 
    |
ガイド No. 732 Turbolinux FUJI のログイン認証を Active Directory で行なう
このガイドでは、Turbolinux FUJI のログイン認証を Winodws Server 2003 の
Active Directory で行なう方法について紹介します。Winbindを利用すると、
Active Directory に存在するアカウントに対して認証を行い、また UID や GID
などのアカウント情報も自動的に生成・マッピングされるため、Turbolinux FUJI
上でユーザーを作成する必要がなくなります。
ここでは、以下のように設定された Active Directory サーバーが正常に動作して
いるものとして解説します。
FQDN: gates3.turbolinux.com
NetBIOS 名: GATES3
ドメイン名(レルム名): TURBOLINUX.COM
アカウント: ユーザー "taro" が存在
(1)自動ログイン機能の解除
Turbolinux FUJI は、インストール時に作成した一般ユーザーで自動ログインする
仕様となっています。
コントロールセンターの "基本設定" - "ログイン/ログアウト設定"の"便利な機能"
で自動ログイン設定を解除し、root ユーザーでログインし直してください。
以降の設定作業は root ユーザーで行います。また、インストール時に作成した
一般ユーザーも削除しておきましょう。
(2)Kerberos 設定ファイルの修正
Active Directory は認証に Kerberos を利用しています。/etc/krb5.conf ファイル
を開き、次のように修正します。修正した行を "<- 修正" で示します。
--------------------------------------------------------
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = TURBOLINUX.COM <- 修正
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
TURBOLINUX.COM = { <- 修正
kdc = gates3.turbolinux.com:88 <- 修正
admin_server = gates3.turbolinux.com:749 <- 修正
default_domain = turbolinux.com <- 修正
}
[domain_realm]
.turbolinux.com = TURBOLINUX.COM <- 修正
turbolinux.com = TURBOLINUX.COM <- 修正
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
--------------------------------------------------------
(3)Kerberos 認証の確認
Kerberos 認証が動作するかどうかの確認を行います。次のように kinit コマンド
を実行すると、パスワードを問われます。
---------------------------------------------------------
# kinit administrator@TURBOLINUX.COM
Password for administrator@TURBOLINUX.COM:
---------------------------------------------------------
Windows 2003 Server の administrator ユーザーのパスワードを入力して[Enter]キー
を押します。認証されると何も表示されずにプロンプトに戻ります。
(4)Kerberos チケットの取得確認
klist コマンドを実行し、Kerberos のチケットを取得できているかどうかを確認します。
---------------------------------------------------------
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TURBOLINUX.COM
Valid starting Expires Service principal
09/11/06 16:05:09 09/11/06 02:05:12 krbtgt/TURBOLINUX.COM@TURBOLINUX.COM
renew until 09/11/06 16:05:09
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
---------------------------------------------------------
(5)Winbind の設定
Winbind 認証に必要なパラメータを /etc/samba/smb.conf に設定します。
smb.conf の [global] セクションに以下のパラメータを設定します。
編集するパラメータ
---------------------------------------------------------
workgroup = GATES3
security = ads
password server = *
追加するパラメータ
---------------------------------------------------------
realm = TURBOLINUX.COM
template shell = /bin/bash
winbind separator = @
winbind use default domain = yes
template homedir = /home/%U
obey pam restrictions = no
winbind cache time = 3
削除するパラメータ
---------------------------------------------------------
template shell = /bin/false
winbind use default domain = no
(6)アカウント取得方法の変更
Winbind を経由して Active Directory で認証されるように
/etc/nsswitch.conf を編集します。以下の行に "winbind" を追記します。
---------------------------------------------------------
passwd: files nisplus winbind
shadow: files nisplus winbind
group: files nisplus winbind
---------------------------------------------------------
(7)Active Directory への参加
Turbolinux FUJI を Active Directory ドメインに参加させます。次のように
net コマンドを実行します。
---------------------------------------------------------
# net ads join
Using short domain name -- GATES3
Joined 'client01' to realm 'TURBOLINUX.COM'
---------------------------------------------------------
正常にドメインへ参加できたかどうかを確認します。
---------------------------------------------------------
# net ads testjoin
Join is OK
---------------------------------------------------------
次のコマンドを実行すると、参加したドメインの情報を参照することができます。
---------------------------------------------------------
# net ads info
LDAP server: 172.16.37.188
LDAP server name: s9ey4a1dz9zzgc8
Realm: TURBOLINUX.COM
Bind Path: dc=TURBOLINUX,dc=COM
LDAP port: 389
Server time: Mon, 11 Sep 2006 19:31:23 GMT
KDC server: 172.16.37.188
Server time offset: 262
---------------------------------------------------------
(8)Winbind の起動と確認
Winbind を起動します。次のコマンドを実行します。
---------------------------------------------------------
# /etc/init.d/winbind start
Starting winbind services: OK
---------------------------------------------------------
正常に起動したかどうを確認します。
---------------------------------------------------------
# /etc/init.d/winbind status
winbindd (pid 18859 18858) is running...
