DebianLinux その3 ― 2006年05月21日 12:41
で、DebianLinuxの設定メモ。
これでとりあえずSambaとSshはAD側の認証で使えるようになった。
次の目標はセキュリティ系かな?
jkon導入
これでとりあえずSambaとSshはAD側の認証で使えるようになった。
次の目標はセキュリティ系かな?
jkon導入
apt-get install kon2/etc/hosts.allow 編集
追加: ssh : 192.168.*.0/255.255.255.0/etc/ssh/sshd_config 編集
変更: PasswordAuthentication no → yes 追加: AllowUser [sshを利用するユーザー名]Samba導入
apt-get install samba ドメイン: [DOMAINNAME].LOCAL その他 : デフォルトWinbind導入
apt-get install winbindKerberos5導入
apt-get install krb5-config krb5-userpam-Kerberos5導入
apt-get install libpam-krb5ntp-simple導入
apt-get install ntp-simple/etc/nsswitch.confの設定
passwd: files winbind group: files winbind shadow: files winbind/etc/samba/smb.confの設定
[global]/etc/krb5.confの設定
dos charset = CP932 workgroup = [DOMAINNAME] realm = [DOMAINNAME].LOCAL server string = %h server (Samba %v) security = ADS password server = [dc].[domainname].local dns proxy = No log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d obey pam restrictions = Yes invalid users = root passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n . passdb backend = tdbsam, guest ldap ssl = no idmap uid = 10000-20000 idmap gid = 10000-20000 template homedir = /home/%U template shell = /bin/bash winbind use default domain = Yes [homes] comment = Home Directories read only = No create mask = 0700 directory mask = 0700 browseable = No [Share] comment = default share path = /home/share read only = No
[realms]
[DOMAINNAME].LOCAL = {
kdc = [dc].[domainname].local:88
admin_server = [dc].[domainname].local
default_domain = [domainname].local
}
[domain_realm]
.[domainname].local = [DOMAINNAME].LOCAL
[domainname].local = [DOMAINNAME].LOCAL
/etc/ntp.confの設定server [dc].[domainname].local server 192.168.*.1/etc/hostsの設定
127.0.0.1 kara.[domainname].local kara localhost localhost.localdomain 192.168.*.5 [dc].[domainname].local [dc]/home/share フォルダ作成
mkdir share chmod 777 share/etc/pam.d/samba の変更
全ての行をコメントアウト後追加 auth sufficient /lib/security/pam_krb5.so account sufficient /lib/security/pam_unix.so session required /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0077/etc/pam.d/ssh の変更
全ての行をコメントアウト後追加 auth sufficient /lib/security/pam_krb5.so auth sufficient /lib/security/pam_unix.so account sufficient /lib/security/pam_krb5.so account sufficient /lib/security/pam_unix.so session required /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0077
DebianLinux その4 ― 2006年05月22日 23:17
smb.confの
obey pam restrictions = Yes
について。
本来Samba3.0であれば、PAMを利用しなくても(上記パラメータがnoでも)ADに対してKerberos5で認証を行える。 ただし、それだと初回アクセス時にユーザーの個別ディレクトリが作成されない。
smb.confにはadd user script パラメータというのも有るのだが、
これはWinbind統合認証時(ADに存在するユーザーと同名のユーザーをLinux上にも準備する)とかに利用されるのでKerberos認証時(そもそも、Linux上にユーザーは作成しない)には動作しない。
そこで、PAMを有効にしてPAM側のユーザーディレクトリ作成スクリプト(pam_mkhomedir.so)を利用してみた。
