Samba 3.0とActive Directoryと連携させる。と言っても実は結構色々な方法がある。ここではSambaがADのメンバーサーバーになる方法。
○環境
・Windowsサーバー
Windows Server 2003 SBS(今回やった内容は、通常の2003でも同じはず)
・samba
Fedora Core 3
samba 3.0.10
○sambaの認証にActive DirectoryのKerberos認証を用いる
はっきり言って@ITのこのページのまま。特に難しい事もない。
・注意すべき点
UNIXユーザーアカウントが必要。以下の方法がある。
- useraddで事前に作成。passwdコマンドは不要。
- add user scriptを使用
- winbindを使用すればUNIXユーザーアカウントの作成も不要
○UNIXユーザーアカウントの認証をADで
これはたかはしもとのぶさんのページをそのまま。
この場合ももちろんUNIXユーザーアカウントが必要。
- useraddで事前に作成。passwdコマンドは不要。
- add user scriptを使用
とりあえず上の2通りが一般的?
この方法の場合Kerberosでの認証に失敗した場合、他の認証方式を試みる。従って、ADに存在しないユーザーでもuseraddとpasswdコマンドでアカウントを作成すれば
○設定ファイルの中身
以上の2つの作業を終えた時点での設定ファイル。
・/etc/krb5.conf
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = XXX.KAZU.TV
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
XXX.KAZU.TV = {
kdc = dc.xxx.kazu.tv
}
[domain_realm]
.xxx.kazu.tv = XXX.KAZU.TV
xxx.kazu.tv = XXX.KAZU.TV
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
・/etc/pam.d/system-auth
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth sufficient /lib/security/pam_krb5.so
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/pam_krb5.so
コメントする