• お問い合わせ
  • ユーザー登録
ドキュメント
サポート案内
ユーザー登録
サポートセンター
ドキュメント
ダウンロード
セキュリティ
よくある質問とその回答
製品マニュアル
カタログ
収録パッケージ一覧


ガイド No. 732

Turbolinux FUJI のログイン認証を Active Directory で行なう


このガイドでは、Turbolinux FUJI のログイン認証を Winodws Server 2003 の
Active Directory で行なう方法について紹介します。Winbindを利用すると、
Active Directory に存在するアカウントに対して認証を行い、また UID や GID 
などのアカウント情報も自動的に生成・マッピングされるため、Turbolinux FUJI
上でユーザーを作成する必要がなくなります。

ここでは、以下のように設定された Active Directory サーバーが正常に動作して
いるものとして解説します。

FQDN: gates3.turbolinux.com
NetBIOS 名: GATES3
ドメイン名(レルム名): TURBOLINUX.COM
アカウント: ユーザー "taro" が存在



(1)自動ログイン機能の解除
Turbolinux FUJI は、インストール時に作成した一般ユーザーで自動ログインする
仕様となっています。
コントロールセンターの "基本設定" - "ログイン/ログアウト設定"の"便利な機能"
で自動ログイン設定を解除し、root ユーザーでログインし直してください。
以降の設定作業は root ユーザーで行います。また、インストール時に作成した
一般ユーザーも削除しておきましょう。


(2)Kerberos 設定ファイルの修正
Active Directory は認証に Kerberos を利用しています。/etc/krb5.conf ファイル
を開き、次のように修正します。修正した行を "<- 修正" で示します。

--------------------------------------------------------
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = TURBOLINUX.COM    <- 修正
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
 TURBOLINUX.COM = {    <- 修正
  kdc = gates3.turbolinux.com:88    <- 修正
  admin_server = gates3.turbolinux.com:749    <- 修正
  default_domain = turbolinux.com    <- 修正
 }

[domain_realm]
 .turbolinux.com = TURBOLINUX.COM    <- 修正
 turbolinux.com = TURBOLINUX.COM    <- 修正

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[pam]
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
--------------------------------------------------------


(3)Kerberos 認証の確認
Kerberos 認証が動作するかどうかの確認を行います。次のように kinit コマンド
を実行すると、パスワードを問われます。

---------------------------------------------------------
# kinit administrator@TURBOLINUX.COM
Password for administrator@TURBOLINUX.COM:
---------------------------------------------------------

Windows 2003 Server の administrator ユーザーのパスワードを入力して[Enter]キー
を押します。認証されると何も表示されずにプロンプトに戻ります。


(4)Kerberos チケットの取得確認
klist コマンドを実行し、Kerberos のチケットを取得できているかどうかを確認します。

---------------------------------------------------------
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TURBOLINUX.COM

Valid starting     Expires            Service principal
09/11/06 16:05:09  09/11/06 02:05:12  krbtgt/TURBOLINUX.COM@TURBOLINUX.COM
        renew until 09/11/06 16:05:09


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
---------------------------------------------------------


(5)Winbind の設定
Winbind 認証に必要なパラメータを /etc/samba/smb.conf に設定します。
smb.conf の [global] セクションに以下のパラメータを設定します。

編集するパラメータ
---------------------------------------------------------
workgroup = GATES3
security = ads
password server = *


追加するパラメータ
---------------------------------------------------------
realm = TURBOLINUX.COM
template shell = /bin/bash
winbind separator = @
winbind use default domain = yes
template homedir = /home/%U
obey pam restrictions = no
winbind cache time = 3

削除するパラメータ
---------------------------------------------------------
template shell = /bin/false
winbind use default domain = no


(6)アカウント取得方法の変更
Winbind を経由して Active Directory で認証されるように
/etc/nsswitch.conf を編集します。以下の行に "winbind" を追記します。

---------------------------------------------------------
passwd:     files nisplus winbind
shadow:     files nisplus winbind
group:      files nisplus winbind
---------------------------------------------------------


(7)Active Directory への参加
Turbolinux FUJI を Active Directory ドメインに参加させます。次のように
net コマンドを実行します。

