CentOSをドメイン参加させずにKerberos認証させる
複数のCentOSサーバを管理する上で、ユーザの統合管理を行いたいが、LDAPの管理は敷居が高い。 そこでActiveDirectoryを導入し、ドメイン参加させずにユーザ認証する方法を探していたところ、PAM認証でActiveDirectoryと連携する方法がありましたので、紹介します。ドメイン名 | TMPAD.DEV.BASIS |
---|---|
DCサーバ1 | 172.20.1.203 |
DCサーバ2 | 172.20.1.204 |
# yum install pam_krb5 fprintd-pam
# authconfig --enablekrb5 --krb5kdc=172.20.1.204 --krb5realm=TMPAD.DEV.BASIS --update
krb5.confの修正点 | ・不要なEXAMPLE.COMに関する設定を消す ・DCサーバ指定を追加(DC2台構成の場合) |
---|
# vi /etc/krb5.conf
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TMPAD.DEV.BASIS dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] TMPAD.DEV.BASIS = { kdc = 172.20.1.203:88 kdc = 172.20.1.204:88 } [domain_realm] tmpad.dev.basis = TMPAD.DEV.BASIS .tmpad.dev.basis = TMPAD.DEV.BASIS※赤字箇所は環境により読み替えてください。
# cat /etc/pam.d/system-auth-ac
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_krb5.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_krb5.so※赤字箇所が追加されたKeberos認証関連の設定です。
# useradd -u 10001 user01※UIDは各環境に合わせてください。しかしUID番号は、全サーバで統一することをお勧めします。
基礎から分かる Samba 4 構築&運用入門 |
Software Design (ソフトウェア デザイン) 2014年 06月号 |