【centos5.6】NIS+Kerberos5認証設定

 

NIS 【 Network Information Service 】とは

Sun Microsystems社が開発した、ネットワーク上の複数のUNIXコンピュータ間でユーザ情報を共有するシステム。現在では、セキュリティやパフォーマンスを改良したNIS+が各社のUNIXで使われている

もとはYP(イエロー・ページ)と呼んでいたが,YPが英British Telecom社の登録商標であるためNISと改められた

NISとLDAPの違い
  1. 結論からいうと NIS >>>>>>>> LDAP である。以上、
  2. 様々なところでLDAPが使用できる(samba,sendmail,apache,Autofs,FreeRADIUSなど)
  3. セキュリティがLDAPの方がよい
  4. SunがNISを捨てた
  5. LDAPは設定が複雑なので最初導入が難しい
  6. Solaris 8 以前のクライアントをLDAPはサポートしていない

 

kerberos5とは

暗号による認証方式の一つ。通信経路上の安全が保障されないインターネットなどのネットワークにおいて、サーバとクライアントの間で身元の確認を行うのに使う。

X Window Systemの開発で知られるマサチューセッツ工科大学(MIT)の「Athena」プロジェクトによる、認証サービスや関連するプロトコル、プログラムなどの総称

kerberos4 暗号化に「56ビットDES」方式
kerberos5 では暗号化モジュールを自由に選択できるようになっている。このKerberosバージョン5は一部のLinuxのディストリビューションに採用

 


 

ホスト追加
centosの場合
echo -e adサーバIP'\t'ad.test.com >> /etc/hosts
echo -e adサーバIP2'\t'ad2.test.com >> /etc/hosts
ソラリス8,9の場合
echo -e "adサーバIP\tad.test.com" >> /etc/hosts

echo -e "adサーバIP2\tad.test.com" >> /etc/hosts

 

Kerberos5 の設定
centosの場合

/etc/krb5.conf

[libdefaults]
 default_realm = ad.test.com

[realms]
 ad.test.com = {
  kdc = ad.test.com
  kdc = ad2.test.com
  admin_server = ad.test.com
 }

[domain_realm]
 .ad.test.com = ad.test.com
 ad.test.com = ad.test.com

[appdefaults]
validate=false

動作チェック
kinit userid

adで登録されているユーザーをuseridに入力して何も出てこないと成功

klist

Ticket cacheが返ってくることを確認する

 

ソラリス8,9の場合

なし(soraris10からはkerberos設定ができる)

 

ypbind設定
centosの場合

/etc/yp.conf

domain adi server ad.test.com
domain adi server ad2.test.com
sorarisの場合
 /usr/sbin/ypinit –c  <<NIS認証に使用するドメインコントローラを設定

next host to add: ad.test.com

next host to add: ad2.test.com

next host to add: ctrl+d

Is this correct?  [y/n: y]  y

↑ 上記の設定で/var/yp/bindiing/adi/ypserversが切り替わる

/usr/lib/netsvc/yp/ypstart   <<ypbindサービスを開始

動作チェック

ypcat –x <マッピング情報の確認

ypwhich < 参照先ADサーバの確認

ypcat passwd  | grep userid

ypcat group
adサーバで使われるドメイン設定
centosの場合

/etc/sysconfig/network

NISDOMAIN=ad
solarisの場合
domainname ad

ad > /etc/defaultdomain

 

認証設定
centosの場合

authconfig-tui

をして次々選択するか /etc/nsswitch.confを直すか

 

※ユーザー認証にLDAPとNISが混ざっているとどの認証を使えばいいか迷ってしまいssh接続及びメールサーバの場合、メールが遅延してしまうので要注意(今回はLDAPを外してNISを設定すること)

ソラリス8,9の場合

passwd: group:にnisを追加

sed -i -e s/'passwd:     files'/'passwd:     files nis'/ /etc/nsswitch.conf
sed -i -e s/'group:      files'/'group:      files nis'/ /etc/nsswitch.conf

 

 

NIS の動作確認

adサーバに登録されたユーザーでログインできることを確認

getent passwd | grep t-yoshid

getent group | grep operations

id

 

 

visudoの設定
%operations ALL=(root,kaka) ALL
%developments ALL=(kaka) ALL

上記の意味は調査中


参考したURL:http://d.hatena.ne.jp/hmbdyh/20101010/1354789089(LDAP vs NISの違い)

http://www.oss-d.net/samba-openldap


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です