Winbind認証 - Roads to Node Hatena::

これでログインはできるようになったものの。
ユーザをDebian側で作っておかなければならないという、なんとも面倒な手法。
つまり、パスワードのみをDCで認証し、アカウントはDebianが認証するという。
アカウントもDCでできるようにしたいというのは、当然のこと。
手法としては…。

Winbindを使う
Server for UNIX（SFU）を使う
LDAPを使う

できれば、Kerberos+LDAPなんてカッコイイ方法を使いたいところのなので、(3)をやってみたいのだが。
いまいちこれがよくわからん手法なので、一番簡単なWinbindでとりあえずやってみよう。

Winbindインストール

WinbindはSambaに入ってるので、Sambaをインストールせねばならん。
…debianはWinbindもインストールしなきゃダメだった。

apt-get install samba samba-common winbind

で、設定画面がくるので、以下のように設定した。

workgroup … ドメイン名なので、R2N
password encryption … よくわからんけど、OK
WINS settings DHCP … WINSは使わないので、NO

smb.conf設定

続いて、smb.confを書き換える。
今回は、sambaはwinbindのためにあるので、新しく作ってもよいよ。

/etc/samba/smb.conf

workgroup = R2N
security = ADS
realm = R2N.LOCAL
netbios name = debian2
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind cache time = 15
winbind separator = @
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
obey pam restrictions = yes

ドメイン登録

でもって、Winbindの機能を使って、ドメインにコンピュータを登録する。

net ads join -U Administrator

これでコンピュータが登録される。

この状態で、wbinfoでちゃんと使えるか確認する。

wbinfo -t
wbinfo -u
wbinfo -g

PAM設定

あとはpamをひたすらいじる。

/etc/pam.d/common-auth

auth sufficinet pam_winbind.so
auth required pam_unix.so unllok_secure use_first_pass

/etc/pam.d/common-account

auth sufficinet pam_winbind.so
auth required pam_unix.so

passwordとsessionはいじる必要なし。
これでOK。

…ちと疲れたので詳細はまた後日。