Winbind認証
これでログインはできるようになったものの。
ユーザをDebian側で作っておかなければならないという、なんとも面倒な手法。
つまり、パスワードのみをDCで認証し、アカウントはDebianが認証するという。
アカウントもDCでできるようにしたいというのは、当然のこと。
手法としては…。
できれば、Kerberos+LDAPなんてカッコイイ方法を使いたいところのなので、(3)をやってみたいのだが。
いまいちこれがよくわからん手法なので、一番簡単なWinbindでとりあえずやってみよう。
Winbindインストール
WinbindはSambaに入ってるので、Sambaをインストールせねばならん。
…debianはWinbindもインストールしなきゃダメだった。
apt-get install samba samba-common winbind
で、設定画面がくるので、以下のように設定した。
smb.conf設定
続いて、smb.confを書き換える。
今回は、sambaはwinbindのためにあるので、新しく作ってもよいよ。
/etc/samba/smb.conf workgroup = R2N security = ADS realm = R2N.LOCAL netbios name = debian2 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind cache time = 15 winbind separator = @ winbind use default domain = yes template homedir = /home/%U template shell = /bin/bash obey pam restrictions = yes
ドメイン登録
でもって、Winbindの機能を使って、ドメインにコンピュータを登録する。
net ads join -U Administrator
これでコンピュータが登録される。
この状態で、wbinfoでちゃんと使えるか確認する。
wbinfo -t wbinfo -u wbinfo -g
PAM設定
あとはpamをひたすらいじる。
/etc/pam.d/common-auth auth sufficinet pam_winbind.so auth required pam_unix.so unllok_secure use_first_pass
/etc/pam.d/common-account auth sufficinet pam_winbind.so auth required pam_unix.so
passwordとsessionはいじる必要なし。
これでOK。
…ちと疲れたので詳細はまた後日。