Active Directory on Windows Server 2012 R2の環境で、Red Hat Enterprise Linx 7をクライアントとして、ユーザ認証を統合してみる。
この手のシステムは実現方法がいくつかあって、自分も過去に複数の方法で構築してきた。
- winbindで認証を行う
- KerberosとLDAPを使って認証を行う
winbindで認証を行う
Sambaを使うときにはwinbindの他に選択肢は無いので使わざるを得ないのだが、過去の自分の経験では、winbindはなぜか唐突にプロセスが死んだり、プロセスが死なないにしても認証が失敗するようになったりして、大変つらいものであった。今回はSambaは使わないので、winbindも使いたくない。
KerberosとLDAPを使って認証を行う
winbindを使わない場合は、KerberosとLDAPを組み合わせて認証を行う設定とする。これはきちんと設定できれば、winbindにくらべて安定して使うことができるのだが、いかんせん、設定が非常に面倒である。特に面倒なのが、Windows Server側にUNIX ID管理ツールを導入して、Active Directory側のスキーマを拡張しなければならない点。そして、Windows Server 2012 R2では、この機能は非推奨になってしまい、GUIでは導入できなくなってしまった(コマンドラインツールを使って入れることは可能)。
今回の目標
以上を踏まえて、今回は下記を目標に構築してみようと思う。
- winbindは使わない
- UNIX ID管理ツールを使ったスキーマ拡張は行わない
これを実現する方法はちゃんと用意されている。最近は、System Security Services Daemon (SSSD)という、クライアントと多岐にわたるIdentity Provider(IdP)の橋渡しをしてくれるツールがあるので、これを使うことにする。
Active Directoryは、最もメジャーなIdPであるため、SSSDはADを単なるKerberos KDCやLDAPサーバではなく、ADとして扱ってくれるようで、設定も比較的容易らしい。
ということで、今回は決意表明だけをして、次回に続く。待て次号! (続きを書きました)
元記事はこちらです。
「[Linux][Windows] RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (1)」