構築した環境は以下の通り
◆ADサーバー
・OS:Windows2012
・ドメイン名:net.hayachi617.jp
・IP:192.168.0.70
◆メンバーサーバー
・OS:CentOS 6.5
・hostname:centos1
・samba:3.6.23-12.el6
・IP:192.168.0.72
ADの環境とメンバーサーバーのOSまでは構築済みとして、samba環境を構築するところから(認証目的)
※conf関連は必要な箇所だけ抜粋して記載。
1.samba環境の準備 DNSとNTPがADに向いていることを確認する。
search net.hayachi617.jp nameserver 192.168.0.70
server 192.168.0.70
2.sambaの環境構築 次にsambaのインストール。
$ sudo yum install samba -y
続いてsambaの設定。
workgroup = NET
security = ads
realm = NET.HAYACHI617.JP
password server = *
winbind use default domain = yes
winbind offline logon = true
template shell = /bin/bash
template homedir = /home/%U
idmap uid = 10000-11000
idmap gid = 10000-11000
; security = user
設定変更できたら、反映し、ドメインに参加する!
$ sudo authconfig --enablewinbind --update Starting Winbind services: [ OK ] $ suodo authconfig --krb5kdc=* --krb5realm=DDP.DENTSU.JP --update Starting Winbind services: [ OK ] $ sudo authconfig --enablewinbindauth --update Starting Winbind services: [ OK ] $ sudo net ads join -U test # DomainのAccount Operators以上の権限を持つアカウントを指定 Enter test's password: Using short domain name -- NET Joined 'CENTOS1' to dns domain 'net.hayachi617.jp' $ sudo service winbind restart $ wbinfo -u administrator guest krbtgt testということで、AD上のアカウント一覧が表示できればOK。実際にtestユーザーでログインしてみる
あとはアクセスできるユーザーをグループで制限する。ここを参照。system-authで変更をかけていたが、sudoやsuでは制限がかかるが、sshではログインができてしまった。pam_winbind.confに設定してみたところ、無事反映された。 あとrootからのsuによる切り替えでは、ログインができてしまう(まぁsuになれないので大きな問題ではないと思うが。。)
