samba4でWindowsとLinux認証統合/ADアカウントでLinux認証(ldap認証編)


ADアカウントでLinux認証(ldap認証編)

winbindを使うとどうしてもsambaをインストールしないといけなくなってキモイので、次の方法としてAD認証ではなくldap認証をしてみることにしました。
WindowsServerであってもsambaであってもADは独自実装のopenldapを内蔵しているので、そのopenldapに対して直接接続すればいけるんじゃね?的な発想です。

sambaADは既に構築してある前提です。

openldapのインストールと設定

ldap認証のため、openldap-clients等々をインストールします。
# yum install openldap-clients pam_ldap nss-pam-ldapd

authconfig-tuiでこんな感じに認証設定の変更を行います。
# authconfig-tui

ユーザー情報
[ ] キャッシュ情報
[*] LDAP を使用
[ ] NIS を使用
[ ] IPAv2 を使用
[ ] Winbind を使用

認証
[ ] MD5 パスワードを使用
[*] シャドウパスワードを使用
[*] LDAP 認証を使用
[ ] Kerberos 5 を使用
[ ] 指紋リーダーを使用
[ ] Winbind 認証を使用
[*] ローカル認証で十分

サーバー: ldap://[sambaADのアドレス]/
ベースDN: cn=Users,dc=example,dc=co,dc=jp

⇒OK
ポイントはベースDNに cn=Users を設定する所です。

更に/etc/nslcd.confを編集し、以下の行を追加します。
binddn cn=administrator,cn=Users,dc=example,dc=co,dc=jp
bindpw ********
binddnに関しては一応administratorにしましたが、DomainAdminsに入っているユーザーであれば大丈夫です。
接続するだけならADユーザーであれば何でも大丈夫みたいです。
bindpwの部分はbinddnで指定したユーザーのパスワードを平文でそのままクォーテーション等付けずに入力して下さい。

nslcdを再起動します。
# systemctl restart nslcd

これは必須ではないですが、ホームディレクトリを自動作成する設定にしておきます。
# authconfig --enablemkhomedir --update

ユーザー作成とログイン確認

ユーザー作成はドメインコントローラー上のsamba-toolで実行できます。
Windowsのリモートサーバー管理ツールで実行した場合は後からldap管理ツールなどでposixAccountのオブジェクトクラスを追加しなければならないのでsamba-toolを使うことをおすすめします。
既に追加済みのユーザーの場合はldap管理ツールでposixAccountを追加する必要があるので、basednはdc=example,dc=co,dc=jp、ログインアカウントはcn=Administrator,cn=Users,dc=example,dc=co,dc=jpとしてログインしてオブジェクトクラスを追加しましょう。

まずグループを追加しておきましょう。
既にWindowsのツールで追加してある場合はunix属性だけ追加しておきます。
# samba-tool group add "Unix Users" --nis-domain=[ドメイン名] --gid-number=[gid]

ユーザー追加は以下の様に実行します。
# samba-tool user add [アカウント名] [パスワード] --unix-home=[ホームディレクトリ] --uid=[アカウント名] --uid-number=[uid] --gid-number=[gid] --login-shell=/bin/bash --nis-domain=[ドメイン名] --home-directory=[ホームディレクトリ]

パスワードはある程度複雑な物でないといけないので、面倒であれば複雑性の要求を無効にできます。
# samba-tool domain passwordsettings set --complexity=off

これで一応ログインはできるようになるものの、そもそもADで使うオブジェクトに対して勝手に外部ツールを使ってオブジェクトクラスを追加したりするのもアレだし、CN=Users内のオブジェクトのどれがunixログインに対応した物なのかが判別しづらい上にグループもCN=Users内に配置されちゃって見た目的によろしくないし、uidとかgidの管理しにくいなーってことで気持ち悪さを感じたので自分としては微妙でした。
こういった気持ち悪さを特に感じないのであればこの形で使っても特に問題無いのではないかと思います。




  • 最終更新:2016-01-26 10:21:29

このWIKIを編集するにはパスワード入力が必要です

認証パスワード