private.localに存在するADで、sybyl.local上の MacOSX のアカウント管理を行いたい。
間には、NATルータが存在している。
素直に MacOSX をprivate.localのADドメインに参加させればいいのだが、それはNATのせいでkerberosの仕様的に無理みたい。
なのでNATルータ(pfsense)にLDAPのポートフォワードを適用させ、NATルータをLDAPサーバに見立てた(sybyl.local側から見て)。
一応、sybyl.local側でLDAPとして認識してログインはできたのだが、挙動が不安定であった
っでやっぱりNAT内のプライベートネットワークに存在させたsamba ADマシンにNICを追加して、下図の様にするのが望ましいのかと
中継に立つ AD.private.local はIPフォワードをさせずに、デフォルトGWも private.local 側にする。
iptableで192.168.0.73にはsybyl.local側からの telnet, ssh アクセスを阻止して LDAP, NFS4 に関連するポートのみ開放する。
private.local側へのiptable制限は何も設けない。
あれぇ?sybyl.local側のiptablesに kerberos, SMBを設ければ、sybyl.local側のwindowsがAD参加できる?のかな?
pfsenseをやめてADでIPフォワードさせれば完璧では?っともあるが、、、、機能てんこ盛りなのは避けたい..