「Active Directory 統合化」の版間の差分
Kusanaginoturugi (トーク | 投稿記録) (→GPO の更新: デジタル署名を電子署名に変更) |
Kusanaginoturugi (トーク | 投稿記録) (→GPO の更新: デジタル署名に戻した) |
||
33行目: | 33行目: | ||
=== GPO の更新 === |
=== GPO の更新 === |
||
− | Windows Server では |
+ | Windows Server ではデジタル署名がデフォルトで有効になっており、クライアントとサーバーの両方で有効にする必要があります。特定バージョンの Samba では、Linux クライアントからドメイン・共有に接続するときに問題が発生する可能性があります。{{ic|smb.conf}} ファイルに以下のパラメータを追加することが推奨されています: |
client signing = auto |
client signing = auto |
2022年1月13日 (木) 23:54時点における版
データセンターのシステム管理者にとってヘテロジニアスな環境の共存は大きな課題です。ヘテロジニアスな環境とは様々なオペレーティングシステムのサーバー (大抵は Microsoft Windows と Unix/Linux) が混じり合っていることを意味します。中でもユーザーの管理や認証は最も解決が難しい問題です。この問題を解決する方法としてはディレクトリサーバーの使用が一般的でしょう。様々な *NIX に対応したオープンソース・商用のソリューションは数多く存在します。しかしながら、Windows との相互運用性の問題を解決できるソリューションは多くありません。アクティブディレクトリ (AD) は Windows ドメインネットワークのために Microsoft によって作成されたディレクトリサービスです。AD は Windows Server オペレーティングシステムには大抵含まれています。アクティブディレクトリを動作させるサーバーコンピュータはドメインコントローラと呼ばれます。
Active Directory はネットワークの管理とセキュリティの中心地として機能します。Windows ドメインタイプのネットワークに含まれる、あらゆるユーザーとコンピュータの認証と管理を取り仕切って、ネットワーク上の全てのコンピュータにセキュリティポリシーを適用したり、ネットワークコンピュータにソフトウェアをインストールしたりアップデートすることができます。例えば、ユーザーが Windows ドメインの中のコンピュータにログインするとき、パスワードを確認したりユーザーが管理者か通常ユーザーか判断するのは Active Directory です。
Active Directory は Lightweight Directory Access Protocol (LDAP) バージョン 2 と 3, Kerberos, DNS を使用します。これらの規格は Linux でも同じく使うことができますが、つなぎ合わせるのは簡単な作業ではありません。以下の手順では AD ドメインに対して Arch Linux ホストを認証できるように設定します。
このガイドでは既存の Windows Active Directory ドメインに Arch Linux ホストを統合する方法を説明しています。先に進む前に、既存の Acitve Directory ドメインと、次のことが行える適当な権限を持ったユーザーがドメイン内に必要です: ユーザーを確認してコンピュータアカウントを追加する (Domain Join)。
このドキュメントは Active Directory や Samba に関するコンプリートガイドではありません。参照セクションに書かれている情報も読んでください。
目次
用語
Active Directory について詳しくない場合、覚えておいた方が良いキーワードがいくつか存在します。
- Domain : コンピュータやアカウントをグループ化するのに使用する名前。
- SID : メンバーとしてドメインに参加するコンピュータ。それぞれ一意な SID または System Identifier を持つ。
- SMB : Server Message Block。
- NETBIOS: DNS の代替として使われるネットワーク命名プロトコル。レガシーな技術ですが、Windows ネットワークでは依然として使われています。
- WINS: Windows Information Naming Service。Windows ホストの Netbios 名を解決するのに使われます。
- Winbind: Windows を認証するためのプロトコル。
Active Directory の設定
このセクションの内容は Windows Server 2012 R2 のデフォルト設定で動作することを確認しています。
GPO の更新
Windows Server ではデジタル署名がデフォルトで有効になっており、クライアントとサーバーの両方で有効にする必要があります。特定バージョンの Samba では、Linux クライアントからドメイン・共有に接続するときに問題が発生する可能性があります。smb.conf
ファイルに以下のパラメータを追加することが推奨されています:
client signing = auto server signing = auto
上記の設定で上手く行かない場合、AD グループポリシーの Digital Sign Communication (Always) を無効化する必要があります。設定するには:
ローカルポリシー
-> セキュリティポリシー
-> Microsoft ネットワークサーバー
-> 常に通信にデジタル署名を行う
-> このポリシーの設定を定義する
をオンにして 無効
ラジオボタンを使って下さい。
Windows Server 2008 R2 を使っている場合、Default Domain Controller Policy -> コンピュータの構成 -> ポリシー -> Windows の設定 -> セキュリティの設定 -> ローカルポリシー -> セキュリティオプション -> Microsoft ネットワーククライアント: 常に通信にデジタル署名を行う から GPO のポリシーを修正する必要があります。
GPO を無効化するとドメインの全てのメンバーのセキュリティに影響が及ぶので注意してください。
Linux ホストの設定
次にホストの設定を行います。設定を全て行うには root あるいは sudo 権限が必要です。
インストール
以下のパッケージをインストールしてください:
DNS の更新
Active Directory は DNS にかなり依存しています。/etc/resolv.conf
