CentOSのActiveDirectory連携(パスワード/認証統合)
Linuxサーバを複数管理する際に、アカウント管理業務が煩雑になってくる。 その場合、アカウント管理を統一を考えると思うが、LDAPの導入は敷居が高い。しかしActiveDirectoryであればGUIで簡単にインストール設定ができユーザ管理が容易です。そのActiveDirectoryとCentOSのパスワード/認証の連携方法を紹介します。CentOSのパスワード統合
パスワード統合方式は、各サーバ上にアカウントを作成する必要がありますが、パスワードはActiveDirectory側で管理するため各サーバ上でのパスワード管理 から解放される方式です。1.pam_krb5によるパスワード統合
2.SAMBによるパスワード統合
CentOSの認証統合方式
1.Windows側にSUAをインストールする方法 ・SUA + NIS
・SUA + LDAP(UNIX属性)
・ Samba + Winbind
SIDを統一させるためマッピングする設定が必要CentOSのAD連携の確認事項
・SID/GIDApache基本認証のAD連携
KERBEROS認証もしくはLDAP認証を用いることで、WindowsのActiveDirectoryを利用したApache基本認証が行えます。利用モジュール | mod_auth_ldap |
---|---|
メリット | ActiveDirectoryのグループ単位で認証を掛けられるため、ActiveDirectory上での一元管理が可能となります。 AuthLDAPUrlオプション内で許可グループを指定する |
デメリット | LDAPの場合は簡易認証となるため、apache-ActiveDirectoryサーバ間のパスワードがクリアテキストで流れてしまいます。 LDAPに接続するためのユーザ(認証対象と別のものでよい)が必要になる。 |
利用モジュール | mod_auth_kerb |
---|---|
メリット | Apache-ADサーバ間はKERBEROS経由を利用するため、パスワードが暗号化されます。 |
デメリット | KERBEROS認証の場合は、ActiveDirectory上の有効なユーザ全員が対象となり、ActiveDirectory上の特定OU内のユーザのみにすることは出来ないようです。 特定ユーザのみにする場合は「Require user」か、ユーザを列挙したファイルを用意して「Require group」を使用することになります。 |
基礎から分かる Samba 4 構築&運用入門 |
Software Design (ソフトウェア デザイン) 2014年 06月号 |