これが設定として正しいかどうかは知らないけれど、とりあえず期待通りの動きをしているのでOKということで。
あと、smb.confの設定をする上で凄く役に立ったサイト。
obey pam restrictions = Yes
について。
本来Samba3.0であれば、PAMを利用しなくても(上記パラメータがnoでも)ADに対してKerberos5で認証を行える。 ただし、それだと初回アクセス時にユーザーの個別ディレクトリが作成されない。
smb.confにはadd user script パラメータというのも有るのだが、
これはWinbind統合認証時(ADに存在するユーザーと同名のユーザーをLinux上にも準備する)とかに利用されるのでKerberos認証時(そもそも、Linux上にユーザーは作成しない)には動作しない。
そこで、PAMを有効にしてPAM側のユーザーディレクトリ作成スクリプト(pam_mkhomedir.so)を利用してみた。
これが設定として正しいかどうかは知らないけれど、とりあえず期待通りの動きをしているのでOKということで。
あと、smb.confの設定をする上で凄く役に立ったサイト。
WSUS ― 2006年05月23日 00:33
WSUS=WindowsServerUpdateService
なんとなく導入してみた。
いや、クライアントが3台しかない現状で意味があるのかといわれれば無いと断言できるのだが……
とりあえず、サーバー管理の勉強の一環ということで。
※でも仕事でサーバーの管理をするわけじゃないしなぁ……
なんとなく導入してみた。
いや、クライアントが3台しかない現状で意味があるのかといわれれば無いと断言できるのだが……
とりあえず、サーバー管理の勉強の一環ということで。
※でも仕事でサーバーの管理をするわけじゃないしなぁ……
WSUS その2 ― 2006年05月24日 23:22
とりあえず運用開始。
思ったよりインストール&設定は楽だった。
で、インストール&設定メモ
まずはWSUSのインストール。
導入ターゲットがWindows2000Serverなので、このページの案内にしたがって Background Intelligent Transfer Services (BITS) 2.0を導入。
その後、MSDE2000を、コマンドラインから
setup.exe sapwd="[saのパスワード]"
で導入。
ここまでやって、実際にWSUSを導入。
このサーバーでは他にWEBサーバーを立てていないので、ポートは標準のまま使用。
次に、設定。
このページの説明にしたがって、グループポリシーオブジェクトを新規に作成。
グループポリシーの設定は以下の通り。
自動更新を構成する=有効:自動ダウンロードしインストールを通知
イントラネットの Microsoft の更新サービスの場所を指定する=有効:http://[サーバー名]
クライアント側のターゲットを有効にする=有効:[WSUSで作成したコンピューターグループ名]
自動更新のインストールを再度スケジュールする=有効:15分 スケジュールされた自動更新インストールに対しては自動再起動しない=有効
あと、グループポリシーを設定したのでWSUSのコンピューターのオプションを
「コンピュータのグループ ポリシーまたはレジストリを使用する」
に変更。
とりあえずこんな設定でWSUSが稼動中。
しばらくは自動承認は行わない予定で。
何ヶ月語ったら自動承認と自動インストールも設定してみようかな?
思ったよりインストール&設定は楽だった。
で、インストール&設定メモ
まずはWSUSのインストール。
導入ターゲットがWindows2000Serverなので、このページの案内にしたがって Background Intelligent Transfer Services (BITS) 2.0を導入。
その後、MSDE2000を、コマンドラインから
setup.exe sapwd="[saのパスワード]"
で導入。
ここまでやって、実際にWSUSを導入。
このサーバーでは他にWEBサーバーを立てていないので、ポートは標準のまま使用。
次に、設定。
このページの説明にしたがって、グループポリシーオブジェクトを新規に作成。
グループポリシーの設定は以下の通り。
自動更新を構成する=有効:自動ダウンロードしインストールを通知
イントラネットの Microsoft の更新サービスの場所を指定する=有効:http://[サーバー名]
クライアント側のターゲットを有効にする=有効:[WSUSで作成したコンピューターグループ名]
自動更新のインストールを再度スケジュールする=有効:15分 スケジュールされた自動更新インストールに対しては自動再起動しない=有効
あと、グループポリシーを設定したのでWSUSのコンピューターのオプションを
「コンピュータのグループ ポリシーまたはレジストリを使用する」
に変更。
とりあえずこんな設定でWSUSが稼動中。
しばらくは自動承認は行わない予定で。
何ヶ月語ったら自動承認と自動インストールも設定してみようかな?
W-ZERO3 その8 ― 2006年05月26日 21:53
PDAIR Leather Caseという皮のケースを購入してみた。
標準のスタイラスペン入れが使えなくなったのは悲しいが、気兼ねなく鞄に突っ込んで持ち歩けるのは楽でいい。
最初はまもるくんの様なハードタイプのケースがよかったのだが、両面テープで固定という仕様に二の足を踏んでこちらにした。
HWリセットしたくなった時にケースを外すのが少々面倒かもしれないが、最近は環境構築も一段楽し、動作も安定しているので、そんなに気にしなくてもよさそう。
充電用のクレードルもほしかったのだが、そちらはどうしようかねぇ
標準のスタイラスペン入れが使えなくなったのは悲しいが、気兼ねなく鞄に突っ込んで持ち歩けるのは楽でいい。
最初はまもるくんの様なハードタイプのケースがよかったのだが、両面テープで固定という仕様に二の足を踏んでこちらにした。
HWリセットしたくなった時にケースを外すのが少々面倒かもしれないが、最近は環境構築も一段楽し、動作も安定しているので、そんなに気にしなくてもよさそう。
充電用のクレードルもほしかったのだが、そちらはどうしようかねぇ
最近のコメント