samba4ADに参加したwindowsマシンからパスワードなしでLinuxメンバサーバへログインしてみる。

kerberosの機能を使えば実現できるそうな。

samba4ADに参加したLinuxマシン同士のパスワードなしログイン(rsh)samba4/SSO/rsh (ssh)samba4/SSO/ssh
webサイトにssoでログインしてみるsamba4/SSO/apache

1./etc/krb5.keytabを準備

ログインされる側のマシン(Linuxメンバーサーバ)で、自分自身のサービスプリンシパル/etc/krb5.keytab に登録

[root@c ~]#  /opt/samba/bin/samba-tool domain exportkeytab  /etc/krb5.keytab --principal=host/c.cerius.local
[root@c ~]#  klist -e -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/c.cerius.local@CERIUS.LOCAL (des-cbc-crc)
   1 host/c.cerius.local@CERIUS.LOCAL (des-cbc-md5)
   1 host/c.cerius.local@CERIUS.LOCAL (arcfour-hmac)
[root@c ~]#

* サービス記述子はhostで、ホスト名はFQDNで記述。サービス記述子は小文字で。

2.sshdの設定を調整

sshサービスは /etc/ssh/sshd_configGSSAPIAuthenticationGSSAPICleanupCredentials を有効にして
sshサービスを再起動する

[root@c ~]# vi /etc/ssh/sshd_config
(略)
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
(略)
[root@c ~]# /etc/init.d/sshd restart

3.GSSAPI対応ターミナルソフトの入手とインストール

windowsマシンで使用するLinuxへログインするためのターミナルソフトに、PuTTY を使います。
本家様 http://www.chiark.greenend.org.uk/~sgtatham/putty/
ダウンロードページ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html から
putty.exeをクリックしてダウンロード。
2014y06m17d_230432788.png
これを例えば C:\Program Files(x86)\PuTTY\ に置く
2014y06m17d_231231117.png

4.PuTTY設定

一般ユーザでwindowsマシンにログインして、PuTTYを起動する
左側のツリーで「Session」を開き、パスワードなしでアクセスしたいLinuxメンバサーバを指定します。
2014y06m17d_233401845.png
次に、「Connection」->「Data」にて、「Use system username(illya)」を選択します。これでログインユーザでのアクセスとなる。
2014y06m17d_233515901.png
最後に「Connection」->「SSH」->「Auth」->「GSSAPI」にて「Allow GSSAPI credential delegation」を有効にする。
2014y06m17d_233847429.png

このように定めた設定を保存します。
左側のツリーの「Session」から「Saved Sessions」として「gssapi_C」と定義して「Save」ボタンをクリックします。
2014y06m17d_234231653.png

5.接続テスト

接続設定名「gssapi_C」を引き出して、アクセスを試みます。
左側のツリーの「Session」から保存した設定「gssapi_C」を選び「Load」ボタンをクリックします。
2014y06m17d_234638877.png
そして、PuTTY画面下部の「Open」ボタンをクリックします。
2014y06m17d_234847788.png
初回にマシンキーの登録が求められるが「はい」を押します。
すると、パスワードなしでLinuxメンバサーバにログインできる。
2014y06m17d_235523950.png

6.ショートカットの作成

上記のままだと、機動の度に接続設定名を再読み込む必要があり面倒です。それを簡略化する方法として
windowsのショートカットを作成します。
C:\Program Files(x86)\PuTTY\ に配置したPuTTY.exeのショートカットをディスクトップらに作ります。
2014y06m18d_002623359.png

作ったショートカットの「プロパティ」を開いて、「リンク先」入力欄のPuTTY.exeに保存したセッション名を引数として加えます。
"C:\Program Files (x86)\PuTTY\putty.exe" -load gssapi_C
「作業フォルダ」入力欄は、そのままでもいいが、ホームディレクトリ(%HOMEPATH%)でも宜しいかと。
2014y06m18d_003702102.png
これで、このショートカットをダブルクリックすれば、パスワードの入力なしに、Linuxメンバサーバにアクセスできます。

なので、LinuxメンバサーバAのショートカット、Bのショートカットとかマシンごとに用意できます。

windowsから

samba4ADに参加している windows マシンにログインして、PuTTY を使ってLinuxメンバサーバにパスワードなしでログインできた。そして、さらにsamba4/SSO/rshsamba4/SSO/sshを施すことによって、そこから先へも行ける。
2014y08m02d_230551126.png
2014y08m02d_230653446.png


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2014-08-02 (土) 23:07:29 (1027d)