---------------------------------------------------------
また、システム起動時に Winbind が動作するように chkconfig コマンドを実行
しておきます。
---------------------------------------------------------
# chkconfig winbind on
---------------------------------------------------------
Active Directory に登録されているユーザーを取得できるかどうか確認します。
---------------------------------------------------------
# wbinfo -u
Administrator
Guest
SUPPORT_388945a0
S9EY4A1DZ9ZZGC8$
krbtgt
KNAKA4$
yuki
knaka
yama
taro
dhcp-67$
---------------------------------------------------------
Active Directory に登録されているグループを取得できるかどうかを確認します。
---------------------------------------------------------
# wbinfo -g
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Domain Admins
Domain Users
Domain Guests
Group Policy Creator Owners
DnsUpdateProxy
---------------------------------------------------------
Winbind により、ユーザー認証が行えるかどうかを確認します。以下では、
ユーザー名”taro”、パスワード”aaa111!!!”の認証を確認しています。
---------------------------------------------------------
# wbinfo -a 'taro%aaa111!!!'
plaintext password authentication succeeded
challenge/response password authentication succeeded
---------------------------------------------------------
Winbind により、ユーザー情報が生成されているかどうかを確認します。
---------------------------------------------------------
# getent passwd | grep taro
taro:x:16777225:16777216:Taro Yamada:/home/taro:/bin/bash
---------------------------------------------------------
(9)PAM の設定
Turbolinux FUJI のログイン画面でログインする際に、Winbindを使用して認証が
行われるように PAM の設定ファイルを編集します。
/etc/pam.d/system_auth.conf ファイルを開き以下で示した行を編集または追記します。
注意:
system_auth.conf ファイルの編集は十分に注意してください。このファイルの内容
に間違いがあるとシステムにログインできなくなる可能性があります。
---------------------------------------------------------
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_winbind.so use_first_pass <- 追記
auth required pam_deny.so
account required pam_unix.so broken_shadow <- "broken_shadow" を追記
account sufficient pam_succeed_if.so uid < 100 quiet
account [default=bad success=ok user_unknown=ignore] pam_winbind.so <- 追記
account required pam_permit.so
password requisite pam_cracklib.so retry=3
password sufficient pam_unix.so nullok use_authtok md5 shadow
password sufficient pam_winbind.so use_authtok <- 追記
password required pam_deny.so
session required pam_limits.so
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel umask=022 <- 追記
---------------------------------------------------------
(10)ログイン
system_auth.conf ファイルの編集後、Turbolinux FUJI からログアウトし、ロ
グイン画面に戻ります。Active Directory で管理しているユーザー名とパス
ワードで Turbolinux FUJI にログインできるようになります。なお、ユーザー
のホームディレクトリは、初回ログイン時に自動的に作成されます。
対象製品
Last modified : Fri Sep 15 JST 2006 # 1
|
- ターボリナックスHDグループ
Copyright © Turbolinux, Inc..All Right Reserved.