を編集して Active Directory ドメインコントローラを使うようにしてください:
/etc/resolv.conf
nameserver <IP1> nameserver <IP2>
<IP1> と <IP2> を使用する AD サーバーの IP アドレスに置き換えて下さい。AD ドメインが DNS フォワーディングや再帰を許可していない場合、リゾルバを追加する必要があります。
NTP の設定
NTPd や OpenNTPD を読んで NTP サービスを設定してください。OpenNTPD はメンテナンスされていないので注意です。
設定で、AD サーバーの IP アドレスを使うようにしてください。もしくは、Active Directory サーバーが同期しているのと同じ stratum の NTP サーバーを使うことも可能です。ただし、AD サーバーは基本的に NTP をサービスとして実行しています。
デーモンはかならず起動時に自動的に同期するように設定してください。
Kerberos
AD の名前が example.com で、かつ AD は2つのドメインコントローラ、PDC と BDC という名前のプライマリコントローラ (pdc.example.com) とセカンダリコントローラ (bdc.example.com) で管理されていると仮定します。この例では IP アドレスはそれぞれ 192.168.1.2 と 192.168.1.3 です。構文に気をつけてください。大文字・小文字には意味があります。
/etc/krb5.conf
[libdefaults] default_realm = EXAMPLE.COM clockskew = 300 ticket_lifetime = 1d forwardable = true proxiable = true dns_lookup_realm = true dns_lookup_kdc = true [realms] EXAMPLE.COM = { kdc = PDC.EXAMPLE.COM admin_server = PDC.EXAMPLE.COM default_domain = EXAMPLE.COM } [domain_realm] .kerberos.server = EXAMPLE.COM .example.com = EXAMPLE.COM example.com = EXAMPLE.COM example = EXAMPLE.COM [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 0 debug = false } [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/kdc.log admin_server = FILE:/var/log/kadmind.log
Kerberos チケットを発行する
AD ドメインコントローラに kerberos チケットをリクエストします (大文字は必須です):
kinit administrator@EXAMPLE.COM
ドメイン管理者の権限があるユーザー名を使ってください。
チケットを確認する
トークンを受け取ったかどうか確認するには klist を実行してください。以下のように出力されるはずです:
# klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@EXAMPLE.COM Valid starting Expires Service principal 02/04/12 21:27:47 02/05/12 07:27:42 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 02/05/12 21:27:47
pam_winbind.conf
/etc/security/pam_winbind.conf
が見つからないというエラーが表示される場合、ファイルを作成して以下を書き込んでください:
/etc/security/pam_winbind.conf
[global] debug = no debug_state = no try_first_pass = yes krb5_auth = yes krb5_ccache_type = FILE cached_login = yes silent = no mkhomedir = yes
上記の設定では、winbind はログイン時にユーザーのキータブを作成するようになります (krb5_ccache_type = FILE)。AD ユーザーとしてログインした後にシェルで klist を実行することで確認できます。kinit を実行する必要はありません。/etc/krb5.keytab
のパーミッションを 600 から 640 などに変更しなくてはならない場合があります (FS#52621 を参照)。
Samba
Samba は SMB/CIFS ネットワークプロトコルを再実装したフリーソフトウェアです。Linux マシンを Windows ネットワークサーバー・クライアントとして機能させるツールも含まれています。
このセクションでは、先に 'Global' セクションを編集して認証が出来るようにします。後で、設定に戻って共有を追加します。
/etc/samba/smb.conf
[Global] netbios name = MYARCHLINUX workgroup = EXAMPLE realm = EXAMPLE.COM server string = %h ArchLinux Host security = ads encrypt passwords = yes password server = pdc.example.com client signing = auto server signing = auto idmap config * : backend = tdb idmap config * : range = 10000-20000 winbind use default domain = Yes winbind enum users = Yes winbind enum groups = Yes winbind nested groups = Yes winbind separator = + winbind refresh tickets = yes winbind offline logon = yes winbind cache time = 300 template shell = /bin/bash template homedir = /home/%D/%U preferred master = no dns proxy = no wins server = pdc.example.com wins proxy = no inherit acls = Yes map acl inherit = Yes acl group control = yes load printers = no debug level = 3 use sendfile = no
