ドメイン名はデフォルト（realm =の部分）を自動挿入する設定にするかしないか、の設定。

次は、nsswitchの設定。アカウント情報の取得をどこから行うかという設定。nssは「ネームサービススイッチ」のこと。/etc/nsswitch.confを書き換える。

/etc/nsswitch.conf

passwd: compat winbind
group:  compat winbind
shadow: compat winbind

winbindを起動。

/etc/init.d/winbind start

ここまできたら、コンピュータをADに登録。

net ads join -U Administrator

「-U」の後ろは、ADのDomain Adminで。パスワード入力があるのでパスワードを入れて。

#wbinfo -t

checking the trust secret via RPC calls succeeded

になればOK。
念のため、wbinfo を -u や -g で実行してアカウント・グループを取得できるか試しておく。