vine-users ML アーカイブ

[vine-users:071752] Re: LDAP and Kerberos

  • From: Hajime FUJITA <hajime-f@xxxxxxxxxxx>
  • Subject: [vine-users:071752] Re: LDAP and Kerberos
  • Date: Thu, 05 May 2005 19:54:12 +0900
藤田です.

微妙に進展があったので,以下に行った手順をまとめました.

=== ここから

# apt-get install nss_ldap openldap openldap-clients openldap-devel
↑LDAPに必要なパッケージをインストール


# vi /etc/ldap.conf
host xxx.naist.jp
base dc=naist,dc=jp
binddn cn=xxx,ou=xxx,dc=naist,dc=jp
bindpw xxx
nss_base_passwd ou=xxx,dc=naist,dc=jp?sub
nss_base_shadow ou=xxx,dc=naist,dc=jp?sub
nss_base_group ou=xxx,dc=naist,dc=jp?sub
nss_base_hosts ou=xxx,dc=naist,dc=jp?sub
nss_base_netgroup ou=xxx,dc=naist,dc=jp?sub
nss_base_automount ou=xxx,dc=naist,dc=jp?sub


# vi /etc/openldap/ldap.conf
BASE    dc=naist, dc=jp
HOST    xxx.xxx.xxx.xxx


# vi /etc/nsswitch.conf
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      files dns ldap
automount:  files ldap


# vi /etc/passwd
+::::::
↑末尾に追加


# vi /etc/group
+:::
↑末尾に追加


# id hajime-f
uid=xxxxxx(hajime-f) gid=xxxx(xxxxxx) 所属グループ=xxxx(xxxxxx)
↑無事にひけた.次はkerberosの設定.


# rpm -ivh krb5-devel-1.2.7-14.i386.rpm krb5-libs-1.2.7-14.i386.rpm krb5-workstation-1.2.7-14.i386.rpm krbafs-1.1.1-9.i386.rpm krbafs-devel-1.1.1-9.i386.rpm krbafs-utils-1.1.1-9.i386.rpm pam_krb5-2.0.5-1.i386.rpm


# cd /etc
# mv pam.d pam.d.orig
# ln -s /usr/share/doc/nss_ldap-217/pam.d/ pam.d
↑PAMの設定はよく分からんので,LDAP用PAMの設定をそのまま使う


# setupコマンドのユーザ認証設定

* ユーザ情報
キャッシュ情報,LDAPを使用

* 認証
MD5パスワードを使用,シャドウパスワードを使用,Kerberos 5 を使用
にチェック(「LDAP認証を使用」にはチェックを入れない).


* LDAP設定
TLSを使用 にはチェックを入れない
サーバは xxx.naist.jp,ベースDNは dc=naist,dc=jp

* Kerberos設定
レルムは NAIST.JP
KDCは xxxxx.naist.jp,xxxxx.naist.jp
管理サーバは xxxxx.naist.jp
DNSを使用して・・・は2つともチェックを入れる

すると,/etc/krb5.conf と /etc/pam.d/system-auth が以下のように
自動的に書き換わる


# less /etc/krb5.conf
[libdefaults]
 default_realm = NAIST.JP
 dns_lookup_realm = true
 dns_lookup_kdc = true

[realms]
 NAIST.JP = {
  kdc = xxxxx.naist.jp
  kdc = xxxxx.naist.jp
  admin_server = xxxxx.naist.jp
 }


# less /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_krb5.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so
account     [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_krb5.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    sufficient    /lib/security/$ISA/pam_krb5.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
session     optional      /lib/security/$ISA/pam_krb5.so

=== ここまで


この時点で,ローカル端末からなら hajime-f でテキストログイン
できるようになりますが,gdm からのグラフィカルログインや,
ssh等のリモートログインは不可能です.

おそらく,/etc/pam.d/ssh や /etc/pam.d/gdm 等を,
この自動変更のように編集する必要があると思われるのですが…
正直,よく分かりません.

この /etc/pam.d/ 以下の編集に関して,情報をお持ちの方が
いらっしゃいましたら,教えてください.
よろしくお願い致します.


-- 
Hajime Fujita (hajime-f@xxxxxxxxxxx)

Theoretical Life-Science Lab
Graduate School of Information Science
Nara Institute Science and Technology (NAIST)