さんざんハマったSamba4ですが、ようやく動くようになったので、だだーーーっと書いてましたが、
一回で書くと自分でも読む気が失せるくらい長くなったので
結局7回に分けて、それぞれの記事を短くしてみました。
CentOS7でSambaに挑戦 Part1 目標を決める。
CentOS7でSambaに挑戦 Part2 色々準備。
CentOS7でSambaに挑戦 Part3 認証基盤の構築
CentOS7でSambaに挑戦 Part4 PAMについて
CentOS7でSambaに挑戦 Part5 Sambaの設定
CentOS7でSambaに挑戦 Part6 Sambaの起動
CentOS7でSambaに挑戦 Part7 Sambaの動作確認
- 時間の同期
Kerberos認証するには、時間が正確に同期されている必要が有ります。
こんな感じでさっくり時間合わせておきましょう。[root@nas01 ~]# systemctl stop ntpd [root@nas01 ~]# ntpdate -v casper.admkazuya.org 8 Feb 22:23:56 ntpdate[6269]: ntpdate 4.2.6p5@1.2349-o Sat Dec 20 02:38:09 UTC 2014 (1) 8 Feb 22:24:02 ntpdate[6269]: adjust time server 192.168.3.2 offset -0.000749 sec [root@nas01 ~]# systemctl start ntpd [root@nas01 ~]#
- Kerberos認証の設定
ADとお話させるために、krbが動くトコロまでを設定します。
ADとお話させたいので、色々書き換える必要が有ります。
この辺はやっぱりちょっと面倒・・・・・。
通り難産でした。
あちこち書き換えないとなりません。
最初に/etc/krb5.confから。[logging] default = FILE:/var/log/krb5libs.log kdc = SYSLOG:INFO:LOCAL5 admin_server = SYSLOG:INFO:LOCAL5 [libdefaults] default_realm = ADMKAZUYA.ORG dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h forwardable = true [realms] ADMKAZUYA.ORG = { kdc = dc01.admkazuya.org kdc = dc02.admkazuya.org admin_server = dc01.admkazuya.org kpasswd_server = dc01.admkazuya.org default_domain = admkazuya.org } [domain_realm] .admkazuya.org = ADMKAZUYA.ORG admkazuya.org = ADMKAZUYA.ORG [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
- こんな風にテストしてみます。
先の設定でdefault realmを設定してるんで、ドメイン名は
書かなくてもOKです。
klistでチケットが表示されてればOKです。[root@nas01 ~]# kinit administrator Password for administrator@ADMKAZUYA.ORG: kinit: KDC reply did not match expectations while getting initial credentials [root@nas01 ~]# [root@nas01 ~]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@ADMKAZUYA.ORG Valid starting Expires Service principal 2015-02-08T22:17:50 2015-02-09T08:17:50 krbtgt/ADMKAZUYA.ORG@ADMKAZUYA.ORG renew until 2015-02-09T22:17:47 [root@nas01 ~]#
〜続く〜
コメント