WindowsでのログインアカウントとIEEE802.1Xアカウントを統合し,Single Sign-On環境を構築するために,Active Directory(AD)を構成してみた.Windows Serverでは簡単にできる(のだろう)が,金がないので,samba様の力を借りることに.
sambaのver.4.0(開発中)はADを構成することが可能となっている.samba ver.3.6 まではアカウントなどのバックエンドデータベースにOpenLDAPを利用することが通常であったが,ver.4.0より諸般の理由から,自前のLDAPサービスを利用する様になっている.
最初に利用したalpha17では不安定さが見られたが,最近beta2にアップデートし,今のところ不安定さは見られていない.
UNIXアカウントのバックエンドデータベース(NIS)としても使用したい位なのだが,今のところ,アカウントにUIDをヒモづけられない(=マシンによってUIDが変わってしまう)ため,未だ踏み切れていない.
導入は,samba4 HOWTOの通りに実施すればOK.
gentoo Linuxのパッケージはalpha17までしか存在していないため,beta2用には,Fedoraのspecファイルを参考に,自作.とりあえず動いている.
beta3用のパッケージも作成したが,時間的余裕が無いため,今のところ未導入.
sambaのver.4.0(開発中)はADを構成することが可能となっている.samba ver.3.6 まではアカウントなどのバックエンドデータベースにOpenLDAPを利用することが通常であったが,ver.4.0より諸般の理由から,自前のLDAPサービスを利用する様になっている.
最初に利用したalpha17では不安定さが見られたが,最近beta2にアップデートし,今のところ不安定さは見られていない.
UNIXアカウントのバックエンドデータベース(NIS)としても使用したい位なのだが,今のところ,アカウントにUIDをヒモづけられない(=マシンによってUIDが変わってしまう)ため,未だ踏み切れていない.
導入は,samba4 HOWTOの通りに実施すればOK.
gentoo Linuxのパッケージはalpha17までしか存在していないため,beta2用には,Fedoraのspecファイルを参考に,自作.とりあえず動いている.
beta3用のパッケージも作成したが,時間的余裕が無いため,今のところ未導入.
beta3を試用したところ,uid,gidがsamba内に保持されている模様.残る大きな問題は,ユーザごとのshell指定方法と,winbind経由ではユーザ名が"ドメイン名\ユーザ名"となる点をどう考えるか,位か.
(2012/08/01追記)
samba AD マスタサーバに対して,ldap経由でのアクセスをすることによって上記問題も解決.ただし,現在のところ,SASL/NTLMでの認証となっており,GSSAPIを利用した認証は失敗している.まあ,動けば良いので,特に気にはしていないが.
(2012/08/01追記)
samba AD マスタサーバに対して,ldap経由でのアクセスをすることによって上記問題も解決.ただし,現在のところ,SASL/NTLMでの認証となっており,GSSAPIを利用した認証は失敗している.まあ,動けば良いので,特に気にはしていないが.
コメントする