2006-09-10

クラスフルルーティングと異なるサブネット(続）

TCP/IP

この異なるサブネットの場合のルーティングアップデートの取り扱いって、Cisco TACに情報が出ていたのを教えてもらった。
・Cisco TAC アップデート送受信時の RIP および IGRP の動作

これがまた微妙にわかりづらい表現だったりするので。
ちょっとまとめてみると。

2006-09-05

クラスフルルーティングと異なるサブネット

TCP/IP

クラスフルルーティングプロトコルには不連続サブネットの問題ってのがあります。
同一メジャーネットワークのサブネットを持つ２つのルータで、ルータ間の接続を別のメジャーサブネットにした場合、ルーティングに不備が起こるとかそういうのですけど。
要はクラスフルルーティングプロトコルがプリフィックス長をアドバタイズしないのが問題なわけですよ。

で、もう１つクラスフルルーティングプロトコルには、同一メジャーネットワークのサブネットのサブネットマスクは同一にしなければならないという制限があります。
この制限、守らなかったらどうなるのかな〜……というわけでやってみました。

用意したのは、Cisco2600が2台（FastEtherインタフェースが2つ）。

2006-09-03

経緯とまとめ

ADドメイン

もともと何がしたかったかといえば。

Windows ActiveDirectoryドメイン環境でLinuxクライアントを使ってみたい
Linuxクライアントを使用する際に、ADで使っているアカウントをそのまま使いたい

これだったわけです。
そのための実験として、

パスワード認証だけでもADで行う
- Kerberos認証を使用する
アカウント認証もADで行う
- Winbind認証を使用する

ということを実際にやってみた、という形になります。

1は全体のユーザアカウントが少ない場合や、Linuxクライアントを使用するアカウントが少ない場合に向いている。
Linux側にもアカウントを作成しなければならないため、そこが面倒ですが、使用するアカウントが少ない、もしくは限定したい場合はこれでも十分かと。
2はADにあるアカウントで特に限定なくLinuxクライアントを使用したい場合ですね。

実際はWinbindって便利、という感じですけどね。

Winbindでの認証を使用する場合の手順は次のようになるわけです。

NTP設定
DNS設定
Kerberos5設定
1. 必要ソフトインストール
2. krb5.conf設定
Samba+Winbind設定
1. 必要ソフトインストール
2. smb.conf設定
3. nsswitch設定
ドメインへの参加
PAM設定

基本的にはこれだけでOK。

次は……、SFUを試してみようかな？

2006-08-28

KDEへのログイン（再）

Samba

大失敗。
pamの設定を間違えているという大ボケ。

/etc/pam.d/common-account

account sufficient winbind.so

と書くところを。

/etc/pam.d/common-account

auth sufficient winbind.so

って書いてた。なんでaccountなのにauthやねん。

え〜、そこ直したらさっくりログインできました。
pam.dの中何度も見直したのになぁ。こういうところって気づきにくいのかも。

実際、認証自体はうまくいっているのを確認していたし。
auth.logみても、ADの監査みてもまったく問題なく。

なんでログインできないのかと。
正直common-sessionかなぁ、と思ってた。

前回あげようと思ってた画像をいくつか公開。

KDEでのログイン画面はこんな感じになります。
WinbindがADからユーザ情報をひっぱってくるので、必要のないユーザ（IWAMとかターミナルユーザとか)まで表示されてしまいます。邪魔。
ユーザが多い場合、問題になるよなぁ。ちょっと課題。

KDEだとコントロールセンターでsmb.conf設定できるんだね。知らなかった。
Winbindの設定もココでできるので、こっちの方が楽かなぁ。

ちょっとまとまりがついてないので、次回あたりまとめます。

2006-08-26

KDEへのログイン

Samba

コマンドラインからのWinbind+Kerberosログインはうまくいったので、次はKDEでのログイン。

基本的にやることはおなじだと思う。

Winbind+Sambaインストール
smb.conf設定
ドメイン参加
PAM設定

これでいってみよう。

…あれれ？
何度やっても、winbinddが起動してないっぽい。
wbinfoが失敗する。

ん〜。
sambaをインストールしてみよう。

apt-get install samba

…ありゃ？これでうまいくいくようになった。
では実際にログオンしてみましょ。

あああ、すごい。隣のユーザ一覧にADのユーザ全部出てる!!
でも、IWAMとかあって邪魔なような気がしないでもない。
でも、ログオンできない。パスワードではじかれる…。

どうもADへのパスワードがうまくいかないらしい。
うう〜ん。混乱してきた。
また次回チャレンジ。

2006-08-19

参考図書

Books

今のKerberos+Sambaで使ってる資料本。

ActiveDirectoryとLinuxによるシステム構築ガイト

作者: 堀田元宣
出版社/メーカー: 秀和システム
発売日: 2005/07/28
メディア: 単行本
クリック: 33回
この商品を含むブログ (10件) を見る

