samba/LDAP をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
下図のように別のネットワーク(private.local)に存在する&col...
間には、&color(mediumvioletred){''NATルータ''};が存在して...
素直に &color(blueviolet){''LinuxPC/MacOSX''}; をsybyl.lo...
それは&color(mediumvioletred){''NAT''};のため kerberosの...
&ref(2016y09m12d_183550161.png,nolink,noborder);
なので&color(mediumvioletred){''NATルータ(pfsense)''};にL...
基本的にSAMBA ActiveDirectoryをLDAPサーバとして使用する感...
MacOSXの場合[[samba/LDAP/MacOSX]]
NAT越しのNFS設定[[router/NFS]]
[[samba/LDAP/smb]]
***pfsenseの設定 [#gf95b0e4]
「Firewall」-->「NAT」-->「PortForward」ページにて、下記...
&ref(2016y09m18d_004728134.png,nolink,noborder);
&color(red){*};&size(10){LDAPのport 389に穴を開けます};
&color(red){*};&size(10){pfsenseの設定なのだが、WAN側(syb...
***接続方法 [#i6cee2c4]
方法は[[https://wiki.samba.org/index.php/Nslcd>+https://w...
ここでは、ADサーバに仲介役のユーザを設けて、そのユーザを...
&color(white,red){注意};
CVE-2016-2112でsambaのLDAP通信が脆弱と指摘され、
#code(nonumber){{
ldap server require strong auth = yes
}}
が定義された。これで既定で署名されたあるいは暗号化された...
samba(LDAP)と繋ぐとエラーになります。なのでこのオプション...
&color(red){*};&size(10){いずれば tls とかで対処すべきな...
***ADサーバで仲介役ユーザを作成 [#d49eba05]
#code(nonumber){{
[root@ad ~]# /opt/samba/bin/samba-tool user add ldap-conn...
[root@ad ~]# /opt/samba/bin/samba-tool user setpassword l...
[root@ad ~]# /opt/samba/bin/samba-tool user setexpiry lda...
}}
これでユーザ「ldap-connect」、パスワード「ldap」なる"LDAP...
***CentOS8で接続なら [#wed2b142]
参照先: [[https://alfa.faqserv.com/pukiwiki/?Linux/RHEL8/...
「nss-pam-ldapd」と「nscd」パッケージをインストールして、...
#code(nonumber){{
dnf install nss-pam-ldapd nscd
cp -Rp /usr/share/authselect/default/sssd /etc/authselect...
cd /etc/authselect/custom/nslcd
sed -i 's/sss/ldap/g' fingerprint-auth
sed -i 's/sss/ldap/g' password-auth
sed -i 's/sss/ldap/g' smartcard-auth
sed -i 's/sss/ldap/g' system-auth
sed -i 's/sss/ldap/g' nsswitch.conf
sed -i 's/SSSD/NSLCD/g' REQUIREMENTS
echo "Enable nslcd for system authentication" > README
cp /etc/nslcd.conf /etc/nslcd.conf.orig
sed '/^#/d' /etc/nslcd.conf.orig | sed '/^$/d' > /etc/nsl...
}}
「/etc/nslcd.conf」を修正
#code(nonumber){{
uid nslcd
gid ldap
uri ldap://192.168.0.72/
base dc=private,dc=local
ssl no
tls_cacertdir /etc/openldap/cacerts
pagesize 1000
referrals off
filter passwd (objectClass=user)
filter group (objectClass=group)
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd gidNumber gidNumber
map group cn msSFU30Name
map group gidNumber gidNumber
binddn cn=ldap-connect,cn=Users,dc=private,dc=local <-...
bindpw ldap
}}
#code(nonumber){{
mkdir /etc/openldap/cacerts
systemctl enable nslcd
systemctl restart nslcd
authselect select custom/nslcd --force
}}
***CentOS7で接続なら [#gf967ef5]
「&color(magenta){nss-pam-ldapd};」と「&color(magenta){ns...
#code(nonumber){{
[root@c101 ~]# yum install nss-pam-ldapd nscd
}}
そして「authconfig-tui」でLDAPを有効にさせて
&ref(2020y04m04d_093805956.png,nolink);
LDAPの設定は下記のようにします。
&ref(2020y04m04d_093943964.png,nolink);
ですが、このままだとsssdがLDAP(AD)との中継に入ります。こ...
