CentOS7でSambaに挑戦 Part3 認証基盤の構築

さんざんハマったSamba4ですが、ようやく動くようになったので、だだーーーっと書いてましたが、
一回で書くと自分でも読む気が失せるくらい長くなったので
結局7回に分けて、それぞれの記事を短くしてみました。
CentOS7でSambaに挑戦 Part1 目標を決める。
CentOS7でSambaに挑戦 Part2 色々準備。
CentOS7でSambaに挑戦 Part3 認証基盤の構築
CentOS7でSambaに挑戦 Part4 PAMについて
CentOS7でSambaに挑戦 Part5 Sambaの設定
CentOS7でSambaに挑戦 Part6 Sambaの起動
CentOS7でSambaに挑戦 Part7 Sambaの動作確認
 
 

  1. 時間の同期
    Kerberos認証するには、時間が正確に同期されている必要が有ります。
    こんな感じでさっくり時間合わせておきましょう。

    [root@nas01 ~]# systemctl stop ntpd
    [root@nas01 ~]# ntpdate -v casper.admkazuya.org
     8 Feb 22:23:56 ntpdate[6269]: ntpdate 4.2.6p5@1.2349-o Sat Dec 20 02:38:09 UTC 2014 (1)
     8 Feb 22:24:02 ntpdate[6269]: adjust time server 192.168.3.2 offset -0.000749 sec
    [root@nas01 ~]# systemctl start ntpd
    [root@nas01 ~]#
  2.  

  3. Kerberos認証の設定
    ADとお話させるために、krbが動くトコロまでを設定します。
    ADとお話させたいので、色々書き換える必要が有ります。
    この辺はやっぱりちょっと面倒・・・・・。
    通り難産でした。
    あちこち書き換えないとなりません。

    最初に/etc/krb5.confから。

    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = SYSLOG:INFO:LOCAL5
     admin_server = SYSLOG:INFO:LOCAL5
    
    [libdefaults]
     default_realm = ADMKAZUYA.ORG
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     forwardable = true
    
    [realms]
     ADMKAZUYA.ORG = {
      kdc = dc01.admkazuya.org
      kdc = dc02.admkazuya.org
      admin_server = dc01.admkazuya.org
      kpasswd_server = dc01.admkazuya.org
      default_domain = admkazuya.org
     }
    
    [domain_realm]
     .admkazuya.org = ADMKAZUYA.ORG
     admkazuya.org = ADMKAZUYA.ORG
    
    [appdefaults]
     pam = {
      debug = false
      ticket_lifetime = 36000
      renew_lifetime = 36000
      forwardable = true
      krb4_convert = false
     }
    
  4. こんな風にテストしてみます。
    先の設定でdefault realmを設定してるんで、ドメイン名は
    書かなくてもOKです。
    klistでチケットが表示されてればOKです。

    [root@nas01 ~]# kinit administrator
    Password for administrator@ADMKAZUYA.ORG:
    kinit: KDC reply did not match expectations while getting initial credentials
    [root@nas01 ~]# 
    [root@nas01 ~]# klist
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: administrator@ADMKAZUYA.ORG
    
    Valid starting       Expires              Service principal
    2015-02-08T22:17:50  2015-02-09T08:17:50  krbtgt/ADMKAZUYA.ORG@ADMKAZUYA.ORG
            renew until 2015-02-09T22:17:47
    [root@nas01 ~]#
    

〜続く〜