クラスフルルーティングと異なるサブネット(続)
この異なるサブネットの場合のルーティングアップデートの取り扱いって、Cisco TACに情報が出ていたのを教えてもらった。
・Cisco TAC アップデート送受信時の RIP および IGRP の動作
これがまた微妙にわかりづらい表現だったりするので。
ちょっとまとめてみると。
クラスフルルーティングと異なるサブネット
クラスフルルーティングプロトコルには不連続サブネットの問題ってのがあります。
同一メジャーネットワークのサブネットを持つ2つのルータで、ルータ間の接続を別のメジャーサブネットにした場合、ルーティングに不備が起こるとかそういうのですけど。
要はクラスフルルーティングプロトコルがプリフィックス長をアドバタイズしないのが問題なわけですよ。
で、もう1つクラスフルルーティングプロトコルには、同一メジャーネットワークのサブネットのサブネットマスクは同一にしなければならないという制限があります。
この制限、守らなかったらどうなるのかな〜……というわけでやってみました。
用意したのは、Cisco2600が2台(FastEtherインタフェースが2つ)。
続きを読む経緯とまとめ
もともと何がしたかったかといえば。
これだったわけです。
そのための実験として、
- パスワード認証だけでもADで行う
- Kerberos認証を使用する
- アカウント認証もADで行う
- Winbind認証を使用する
ということを実際にやってみた、という形になります。
1は全体のユーザアカウントが少ない場合や、Linuxクライアントを使用するアカウントが少ない場合に向いている。
Linux側にもアカウントを作成しなければならないため、そこが面倒ですが、使用するアカウントが少ない、もしくは限定したい場合はこれでも十分かと。
2はADにあるアカウントで特に限定なくLinuxクライアントを使用したい場合ですね。
実際はWinbindって便利、という感じですけどね。
Winbindでの認証を使用する場合の手順は次のようになるわけです。
- NTP設定
- DNS設定
- Kerberos5設定
- 必要ソフトインストール
- krb5.conf設定
- Samba+Winbind設定
- 必要ソフトインストール
- smb.conf設定
- nsswitch設定
- ドメインへの参加
- PAM設定
基本的にはこれだけでOK。
次は……、SFUを試してみようかな?
KDEへのログイン(再)
大失敗。
pamの設定を間違えているという大ボケ。
/etc/pam.d/common-account account sufficient winbind.so
と書くところを。
/etc/pam.d/common-account auth sufficient winbind.so
って書いてた。なんでaccountなのにauthやねん。
え〜、そこ直したらさっくりログインできました。
pam.dの中何度も見直したのになぁ。こういうところって気づきにくいのかも。
実際、認証自体はうまくいっているのを確認していたし。
auth.logみても、ADの監査みてもまったく問題なく。
なんでログインできないのかと。
正直common-sessionかなぁ、と思ってた。
前回あげようと思ってた画像をいくつか公開。
KDEでのログイン画面はこんな感じになります。
WinbindがADからユーザ情報をひっぱってくるので、必要のないユーザ(IWAMとかターミナルユーザとか)まで表示されてしまいます。邪魔。
ユーザが多い場合、問題になるよなぁ。ちょっと課題。
KDEだとコントロールセンターでsmb.conf設定できるんだね。知らなかった。
Winbindの設定もココでできるので、こっちの方が楽かなぁ。
ちょっとまとまりがついてないので、次回あたりまとめます。
KDEへのログイン
コマンドラインからのWinbind+Kerberosログインはうまくいったので、次はKDEでのログイン。
基本的にやることはおなじだと思う。
- Winbind+Sambaインストール
- smb.conf設定
- ドメイン参加
- PAM設定
これでいってみよう。
…あれれ?
何度やっても、winbinddが起動してないっぽい。
wbinfoが失敗する。
ん〜。
sambaをインストールしてみよう。
apt-get install samba
…ありゃ?これでうまいくいくようになった。
では実際にログオンしてみましょ。
あああ、すごい。隣のユーザ一覧にADのユーザ全部出てる!!