---------------------------------------------------------
# net ads join
Using short domain name -- GATES3
Joined 'client01' to realm 'TURBOLINUX.COM'
---------------------------------------------------------

正常にドメインへ参加できたかどうかを確認します。

---------------------------------------------------------
# net ads testjoin
Join is OK
---------------------------------------------------------

次のコマンドを実行すると、参加したドメインの情報を参照することができます。

---------------------------------------------------------
# net ads info
LDAP server: 172.16.37.188
LDAP server name: s9ey4a1dz9zzgc8
Realm: TURBOLINUX.COM
Bind Path: dc=TURBOLINUX,dc=COM
LDAP port: 389
Server time: Mon, 11 Sep 2006 19:31:23 GMT
KDC server: 172.16.37.188
Server time offset: 262
---------------------------------------------------------


(8)Winbind の起動と確認
Winbind を起動します。次のコマンドを実行します。

---------------------------------------------------------
# /etc/init.d/winbind start
Starting winbind services:                                                OK
---------------------------------------------------------

正常に起動したかどうを確認します。

---------------------------------------------------------
# /etc/init.d/winbind status
winbindd (pid 18859 18858) is running...
---------------------------------------------------------

また、システム起動時に Winbind が動作するように chkconfig コマンドを実行
しておきます。

---------------------------------------------------------
# chkconfig winbind on
---------------------------------------------------------

Active Directory に登録されているユーザーを取得できるかどうか確認します。

---------------------------------------------------------
# wbinfo -u
Administrator
Guest
SUPPORT_388945a0
S9EY4A1DZ9ZZGC8$
krbtgt
KNAKA4$
yuki
knaka
yama
taro
dhcp-67$
---------------------------------------------------------

Active Directory に登録されているグループを取得できるかどうかを確認します。

---------------------------------------------------------
# wbinfo -g
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Domain Admins
Domain Users
Domain Guests
Group Policy Creator Owners
DnsUpdateProxy
---------------------------------------------------------

Winbind により、ユーザー認証が行えるかどうかを確認します。以下では、
ユーザー名”taro”、パスワード”aaa111!!!”の認証を確認しています。

---------------------------------------------------------
# wbinfo -a 'taro%aaa111!!!'
plaintext password authentication succeeded
challenge/response password authentication succeeded
---------------------------------------------------------

Winbind により、ユーザー情報が生成されているかどうかを確認します。

---------------------------------------------------------
# getent passwd | grep taro
taro:x:16777225:16777216:Taro Yamada:/home/taro:/bin/bash
---------------------------------------------------------

(9)PAM の設定

Turbolinux FUJI のログイン画面でログインする際に、Winbindを使用して認証が
行われるように PAM の設定ファイルを編集します。
/etc/pam.d/system_auth.conf ファイルを開き以下で示した行を編集または追記します。

注意:
system_auth.conf ファイルの編集は十分に注意してください。このファイルの内容
に間違いがあるとシステムにログインできなくなる可能性があります。

---------------------------------------------------------
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok
auth        sufficient    pam_winbind.so use_first_pass    <- 追記
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow    <- "broken_shadow" を追記
account     sufficient    pam_succeed_if.so uid < 100 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so    <- 追記
account     required      pam_permit.so

password    requisite     pam_cracklib.so retry=3
password    sufficient    pam_unix.so nullok use_authtok md5 shadow
password    sufficient    pam_winbind.so use_authtok    <- 追記
password    required      pam_deny.so

session     required      pam_limits.so
session     required      pam_unix.so
session     required      pam_mkhomedir.so skel=/etc/skel umask=022    <- 追記
---------------------------------------------------------


(10)ログイン
system_auth.conf ファイルの編集後、Turbolinux FUJI からログアウトし、ロ
グイン画面に戻ります。Active Directory で管理しているユーザー名とパス
ワードで Turbolinux FUJI にログインできるようになります。なお、ユーザー
のホームディレクトリは、初回ログイン時に自動的に作成されます。
関連文書
(none)

対象製品
  • Turbolinux FUJI
    Last modified : Fri Sep 15 JST 2006 # 1