private.localに存在するADで、sybyl.local上の MacOSX のアカウント管理を行いたい。
間には、NATルータが存在している。

素直に MacOSX をprivate.localのADドメインに参加させればいいのだが、それはNATのせいでkerberosの仕様的に無理みたい。

2016y09m12d_183550161.png

なのでNATルータ(pfsense)にLDAPのポートフォワードを適用させ、NATルータをLDAPサーバに見立てた(sybyl.local側から見て)。

一応、sybyl.local側でLDAPとして認識してログインはできたのだが、挙動が不安定であった
っでやっぱりNAT内のプライベートネットワークに存在させたsamba ADマシンにNICを追加して、下図の様にするのが望ましいのかと

2016y10m02d_173603362.png

中継に立つ AD.private.local はIPフォワードをさせずに、デフォルトGWも private.local 側にする。
iptableで192.168.0.73にはsybyl.local側からの telnet, ssh アクセスを阻止して LDAP, NFS4 に関連するポートのみ開放する。
private.local側へのiptable制限は何も設けない。

あれぇ?sybyl.local側のiptablesに kerberos, SMBを設ければ、sybyl.local側のwindowsがAD参加できる?のかな?
pfsenseをやめてADでIPフォワードさせれば完璧では?っともあるが、、、、機能てんこ盛りなのは避けたい..

最新の60件
2025-02-17 2025-02-15 2025-02-14 2025-02-12 2025-02-03 2025-02-02 2025-02-01 2025-01-27 2025-01-26 2025-01-25 2025-01-24 2025-01-23 2025-01-20 2025-01-13 2025-01-12 2025-01-08 2024-12-30 2024-12-29 2024-12-22 2024-12-20 2024-12-17 2024-12-15 2024-12-14 2024-12-12 2024-12-11 2024-12-10 2024-12-09 2024-12-08 2024-11-28 2024-11-22 2024-11-15 2024-11-14 2024-11-12 2024-11-06 2024-11-05 2024-11-04 2024-11-02 2024-11-01 2024-10-28 2024-10-27 2024-10-23 2024-10-18 2024-10-17 2024-10-15 2024-10-14

edit


トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2016-10-02 (日) 18:03:59