web-dev-qa-db-ja.com

Samba / Winbindを使用せずにADに対してCentOSを認証する

現在、SambaとWinbindを利用してActive Directory環境(Windows 2003 R2)に対して認証を行うCentOS5.5サーバーがあります。それは私たちに役立っていますが、もっと堅牢なものが必要であり、誰かがLDAPとKerberosを利用してADに対して直接認証することを提案しています。このプッシュの背後にある主な動機は、一方のサーバーの1人のユーザー(bob)がUID 501ともう一方の531を持ち、SMBマウントされたディレクトリのアクセス許可に影響を与える、異なるUID/GIDがあることです。

ADのUnix属性を読み取ることができるので、環境全体でUID/GIDを一元化および標準化できることは、私の理解です(Linuxの初心者と言えます)。この環境をできるだけ安定させたいのですが、Samba/Winbindソリューションが適切に拡張されているとは思わないので、ADをLDAPサーバーとして厳密に指定することでこれを行うことができれば理想的です。

どんな提案も大歓迎で、私がそれ以上髪を引っ張るのを防ぎます。

3
GVP

まず、[Windowsコンポーネントの追加と削除]ウィンドウの[ActiveDirectoryサービス]の下にある[UNIXのID管理]ウィンドウコンポーネントをインストールすることを忘れないでください。

Active Directory DCは、次の2つのサービスを提供します。

  1. LDAPを介したユーザー列挙(UID/GID /ホームディレクトリなど)
  2. Kerberosを介したユーザー認証

CentOSサーバーでは、/ etc/ldap.confを介してLDAPユーザー列挙を構成する必要があります。Kerberos構成は/etc/krb5.confにあり、ユーザーを利用するには、/ etc /nsswitch.confを更新する必要があります。

Kerberos認証を有効にするには、/ etc/pam.d/system-authファイルを編集する必要があります。

いくつかの落とし穴:

  • DCおよびクライアントで、信頼できるソースから時刻が同期されていることを確認してください
  • 適切な解決と逆解決があることを確認してください
  • ガイドは、ユーザー/パスを使用してDCにバインドする方法を示します。より安全な方法は、DC認証にKerberosチケットを使用することです(ユーザーの列挙/認証)
  • おそらく最初のショットでは機能しません。(マシンから自分自身をブロックした後)レスキューモードに入る必要なしに迅速な修正を可能にするために、rootユーザーをできるだけ長くログインさせたままにします。

クイック検索で 以下のガイド が見つかりました。それが機能した後、DCへのKerberosバインディングを試してみます。このガイドはRHEL5向けですが、CentOS5でもまったく同じように機能します。

3
katriel

Winbindの唯一の問題がサーバー間のUIDの不一致である場合は、winbindがActive Directory RIDを使用してUIDを生成することを確認してください。そうすれば、それらは一貫性があります。 この前の質問 始めるのに十分な詳細が必要です。 AD用のUnix拡張機能はまだ必要ありません。リンクされた方法は、数十の別々のサーバーで機能し、すべてが不一致なしに同じ中央NFS共有をマウントします。

1
Mike Renfro