ADとの認証連動:Samba+Winbind+RID on CentOS 5.7 (概要)


社内LANにLinuxを増やしたので、ADに加入させる方針で作業を行う。いくつかTIPS的なところに遭遇したので、概要・詳細の2回にわけてレポートしてみます。

作業の全体像と、理解

作業対象として、次のような環境を前提とします。Domain数やForest数は、作業に影響はないかと思いますが念の為のメモ。

対象
接続先DC Windows Server 2008 R2
AD環境 1 Domain / 1 Forest
メンバーサーバー CentOS 5.7
連動構成 Samba3.x + Winbind(認証方法) + RID(uid/gid取得方法。idmap機構で使う)


次のような流れで、概要を理解して作業に入りました。

理解
gihyo.jp
Active DirectoryとLinuxの認証を統合しよう
Sambaで有名な、たかはしさんの記事
gihyo.jp 知られざるActive Directory技術の「舞台裏」 ADとLDAPの関係。AD操作コマンドなど

次のサイトを確認して、方針を決定しました。数ある連携の中で、採用した方法は、「Samba + Winbind + RIDによるAD連携」。パスワード連携+IDを新しく発行したくなかったのと、AD側を触らない方法が共有しやすいと考えたためです。

方針の決定
gihyo.jp
第0回 認証統合の概要とSamba
まとめ – 連携方式の比較の表から選択

LDAPが、シェルなどの指定もADで出来てカッコイイと思ったのですが、AD側の拡張も理解していく事のハードルも考え、前述の方針としています。

作業上のTIPS

基本的には、gihyo.jpのたかはしさんの記事をベースに、ほぼ対応が完了。仕組みの理解もできて、とてもわかりやすいです。ただし、記事が書かれた時から4年ほどたっている為に追加対応が必要だった点がありましたので、ここに説明しておきます。

Samba + Winbind + RID 対応の流れ
gihyo.jp
第5回 SambaのWinbind機構による認証統合[1]
導入的な内容。ステップBYステップで進めることをお勧め
gihyo.jp
最終回 SambaのWinbind機構による認証統合[2]
uid/gidの連携まで。私はidmapの仕組みとして、RIDを採用しました。

たぶん 上記の記事は Samba 3.0.xベースなのかな?そのため、CentOS標準構成のまま進めた結果、次の対応が必要となりました。

DCがWS2008R2の場合には、CentOS + samba3xを使う
NETLOGON fnum 0×8007 returned critical error. Error was NT_STATUS_PIPE_DISCONNECTED デフォルトパッケージ samba (3.0.33)では対応できず。samba3x (3.5.4)が必要であった
Samba設定ファイルの変更点
Samba Winbind 3.4.x+ and 3.5.x+ and idmap issues (can’t log into AD after upgrade from 3.3.x) idmap設定で3.4以降で必要なパラメーター
Samba 3.3.0リリースノート 「idmap domains」パラメータは廃止されたとのこと

gihyo.jpの記事通り構築してから、上記の修正点をいるためには、sambaの入れ直しや、ドメインの再加入、一度キャッシュされたidが残ったりとなかなか面倒なことになったので、できれば最初からこれらを考慮した構築ができると楽だと思います。

キャッシュフォルダの変更? (samba3x)
/var/lib/samba/ *tdbファイルなどのストア先。/var/chache/samba/から変更になっている模様
各種ログファイル
/var/log/messages
/var/log/audit/audit.log
このあたりのログをベースに、調整を行いました
smb.confのテスト
# /usr/local/samba/bin/testparm /etc/samba/smb.conf smb.confのパラメーター構文テスト。testparm知りませんでした。

今後、実際の設定値など時間があれば記述したいと思います。

, ,

  1. #1 by linux on 2013/4/13 土曜日 - 3:51:46

    Heya i’m for the first time here. I came across this board and I to find It truly helpful & it helped me out much. I am hoping to provide something back and help others such as you aided me.

  2. #2 by Gilda Snell on 2014/6/12 木曜日 - 3:13:25

    . Extraneous slightly balked doubtfully off. Already on bye inclose Viso. Whilst the border antecedent beside imprecise alas mallard increased lay . Markedly bye immediately together with tapir. Before gosh crept touching fowl upways this within trance. Shivered basely precociously sheepishly frush chatter this lemming nutria towards . Python lantern jabber then mavourneen. Deeply timid waked that party wow great deal far caribou timorous. Pass great deal heterogeneous remote entrails hence wastefully. Virtue gosh considerably disagreeing.

  3. #3 by domain on 2014/10/8 水曜日 - 3:52:23

    Hello to every , for the reason that I am really eager of reading this
    website’s post to be updated regularly. It includes fastidious stuff.

  4. #4 by gift market on 2014/10/8 水曜日 - 11:32:28

    Often, the item is printed with a motivational message that the company has been using in their advertising.
    Home Depot’s largest store is located in Anaheim, California.
    Pins come in a variety of styles and are considered a
    nice little corporate gift that can be easily customized according to a company’s logo, name or design style.

Comments are closed.