WORKGROUP環境のWindowsからFreeIPA認証(Kerberos認証)で接続可能なSambaファイルサーバの構築
やりたいこと
- FreeIPAでSambaファイルサーバの認証
- WORKGROUP環境のPCからSambaファイルサーバに接続
環境
- FreeIPAサーバ(ipa.hirune.example)
- Sambaファイルサーバ(samba.hirune.example)
- CentOS 7
- Samba 4.4.4
- 標準リポジトリからのインストールのためAD DC (Active Directory Domain Controller)機能はなし
- Windows 10 Home・Pro
- Sambaファイルサーバのクライアント
- Active Directory不参加(WORKGROUP環境)
概要
- WORKGROUP環境からでもKerberos認証は可能
- WindowsからFreeIPAでKerberos認証をする際には新たにDNSの設定が必要
手順
FreeIPAサーバのインストール
- 通常通りFreeIPAサーバをインストール・設定する
- とりあえずFreeIPAにログインする
# kinit admin
- WindowsでKerberos認証を行う際に必要なDNSの設定を行うため、以下のコマンドを実行する
# ipa-adtrust-install
- 認証のためのポートを開ける
# firewall-cmd --permanent --add-port={135/tcp,138/tcp,139/tcp,445/tcp,138/udp,139/udp,389/udp,445/udp,1024-1300/tcp}
# firewall-cmd --reload
- サービスプリンシパル名を登録する
# ipa service-add cifs/samba.hirune.example
Sambaサーバのインストール
- 通常通りFreeIPAクライアントをインストール・設定する
- Sambaサーバをインストールする
# yum install sssd-libwbclient samba samba-client
- とりあえずFreeIPAにログインする
# kinit admin
- keytabに鍵を登録する
# ipa-getkeytab -s ipa.hirune.example -p cifs/samba.hirune.example -k /etc/samba/samba.keytab
- /etc/samba/smb.confを編集し、Sambaの設定をする
(以下設定例)
[global]
unix charset = UTF-8
dos charset = CP932
workgroup = WORKGROUP
security = ads
realm = HIRUNE.EXAMPLE
dedicated keytab file = FILE:/etc/samba/samba.keytab
kerberos method = dedicated keytab
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
- SELinuxの設定を変更し、Sambaからホームディレクトリへのアクセスを許可する
# setsebool -P samba_enable_home_dirs on
- Sambaサーバを起動する
# systemd start smb
# systemd enable smb
- Sambaのためのポートを開ける
# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload
Windowsクライアントからの接続
- エクスプローラのアドレス欄から \\samba.hirune.example にアクセス
- ユーザ名・パスワードを入力する
- ユーザ名は username@HIRUNE.EXAMPLE のように後に @レルム名 をつけることでKerberos認証になる
- 以上でSambaを用いてホームフォルダにアクセスできる
参考
0 件のコメント:
コメントを投稿