CentOSをドメイン参加させずにKerberos認証させる(AD連携)

CentOSをドメイン参加させずにKerberos認証させる

複数のCentOSサーバを管理する上で、ユーザの統合管理を行いたいが、LDAPの管理は敷居が高い。 そこでActiveDirectoryを導入し、ドメイン参加させずにユーザ認証する方法を探していたところ、PAM認証でActiveDirectoryと連携する方法がありましたので、紹介します。

今回紹介するPAM認証でActiveDirectoryと連携する方法(am_krb5)では、ユーザ作成は、DCサーバ側とLinuxサーバ両方で作成する必要があります。しかしパスワードは、DCサーバ側のみの設定で完了です。


■検証環境の情報

ドメイン名	TMPAD.DEV.BASIS
DCサーバ１	172.20.1.203
DCサーバ２	172.20.1.204

■pam_krb5をインストール

# yum  install pam_krb5 fprintd-pam

■Kerberos 認証の簡易設定
authconfigコマンドを利用するとKerberos 認証に必要な各種設定ファイル(krb5.conf、system-auth-ac)に設定を追記してくれる。
※krb5kdcオプションにはDCサーバーのホスト名またはIPアドレスを指定。複数ある場合は、後ほど設定ファイルに記述する
※krb5realmオプションには Active Directory のドメインを指定(大文字)

# authconfig --enablekrb5 --krb5kdc=172.20.1.204 --krb5realm=TMPAD.DEV.BASIS --update

■設定の確認と修正
・/etc/krb5.confファイルの修正
上記コマンドで/etc/krb5.confファイルにTMPAD.DEV.BASISドメインへの認証設定が追加されるが、 一部変更設定する。

krb5.confの修正点	・不要なEXAMPLE.COMに関する設定を消す 　・DCサーバ指定を追加(DC2台構成の場合)

# vi /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = TMPAD.DEV.BASIS
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 TMPAD.DEV.BASIS = {
  kdc = 172.20.1.203:88
  kdc = 172.20.1.204:88
 }

[domain_realm]
 tmpad.dev.basis = TMPAD.DEV.BASIS
 .tmpad.dev.basis = TMPAD.DEV.BASIS

※赤字箇所は環境により読み替えてください。
※大文字小文字は識別されますので間違わないように設定してください。


・/etc/pam.d/system-auth-acファイルの確認
/etc/pam.d/system-auth-acファイルにkerberos認証の設定が追加されていることを確認する。

# cat /etc/pam.d/system-auth-ac

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_krb5.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_krb5.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_krb5.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_krb5.so

※赤字箇所が追加されたKeberos認証関連の設定です。


■ActiveDirectory認証テスト
DCサーバ側で事前にuser01ユーザの作成とパスワード設定をしておきます。
・ログインをさせるADユーザと同じユーザ名を作成する
今回方式であるPAM認証でKerberos認証連携する場合、DCサーバ側で作成したADユーザと同じユーザ名をLinux側でも作成する必要があります。

# useradd -u 10001 user01

※UIDは各環境に合わせてください。しかしUID番号は、全サーバで統一することをお勧めします。

・ログインテスト
別ターミナルから上記アカウントでログインできることを確認する

基礎から分かる Samba 4 構築&運用入門 著者：竹内 英雄、亀井 裕、鈴木 慶太、小田切 耕司、武田 保真 出版日：2014-06-05 出版社：日経BP社

Software Design (ソフトウェア デザイン) 2014年 06月号 著者： 出版日：2014-05-17 出版社：技術評論社