でも、IWAMとかあって邪魔なような気がしないでもない。
でも、ログオンできない。パスワードではじかれる…。
どうもADへのパスワードがうまくいかないらしい。
うう〜ん。混乱してきた。
また次回チャレンジ。
参考図書
今のKerberos+Sambaで使ってる資料本。
ActiveDirectoryとLinuxによるシステム構築ガイト
- 作者: 堀田元宣
- 出版社/メーカー: 秀和システム
- 発売日: 2005/07/28
- メディア: 単行本
- クリック: 33回
- この商品を含むブログ (10件) を見る
セキュアなSambaサーバーの作り方 (日経BPパソコンベストムック)
- 作者: 日経Linux
- 出版社/メーカー: 日経BP社
- 発売日: 2005/10/15
- メディア: ムック
- 購入: 2人 クリック: 18回
- この商品を含むブログ (5件) を見る
- 作者: 武田保真
- 出版社/メーカー: 技術評論社
- 発売日: 2004/12
- メディア: 単行本
- クリック: 44回
- この商品を含むブログ (14件) を見る
Software Design (ソフトウエア デザイン) 2006年 07月号 [雑誌]
- 出版社/メーカー: 技術評論社
- 発売日: 2006/06/17
- メディア: 雑誌
- クリック: 2回
- この商品を含むブログ (6件) を見る
Debian GNU/Linux Expertデスクトップユーススペシャル
- 作者: 技術評論社書籍編集部
- 出版社/メーカー: 技術評論社
- 発売日: 2004/08
- メディア: 単行本
- クリック: 9回
- この商品を含むブログ (26件) を見る
Kerberos―Cross‐platform authentication & single‐sign‐on
- 作者: Jason Garman,桑村潤,我妻佳子
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2004/05
- メディア: 単行本
- 購入: 1人 クリック: 19回
- この商品を含むブログ (7件) を見る
- 作者: 編集部
- 出版社/メーカー: 技術評論社
- 発売日: 2006/04/11
- メディア: 大型本
- 購入: 2人 クリック: 22回
- この商品を含むブログ (15件) を見る
自分のペースでゆったり学ぶTCP/IP (絵でラクシリーズ)
- 作者: 網野衛二
- 出版社/メーカー: 技術評論社
- 発売日: 2005/01
- メディア: 単行本
- 購入: 10人 クリック: 148回
- この商品を含むブログ (14件) を見る
Winbind認証
これでログインはできるようになったものの。
ユーザをDebian側で作っておかなければならないという、なんとも面倒な手法。
つまり、パスワードのみをDCで認証し、アカウントはDebianが認証するという。
アカウントもDCでできるようにしたいというのは、当然のこと。
手法としては…。
できれば、Kerberos+LDAPなんてカッコイイ方法を使いたいところのなので、(3)をやってみたいのだが。
いまいちこれがよくわからん手法なので、一番簡単なWinbindでとりあえずやってみよう。
Winbindインストール
WinbindはSambaに入ってるので、Sambaをインストールせねばならん。
…debianはWinbindもインストールしなきゃダメだった。
apt-get install samba samba-common winbind
で、設定画面がくるので、以下のように設定した。
smb.conf設定
続いて、smb.confを書き換える。
今回は、sambaはwinbindのためにあるので、新しく作ってもよいよ。
/etc/samba/smb.conf workgroup = R2N security = ADS realm = R2N.LOCAL netbios name = debian2 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind cache time = 15 winbind separator = @ winbind use default domain = yes template homedir = /home/%U template shell = /bin/bash obey pam restrictions = yes
ドメイン登録
でもって、Winbindの機能を使って、ドメインにコンピュータを登録する。
net ads join -U Administrator
これでコンピュータが登録される。
この状態で、wbinfoでちゃんと使えるか確認する。
wbinfo -t wbinfo -u wbinfo -g
PAM設定
あとはpamをひたすらいじる。
/etc/pam.d/common-auth auth sufficinet pam_winbind.so auth required pam_unix.so unllok_secure use_first_pass
/etc/pam.d/common-account auth sufficinet pam_winbind.so auth required pam_unix.so
passwordとsessionはいじる必要なし。
これでOK。
…ちと疲れたので詳細はまた後日。