#code(nonumber){{
[root@c101 ~]# authconfig --enableforcelegacy --disabless...
}}
を実行します。これでnslcdが稼働します。
そして設定ファイル「&color(darkgreen){/etc/nslcd.conf};」...
#code(nonumber){{
[root@c101 ~]# cp /etc/nslcd.conf /etc/nslcd.conf.orig
[root@c101 ~]# sed '/^#/d' /etc/nslcd.conf.orig | sed '/^...
[root@c101 ~]# vi /etc/nslcd.conf
uid nslcd
gid ldap
uri ldap://192.168.0.72/
base dc=private,dc=local
ssl no
tls_cacertdir /etc/openldap/cacerts
pagesize 1000
referrals off
filter passwd (objectClass=user)
filter group (objectClass=group)
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd gidNumber gidNumber
map group cn msSFU30Name
map group gidNumber gidNumber
binddn cn=ldap-connect,cn=Users,dc=private,dc=local
bindpw ldap
[root@c101 ~]# chmod 600 /etc/nslcd.conf
[root@c101 ~]# systemctl restart nslcd
}}
&color(red){*};&size(10){参照サイトにはpasswdのgidNumber...
&color(red){*};&size(10){あとgroupのcn、gidNumberも修正し...
&color(red){*};authconfigで修正なら下記のようになるかな
#code(nonumber){{
[root@c101 ~]# authconfig --enableldap --enableldapauth -...
--ldapbasedn="dc=private,dc=local" --disableldaptls --...
(それでも/etc/nslcd.confの修正は必要です)
[root@c101 ~]# systemctl restart nslcd
}}
&color(red){*};&size(10){nslcd.serviceは自動的にenableに...
もし「&color(red){ldap_result() failed: Can't contact LDA...
「/etc/nslcd.conf」に下記を加える
#code(nonumber){{
idle_timelimit 240
}}
***CentOS6で繋げる [#t085053f]
「&color(magenta){pam_ldap};」「&color(magenta){nss-pam-l...
#code(nonumber){{
[root@c102 ~]# yum install pam_ldap nss-pam-ldapd nscd
}}
インストール後に
LDAPからユーザ情報を入手する&color(magenta){nss-pam-ldapd...
と
LDAPでユーザ認証する&color(magenta){pam_ldap};の設定ファ...
をそれぞれ修正します。
-/etc/nslcd.conf
#code(nonumber){{
uid nslcd
gid ldap
uri ldap://192.168.0.72
base dc=private,dc=local
pagesize 1000
referrals off
filter passwd (objectClass=user)
filter group (objectClass=group)
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd gidNumber gidNumber
map group cn msSFU30Name
map group gidNumber gidNumber
binddn cn=ldap-connect,cn=Users,dc=private,dc=local
bindpw ldap
ssl no
}}
-/etc/pam_ldap.conf
#code(nonumber){{
base dc=private,dc=local
binddn cn=ldap-connect,cn=Users,dc=private,dc=local
bindpw ldap
bind_policy soft
pam_login_attribute sAMAccountName
uri ldap://192.168.0.72/
ssl no
}}
そして&color(orangered){authconfig};で認証・ユーザ情報取...
#code(nonumber){{
[root@c102 ~]# authconfig --enableldap --enableldapauth -...
--ldapbasedn="dc=private,dc=local" --disableldaptls --...
[root@c102 ~]# chkconfig nslcd on
}}
これでOK
参考:[[https://wiki.samba.org/index.php/Nslcd>+https://w...
***rockylinux9 [#a1166c02]
samba-adをLDAPサーバと見做して、ldapクライアントを作って...
rockylinux9はnslcdは提供していないので sssd 経由で作るし...
#code(nonumber){{
[root@rockylinux9 ~]# dnf install sssd-ldap
[root@rockylinux9 ~]# vi /etc/sssd/sssd.conf
[sssd]
services = nss, pam
domains = chaperone.jp
[nss]
[domain/chaperone.jp]
id_provider = ldap
ldap_uri = ldaps://192.168.0.131
ldap_search_base = dc=chaperone,dc=jp
ldap_id_use_start_tls = True
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=ldap-connect,cn=Users,dc=chaper...
ldap_default_authtok = ldap
ldap_schema = rfc2307bis
ldap_user_home_directory = unixHomeDirectory
[root@rockylinux9 ~]# systemctl start sssd
}}
終了行:
下図のように別のネットワーク(private.local)に存在する&col...