ドメインに参加
ドメインに参加するには AD の管理者アカウントが必要です。ここでは管理者の名前が Administrator とします。使用するコマンドは 'net ads join' です:
# net ads join -U Administrator
Administrator's password: xxx Using short domain name -- EXAMPLE Joined 'MYARCHLINUX' to realm 'EXAMPLE.COM'
サービスの起動とテスト
Samba の起動
おそらく、あなたはまだ再起動していません。X セッションを起動している場合、セッションを終了して、他のコンソールにログインすることで、ログインを維持できます。
Samba デーモン smb.service
, nmb.service
, winbind.service
を起動・有効化してください。
次に NSSwitch の設定を修正します。NSSwitch には Linux ホストに様々なソースから情報を取得する方法が設定されています。この場合、ユーザー・グループ・ホストのソースとして Active Directory を追加してください:
/etc/nsswitch.conf
passwd: files winbind shadow: files winbind group: files winbind hosts: files dns wins
Winbind のテスト
winbind が AD にクエリを送信できるかどうか確認します。以下のコマンドで AD ユーザーのリストが返ってくるはずです (以下の出力ではドメインコントローラに 'test.user' という名前の Active Directory ユーザーが作成されていることが確認できます):
# wbinfo -u
administrator guest krbtgt test.user
AD グループも同じように確認ができます:
# wbinfo -g
domain computers domain controllers schema admins enterprise admins cert publishers domain admins domain users domain guests group policy creator owners ras and ias servers allowed rodc password replication group denied rodc password replication group read-only domain controllers enterprise read-only domain controllers dnsadmins dnsupdateproxy
nsswitch のテスト
ホストからドメインにユーザーやグループを問い合わせられることを確認するために、'getent' コマンドを実行して nsswitch の設定をテストします。標準的な Arch Linux なら以下のような出力が表示されます:
# getent passwd
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false mail:x:8:12:mail:/var/spool/mail:/bin/false ftp:x:14:11:ftp:/srv/ftp:/bin/false http:x:33:33:http:/srv/http:/bin/false nobody:x:99:99:nobody:/:/bin/false dbus:x:81:81:System message bus:/:/bin/false ntp:x:87:87:Network Time Protocol:/var/empty:/bin/false avahi:x:84:84:avahi:/:/bin/false administrator:*:10001:10006:Administrator:/home/EXAMPLE/administrator:/bin/bash guest:*:10002:10007:Guest:/home/EXAMPLE/guest:/bin/bash krbtgt:*:10003:10006:krbtgt:/home/EXAMPLE/krbtgt:/bin/bash test.user:*:10000:10006:Test User:/home/EXAMPLE/test.user:/bin/bash
そしてグループもテスト:
# getent group
root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin adm:x:4:root,daemon tty:x:5: disk:x:6:root lp:x:7:daemon mem:x:8: kmem:x:9: wheel:x:10:root ftp:x:11: mail:x:12: uucp:x:14: log:x:19:root utmp:x:20: locate:x:21: rfkill:x:24: smmsp:x:25: http:x:33: games:x:50: network:x:90: video:x:91: audio:x:92: optical:x:93: floppy:x:94: storage:x:95: scanner:x:96: power:x:98: nobody:x:99: users:x:100: dbus:x:81: ntp:x:87: avahi:x:84: domain computers:x:10008: domain controllers:x:10009: schema admins:x:10010:administrator enterprise admins:x:10011:administrator cert publishers:x:10012: domain admins:x:10013:test.user,administrator domain users:x:10006: domain guests:x:10007: group policy creator owners:x:10014:administrator ras and ias servers:x:10015: allowed rodc password replication group:x:10016: denied rodc password replication group:x:10017:krbtgt read-only domain controllers:x:10018: enterprise read-only domain controllers:x:10019: dnsadmins:x:10020: dnsupdateproxy:x:10021:
DC のユーザーアカウントが表示されない場合、smb.conf
ファイルに以下の行を追加してください:
/etc/samba/smb.conf
winbind trusted domains only = no
Samba コマンドのテスト
net コマンドを使ってみて Samba が AD と通信できることを確認します:
# net ads info
[2012/02/05 20:21:36.473559, 0] param/loadparm.c:7599(lp_do_parameter) Ignoring unknown parameter "idmapd backend" LDAP server: 192.168.1.2 LDAP server name: PDC.example.com Realm: EXAMPLE.COM Bind Path: dc=EXAMPLE,dc=COM LDAP port: 389 Server time: Sun, 05 Feb 2012 20:21:33 CST KDC server: 192.168.1.2 Server time offset: -3
# net ads lookup
[2012/02/05 20:22:39.298823, 0] param/loadparm.c:7599(lp_do_parameter) Ignoring unknown parameter "idmapd backend" Information for Domain Controller: 192.168.1.2 Response Type: LOGON_SAM_LOGON_RESPONSE_EX GUID: 2a098512-4c9f-4fe4-ac22-8f9231fabbad Flags: Is a PDC: yes Is a GC of the forest: yes Is an LDAP server: yes Supports DS: yes Is running a KDC: yes Is running time services: yes Is the closest DC: yes Is writable: yes Has a hardware clock: yes Is a non-domain NC serviced by LDAP server: no Is NT6 DC that has some secrets: no Is NT6 DC that has all secrets: yes Forest: example.com Domain: example.com Domain Controller: PDC.example.com Pre-Win2k Domain: EXAMPLE Pre-Win2k Hostname: PDC Server Site Name : Office Client Site Name : Office NT Version: 5 LMNT Token: ffff LM20 Token: ffff
# net ads status -U administrator%password | less
objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: myarchlinux distinguishedName: CN=myarchlinux,CN=Computers,DC=leafscale,DC=inc instanceType: 4 whenCreated: 20120206043413.0Z whenChanged: 20120206043414.0Z uSNCreated: 16556 uSNChanged: 16563 name: myarchlinux objectGUID: 2c24029c-8422-42b2-83b3-a255b9cb41b3 userAccountControl: 69632 badPwdCount: 0 codePage: 0 countryCode: 0 badPasswordTime: 0 lastLogoff: 0 lastLogon: 129729780312632000 localPolicyFlags: 0 pwdLastSet: 129729764538848000 primaryGroupID: 515 objectSid: S-1-5-21-719106045-3766251393-3909931865-1105 ...<snip>...
PAM の設定
PAM の様々なルールを変更して、Active Directory ユーザーがシステムを使ってログインしたり sudo を利用できるように設定します。ルールを変更するときは、アイテムの順番やルールが required と sufficient のどちらになっているかが正しく設定を行うために非常に重要なので注意してください。PAM ルールの書き方を知らないのであればルールを変更しないほうが賢明です。
ログインに関しては、PAM はまず AD のアカウントを検索して、マッチする AD アカウントが存在しなかった場合にローカルアカウントを使うようにするべきでしょう。そこで、認証プロセスに pam_winbind.so
を含めるようにエントリを追加します。
Arch Linux の PAM 設定は /etc/pam.d/system-auth
に認証プロセスを集めるようになっています。pambase
の標準設定から初めて以下のように変更します:
system-auth
"auth" セクション
以下の行を探して下さい:
auth required pam_unix.so ...
上記の行を削除して、以下のように置き換えます:
auth [success=1 default=ignore] pam_localuser.so auth [success=2 default=die] pam_winbind.so auth [success=1 default=die] pam_unix.so nullok auth requisite pam_deny.so
"account" セクション
以下の行を探して下さい:
account required pam_unix.so
上記の行を削除しないで、下に以下の行を追加します:
account [success=1 default=ignore] pam_localuser.so account required pam_winbind.so
"password" セクション
以下の行を探して下さい:
password required pam_unix.so ...
