LinuxでActive Directoryを使う
仕事でいろいろとサーバを扱う必要があるのですが、ユーザの管理は自前でやっていました。
が、社内にはActive Directoryが構築されており、前々から統合したいなぁとは思ってたけどなかなかsambaがいうこときいてくれずに苦戦していましたが、ようやくある程度統合できました。
ベースにしたOSもCentOS5にしてだいぶこなれてきたのもよかったのかも。
まずは、samba。
というかKerberos。今までKerberos?地獄の番犬でつか?と食わず嫌いだったけどいざ設定してみると意外なほどさくっと終了。
次がwinbindの設定でidmapはLDAPと連動させようとがんばっていましたが、どうも最近のトレンドとしてはRIDバックエンドを使うのがよいらしく、自前で管理するLDAPはやっぱり全部捨てたかったのでおとなしくRIDバックエンドを使うことに。
そもそも、複数のサーバ間でIDを共通にするためにLDAPにしようとしていたんだけど、よくよく調べてみると、RIDでもベースRIDを合わせておけばUID/GIDは一致するっつーことがわかった時点でLDAPをがんばることをやめますた。
LDAPをバックエンドに使おうとしているときはなかなかうまくいかなかったけど、RIDにすると比較的すんなりいきました。
参考にしたところと違うのは、ユーザ数の桁が違うので、RIDのレンジをかなり大きくしているところ、でしょうか。
そのため、"getent passwd"なんてしてもUIDが16bitにおさまっていないから反応なくなるし、"wbinfo -u"とかもキャッシュが効いていないとまともに動きやしません。
なので、
winbind offline logon = Yes
にしています。あと、ドメインを指定させないようにするために
winbind separator = _
winbind use default domain = Yes
としました。
その他設定に関しては、
・ActiveDirectory+Linuxによる部署内サーバ構築
・winbind で Linux の認証を ActiveDirectory にまかせる
を参考にしました。ありがとうございました。
autodirも参考にしました。便利です、これ。
メールサーバ(Postfix/Dovecot)は前のサーバから設定を引き継いで終了。
Dovecotについてはpamが全部引き受けてくれるので、メールボックス形式をMaildirにするだけ。
最後にapacheがまだ途中です。
mod_auth_kerbではAD上のグループを使ったアクセス制限ができないので、他のモジュールを使おうとしていますが、まだうまくいっていません。
・mod_auth_ntlm_winbind
・mod_auth_external
もうしばらく試行錯誤かなぁ。。。
| 固定リンク
| コメント (0)
| トラックバック (0)
最近のコメント