間には、&color(mediumvioletred){''NATルータ''};が存在して...
素直に &color(blueviolet){''LinuxPC/MacOSX''}; をsybyl.lo...
それは&color(mediumvioletred){''NAT''};のため kerberosの...
&ref(2016y09m12d_183550161.png,nolink,noborder);
なので&color(mediumvioletred){''NATルータ(pfsense)''};にL...
基本的にSAMBA ActiveDirectoryをLDAPサーバとして使用する感...
MacOSXの場合[[samba/LDAP/MacOSX]]
NAT越しのNFS設定[[router/NFS]]
[[samba/LDAP/smb]]
***pfsenseの設定 [#gf95b0e4]
「Firewall」-->「NAT」-->「PortForward」ページにて、下記...
&ref(2016y09m18d_004728134.png,nolink,noborder);
&color(red){*};&size(10){LDAPのport 389に穴を開けます};
&color(red){*};&size(10){pfsenseの設定なのだが、WAN側(syb...
***接続方法 [#i6cee2c4]
方法は[[https://wiki.samba.org/index.php/Nslcd>+https://w...
ここでは、ADサーバに仲介役のユーザを設けて、そのユーザを...
&color(white,red){注意};
CVE-2016-2112でsambaのLDAP通信が脆弱と指摘され、
#code(nonumber){{
ldap server require strong auth = yes
}}
が定義された。これで既定で署名されたあるいは暗号化された...
samba(LDAP)と繋ぐとエラーになります。なのでこのオプション...
&color(red){*};&size(10){いずれば tls とかで対処すべきな...
***ADサーバで仲介役ユーザを作成 [#d49eba05]
#code(nonumber){{
[root@ad ~]# /opt/samba/bin/samba-tool user add ldap-conn...
[root@ad ~]# /opt/samba/bin/samba-tool user setpassword l...
[root@ad ~]# /opt/samba/bin/samba-tool user setexpiry lda...
}}
これでユーザ「ldap-connect」、パスワード「ldap」なる"LDAP...
***CentOS8で接続なら [#wed2b142]
参照先: [[https://alfa.faqserv.com/pukiwiki/?Linux/RHEL8/...
「nss-pam-ldapd」と「nscd」パッケージをインストールして、...
#code(nonumber){{
dnf install nss-pam-ldapd nscd
cp -Rp /usr/share/authselect/default/sssd /etc/authselect...
cd /etc/authselect/custom/nslcd
sed -i 's/sss/ldap/g' fingerprint-auth
sed -i 's/sss/ldap/g' password-auth
sed -i 's/sss/ldap/g' smartcard-auth
sed -i 's/sss/ldap/g' system-auth
sed -i 's/sss/ldap/g' nsswitch.conf
sed -i 's/SSSD/NSLCD/g' REQUIREMENTS
echo "Enable nslcd for system authentication" > README
cp /etc/nslcd.conf /etc/nslcd.conf.orig
sed '/^#/d' /etc/nslcd.conf.orig | sed '/^$/d' > /etc/nsl...
}}
「/etc/nslcd.conf」を修正
#code(nonumber){{
uid nslcd
gid ldap
uri ldap://192.168.0.72/
base dc=private,dc=local
ssl no
tls_cacertdir /etc/openldap/cacerts
pagesize 1000
referrals off
filter passwd (objectClass=user)
filter group (objectClass=group)
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd gidNumber gidNumber
map group cn msSFU30Name
map group gidNumber gidNumber
binddn cn=ldap-connect,cn=Users,dc=private,dc=local <-...
bindpw ldap
}}
#code(nonumber){{
mkdir /etc/openldap/cacerts
systemctl enable nslcd
systemctl restart nslcd
authselect select custom/nslcd --force
}}
***CentOS7で接続なら [#gf967ef5]
「&color(magenta){nss-pam-ldapd};」と「&color(magenta){ns...
#code(nonumber){{
[root@c101 ~]# yum install nss-pam-ldapd nscd
}}
そして「authconfig-tui」でLDAPを有効にさせて
&ref(2020y04m04d_093805956.png,nolink);
LDAPの設定は下記のようにします。
&ref(2020y04m04d_093943964.png,nolink);
ですが、このままだとsssdがLDAP(AD)との中継に入ります。こ...