上記の行を削除して、以下のように置き換えます:
password [success=1 default=ignore] pam_localuser.so password [success=2 default=die] pam_winbind.so password [success=1 default=die] pam_unix.so sha512 shadow password requisite pam_deny.so
"session" セクション
以下の行を探して下さい:
session required pam_unix.so
上記の行を削除しないで、すぐ上に以下の行を追加します:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
pam_unix 行の下には、以下を追加してください:
session [success=1 default=ignore] pam_localuser.so session required pam_winbind.so
passwd
"password" セクション
Active Directory ユーザーでログインして 'passwd' コマンドでパスワードを変更するには、/etc/pam.d/passwd
ファイルに設定が必要です。
以下の行を探して下さい:
password required pam_unix.so sha512 shadow nullok
上記の行を削除して、以下の行に置き換えてください:
password include system-auth
ログインのテスト
新しいコンソールセッション (あるいは ssh) を起動して AD のユーザー名・パスワードを使ってログインしてみて下さい。ドメイン名は Winbind の設定で 'default realm' として設定したので任意です。ssh を使う場合、/etc/ssh/sshd_config
ファイルを修正して kerberos 認証を有効にする必要があります: (KerberosAuthentication yes)
。
test.user EXAMPLE+test.user
上記のどちらでも動作するはずです。/home/example/test.user
が自動的に作成されます。Linux アカウントを使って他のセッションにログインして、root でログインできることを確認してください。ただし、root でログインするのは最低でも一つのセッションであることを覚えておいて下さい。
共有の設定
上で共有の設定については飛ばしていました。ログインが出来るようになったら、/etc/samba/smb.conf
に戻って、Windows ネットワークから利用したいホストのエクスポートを追加してください。
/etc/samba/smb.conf
[MyShare] comment = Example Share path = /srv/exports/myshare read only = no browseable = yes valid users = @NETWORK+"Domain Admins" NETWORK+test.user
上記の例では、NETWORK というキーワードを使っています。このキーワードをドメイン名に置き換えてはいけません。グループを追加する場合は、グループの前に '@' 記号を付け加えます。Samba が設定ファイルを読み込んだときに正しくパースできるように Domain Admins
はクォートで囲みます。
マシンのキータブファイルを追加してケルベロス認証を使ってパスワードがなくてもマシンに ssh できるようにする
このセクションではマシンのキータブファイルを生成して、ドメイン内の他のマシンからパスワードを使わずにケルベロス認証で ssh 接続する方法を説明しています。GPU ワークステーションや OpenMP 計算ノードのように、ドメイン内にシステムが大量に存在していて、上の方法で追加したサーバー/ワークステーションに ssh でユーザーがログインできるようにする必要がある場合を想定しています。このような場合、ログインするたびに毎回パスワードを入力するのは御免でしょう。その一方、鍵認証ではケルベロスによる NFSv4 共有などをマウントすることは不可能です。そこで、ケルベロスのチケットを転送することでクライアントからマシンにパスワードを入力してなくてもログインできるようにします。
マシンのキータブファイルの作成
root で 'net ads keytab create -U administrator' を実行するとマシンのキータブファイルが /etc/krb5.keytab
に作成されます。設定ファイルで keytab 認証を有効化する必要があるという警告が表示されるので、次のステップで有効化します。キータブファイルが既に存在する場合、コマンドがフリーズするという問題が発生することがあります。そのようなときは、既存の /etc/krb5.keytab
の名前を変更してコマンドを再度実行すれば上手くいくはずです。
# net ads keytab create -U administrator
キータブの中身を確認するには次を実行:
# klist -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 4 host/myarchlinux.example.com@EXAMPLE.COM 4 host/myarchlinux.example.com@EXAMPLE.COM 4 host/myarchlinux.example.com@EXAMPLE.COM 4 host/myarchlinux.example.com@EXAMPLE.COM 4 host/myarchlinux.example.com@EXAMPLE.COM 4 host/MYARCHLINUX@EXAMPLE.COM 4 host/MYARCHLINUX@EXAMPLE.COM 4 host/MYARCHLINUX@EXAMPLE.COM 4 host/MYARCHLINUX@EXAMPLE.COM 4 host/MYARCHLINUX@EXAMPLE.COM 4 MYARCHLINUX$@EXAMPLE.COM 4 MYARCHLINUX$@EXAMPLE.COM 4 MYARCHLINUX$@EXAMPLE.COM 4 MYARCHLINUX$@EXAMPLE.COM 4 MYARCHLINUX$@EXAMPLE.COM
keytab 認証の有効化
以下の行を /etc/samba/smb.conf
に追加してキータブファイルを使用するように winbind を設定してください:
kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab
追加すると以下のようになります:
/etc/samba/smb.conf