わりとメインで参考にしてる本。説明もわかりやすいし、Samba以外のサーバの連携方法もあって便利。

セキュアなSambaサーバーの作り方 (日経BPパソコンベストムック)

作者: 日経Linux
出版社/メーカー: 日経BP社
発売日: 2005/10/15
メディア: ムック
購入: 2人クリック: 18回
この商品を含むブログ (5件) を見る

日経LinuxのSamba特集のまとめムック。わりかし役に立つ。

徹底解説 Samba LDAPサーバ構築

作者: 武田保真
出版社/メーカー: 技術評論社
発売日: 2004/12
メディア: 単行本
クリック: 44回
この商品を含むブログ (14件) を見る

AD連携の部分がちょっと少ないのが悩み。Sambaで１冊買うなら、これがいいのかなぁ。

Software Design (ソフトウエアデザイン) 2006年 07月号 [雑誌]

出版社/メーカー: 技術評論社
発売日: 2006/06/17
メディア: 雑誌
クリック: 2回
この商品を含むブログ (6件) を見る

SoftwareDesignのSamba特集の号。この管理五輪書シリーズ楽しみにしてる。

Debian GNU/Linux Expertデスクトップユーススペシャル

作者: 技術評論社書籍編集部
出版社/メーカー: 技術評論社
発売日: 2004/08
メディア: 単行本
クリック: 9回
この商品を含むブログ (26件) を見る

Debian本。Debian GNU/Linux徹底入門第3版 Sarge対応は買おうと思ってまだ買ってない。

Kerberos―Cross‐platform authentication & single‐sign‐on

作者: Jason Garman,桑村潤,我妻佳子
出版社/メーカー: オライリー・ジャパン
発売日: 2004/05
メディア: 単行本
購入: 1人クリック: 19回
この商品を含むブログ (7件) を見る

Kerberosの最良本。っていうか、これともう１冊ぐらいしかKerberosは本がない。

LDAP Super Expert

作者: 編集部
出版社/メーカー: 技術評論社
発売日: 2006/04/11
メディア: 大型本
購入: 2人クリック: 22回
この商品を含むブログ (15件) を見る

LDAP本。LDAPを使った連携はでやろうと思ってるので。一応あげとく。

自分のペースでゆったり学ぶTCP/IP (絵でラクシリーズ)

作者: 網野衛二
出版社/メーカー: 技術評論社
発売日: 2005/01
メディア: 単行本
購入: 10人クリック: 148回
この商品を含むブログ (14件) を見る

オチ。

2006-08-15

Winbind認証

Samba

これでログインはできるようになったものの。
ユーザをDebian側で作っておかなければならないという、なんとも面倒な手法。
つまり、パスワードのみをDCで認証し、アカウントはDebianが認証するという。
アカウントもDCでできるようにしたいというのは、当然のこと。
手法としては…。

Winbindを使う
Server for UNIX（SFU）を使う
LDAPを使う

できれば、Kerberos+LDAPなんてカッコイイ方法を使いたいところのなので、(3)をやってみたいのだが。
いまいちこれがよくわからん手法なので、一番簡単なWinbindでとりあえずやってみよう。

Winbindインストール

WinbindはSambaに入ってるので、Sambaをインストールせねばならん。
…debianはWinbindもインストールしなきゃダメだった。

apt-get install samba samba-common winbind

で、設定画面がくるので、以下のように設定した。

workgroup … ドメイン名なので、R2N
password encryption … よくわからんけど、OK
WINS settings DHCP … WINSは使わないので、NO

smb.conf設定

続いて、smb.confを書き換える。
今回は、sambaはwinbindのためにあるので、新しく作ってもよいよ。

/etc/samba/smb.conf

workgroup = R2N
security = ADS
realm = R2N.LOCAL
netbios name = debian2
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind cache time = 15
winbind separator = @
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
obey pam restrictions = yes

ドメイン登録

でもって、Winbindの機能を使って、ドメインにコンピュータを登録する。

net ads join -U Administrator

これでコンピュータが登録される。

この状態で、wbinfoでちゃんと使えるか確認する。

wbinfo -t
wbinfo -u
wbinfo -g

PAM設定

あとはpamをひたすらいじる。

/etc/pam.d/common-auth

auth sufficinet pam_winbind.so
auth required pam_unix.so unllok_secure use_first_pass

/etc/pam.d/common-account

auth sufficinet pam_winbind.so
auth required pam_unix.so

passwordとsessionはいじる必要なし。
これでOK。

…ちと疲れたので詳細はまた後日。