#code(nonumber){{
[root@c101 ~]# authconfig --enableforcelegacy --disabless...
}}
を実行します。これでnslcdが稼働します。
そして設定ファイル「&color(darkgreen){/etc/nslcd.conf};」...
#code(nonumber){{
[root@c101 ~]# cp /etc/nslcd.conf /etc/nslcd.conf.orig
[root@c101 ~]# sed '/^#/d' /etc/nslcd.conf.orig | sed '/^...
[root@c101 ~]# vi /etc/nslcd.conf
uid nslcd
gid ldap
uri ldap://192.168.0.72/
base dc=private,dc=local
ssl no
tls_cacertdir /etc/openldap/cacerts
pagesize 1000
referrals off
filter passwd (objectClass=user)
filter group (objectClass=group)
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd gidNumber gidNumber
map group cn msSFU30Name
map group gidNumber gidNumber
binddn cn=ldap-connect,cn=Users,dc=private,dc=local
bindpw ldap
[root@c101 ~]# chmod 600 /etc/nslcd.conf
[root@c101 ~]# systemctl restart nslcd
}}
&color(red){*};&size(10){参照サイトにはpasswdのgidNumber...
&color(red){*};&size(10){あとgroupのcn、gidNumberも修正し...
&color(red){*};authconfigで修正なら下記のようになるかな
#code(nonumber){{
[root@c101 ~]# authconfig --enableldap --enableldapauth -...
--ldapbasedn="dc=private,dc=local" --disableldaptls --...
(それでも/etc/nslcd.confの修正は必要です)
[root@c101 ~]# systemctl restart nslcd
}}
&color(red){*};&size(10){nslcd.serviceは自動的にenableに...
もし「&color(red){ldap_result() failed: Can't contact LDA...
「/etc/nslcd.conf」に下記を加える
#code(nonumber){{
idle_timelimit 240
}}
***CentOS6で繋げる [#t085053f]
「&color(magenta){pam_ldap};」「&color(magenta){nss-pam-l...
#code(nonumber){{
[root@c102 ~]# yum install pam_ldap nss-pam-ldapd nscd
}}
インストール後に
LDAPからユーザ情報を入手する&color(magenta){nss-pam-ldapd...
と
LDAPでユーザ認証する&color(magenta){pam_ldap};の設定ファ...
をそれぞれ修正します。
-/etc/nslcd.conf
#code(nonumber){{
uid nslcd
gid ldap
uri ldap://192.168.0.72
base dc=private,dc=local
pagesize 1000
referrals off
filter passwd (objectClass=user)
filter group (objectClass=group)
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd gidNumber gidNumber
map group cn msSFU30Name
map group gidNumber gidNumber
binddn cn=ldap-connect,cn=Users,dc=private,dc=local
bindpw ldap
ssl no
}}
-/etc/pam_ldap.conf
#code(nonumber){{
base dc=private,dc=local
binddn cn=ldap-connect,cn=Users,dc=private,dc=local
bindpw ldap
bind_policy soft
pam_login_attribute sAMAccountName
uri ldap://192.168.0.72/
ssl no
}}
そして&color(orangered){authconfig};で認証・ユーザ情報取...
#code(nonumber){{
[root@c102 ~]# authconfig --enableldap --enableldapauth -...
--ldapbasedn="dc=private,dc=local" --disableldaptls --...
[root@c102 ~]# chkconfig nslcd on
}}
これでOK
参考:[[https://wiki.samba.org/index.php/Nslcd>+https://w...
***rockylinux9 [#a1166c02]
samba-adをLDAPサーバと見做して、ldapクライアントを作って...
rockylinux9はnslcdは提供していないので sssd 経由で作るし...
#code(nonumber){{
[root@rockylinux9 ~]# dnf install sssd-ldap
[root@rockylinux9 ~]# vi /etc/sssd/sssd.conf
[sssd]
services = nss, pam
domains = chaperone.jp
[nss]
[domain/chaperone.jp]
id_provider = ldap
ldap_uri = ldaps://192.168.0.131
ldap_search_base = dc=chaperone,dc=jp
ldap_id_use_start_tls = True
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=ldap-connect,cn=Users,dc=chaper...
ldap_default_authtok = ldap
ldap_schema = rfc2307bis
ldap_user_home_directory = unixHomeDirectory
[root@rockylinux9 ~]# systemctl start sssd
}}
ページ名:
1