[Global] netbios name = MYARCHLINUX workgroup = EXAMPLE realm = EXAMPLE.COM server string = %h ArchLinux Host security = ads encrypt passwords = yes password server = pdc.example.com kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab idmap config * : backend = tdb idmap config * : range = 10000-20000 winbind use default domain = Yes winbind enum users = Yes winbind enum groups = Yes winbind nested groups = Yes winbind separator = + winbind refresh tickets = yes template shell = /bin/bash template homedir = /home/%D/%U preferred master = no dns proxy = no wins server = pdc.example.com wins proxy = no inherit acls = Yes map acl inherit = Yes acl group control = yes load printers = no debug level = 3 use sendfile = no
root 権限で 'systemctl restart winbind.service' を実行して winbind.service を再起動してください:
# systemctl restart winbind.service
以下のコマンドを実行してマシンのチケットを取得することで問題がないか確認します:
# kinit MYARCHLINUX$ -kt /etc/krb5.keytab
上記のコマンドでは何も出力が返ってこなくても 'klist' で以下のように表示されるはずです:
# klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal: MYARCHLINUX$@EXAMPLE.COM Valid starting Expires Service principal 02/04/12 21:27:47 02/05/12 07:27:42 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 02/05/12 21:27:47
ここでよくある間違いは $ を最後に付けるのを忘れるのと大文字・小文字を間違えることです。キータブのエントリは正確に記述してください。
サーバーの sshd の設定
後は sshd_config にオプションを追加して sshd.service
を再起動するだけです。
/etc/ssh/sshd_config
の適当な箇所を以下のように編集して下さい:
# /etc/ssh/sshd_config
... # Change to no to disable s/key passwords ChallengeResponseAuthentication no # Kerberos options KerberosAuthentication yes #KerberosOrLocalPasswd yes KerberosTicketCleanup yes KerberosGetAFSToken yes # GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes ...
sshd.service を再起動するには:
# systemctl restart sshd.service
必要なオプションをクライアントに追加
まず、クライアントのチケットを転送できるようにする必要があります。基本的に標準設定になっていますが確認しておいたほうが良いでしょう。/etc/krb5.conf
の forwardable オプションが 'true' に設定されていることを確認してください:
forwardable = true
次に以下のオプションを .ssh/config ファイルに追加してください:
GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
ssh コマンドで -o オプションを使うことで直接オプションを利用することもできます (詳しくは 'man ssh' を参照)。
セットアップのテスト
クライアント側:
正しいチケットが発行されていることを確認してください。わからない場合は 'kinit' を実行。
ssh を使ってマシンに接続:
ssh myarchlinux.example.com
パスワードを入力しなくても接続されるはずです。
鍵認証を追加で有効にしている場合、実際に使われている認証方式を確認するために次を実行してください:
ssh -v myarchlinux.example.com
サーバーで DEBUG3 を有効にしたり journalctl でジャーナルを見ることでデバッグできます。
AD によって認証されたユーザーのキータブを生成
(何らかの理由で) クライアントがローカルマシン上のドメインアカウントを使用しない場合、ワークステーションに ssh する前に kinit を実行するように設定するのは難しいかもしれません。そのような場合、こちらの方法があります。
システムのユーザーで以下を実行:
ktutil addent -password -p username@EXAMPLE.COM -k 1 -e RC4-HMAC - enter password for username - wkt username.keytab q
以下を実行してファイルをテスト:
kinit username@EXAMPLE.COM -kt username.keytab
上記のコマンドでは、パスワードは要求されませんし何も出力が返されません。それで上手くいっていれば、上記の行を ~./bashrc
に追加するだけで、パスワードを入力しなくてもケルベロスのチケットを入手することができるようになり、それによって、パスワードを入力せずにワークステーションにアクセスすることができるはずです。そして完全にケルベロス化されているので、チケットを使って NFSv4 や CIFS の認証を通すことが可能です。
'username.keytab' ファイルはマシンごとに固有の中身とはなっていないので、どこにでもコピーできます。例えば Linux マシンでファイルを作成して、Mac クライアントにコピーしてもかまいません。
参照
- wikipedia:ja:Active Directory
- wikipedia:ja:Samba
- wikipedia:ja:ケルベロス認証
- Samba: ドキュメント
smb.conf(5)
man ページ
商用ソリューション
- Centrify
- Likewise