- - PR -
Samba Client 認証について
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-08-04 11:33
Samba Client を使って Windows Server 2003 が PDC の ActiveDirectory に参加して,
共有フォルダを mount できるのかと思い,Webなどを参考にしながら smb.confを設定しました。 kinit ,net ads join は正常に終了し Active Directory への参加は行えたものと 考えています。 Samba 3 は Kerberos 認証もサポートしていると認識していたので、 smbmount のオプションに -krb を指定してみたのですが、 下記のようなエラーが出て認証に失敗してしまいました。 Warning: kerberos support will only work for samba servers net ads join でのコンピュータアカウント追加などのための LDAP認証には Kerberos が使用されているようですが、 SMB 認証では Kerberos はサポートされていないのでしょうか? Linux の環境は以下の通りです。 Samba Ver 3.0.11-6 MIT Kerberos Ver 1.3.1 以上、よろしくお願い致します。 | ||||||||||||
|
投稿日時: 2005-08-04 21:12
こんばんわ.
話の流れが良くわかりませんが, 本当に Active Directory に参加しているなら, Active Directory に logon して smbmount すればよいのでは? | ||||||||||||
|
投稿日時: 2005-08-05 09:26
話の流れがわからなくてすいません。 ただ、Samba の smbmount は、 Active Directory にある Windows の共有フォルダに、 KERBEROS 認証でログインできるのかを知りたかったんです。 >本当に Active Directory に参加しているなら, >Active Directory に logon して smbmount すればよいのでは? 知識不足で申し訳ありませんが、 Active Directory に参加することと、Active Directory に logon することは、 別のコマンドでしなきゃいけないのですか? 前述の通り、私は kinit -> net ads join で Active Directory へ 参加したものと認識していましたので、net ads join が成功した状態から そのまま smbmount に -krb のオプションを付けて実行しました。 すると「Warning: kerberos support will only work for samba servers 」 という警告文が表示され、認証に失敗してしまうといった次第です。 *ユーザ名、パスワード、フォルダパスは間違えていません。何度も確認しました。 この警告は、「KERBEROS 認証は Samba サーバにしか機能しません」 ってことですよね? それで、Samba の Client は、Active Directory にあるWindows の共有フォルダに KERBEROS 認証ではログインできないのか?という疑問が出てきたんです。 「パッチなどで対応できる」、「これは無理です」など、 何らかの情報をご存知方がいればご教授頂ければ幸いです。 | ||||||||||||
|
投稿日時: 2005-08-05 12:08
こんにちわ.
そういうお話であれば, むしろ ActiveDirectory 側の問題なので Windows な部屋のほうが適切だったかもしれませんね. 詳しくないのですが, 自分の記憶では logon の際の user 認証で kerberos が使われるのだと思ってます. つまり,Linux に logon する際に winbind などで ActiveDirectory に認証する場合は使うかもしれません. ※自信ないですけど. でも,mount する際に使うか?というと, おそらく使わないと思いますし, お気づきのとおり Samba で kerberos を使って single sign-on をする際に使うものだと考えていました. 外していたらゴメンナサイ. | ||||||||||||
|
投稿日時: 2005-08-09 18:20
こんにちわ。
ご返答ありがとうございます。
Linux Square にて、kaz様の幾多の Samba に関する記載を拝見しておりましたので、 こちらに記載させていただきました。 kaz様から返答頂き本当にありがたく思っています。
なるほど、PAMとの組み合わせで Linux にログインする場合ということですかね? net join ads での LDAP の認証には kerberos 認証が使用されているのは、 確認したのですが・・・。
とんでもないです。仰るとおり、single sign-onを実現するための kerberos でしょうね。 やはり、Samba 3.x.x 系で SMB Client がサポートしているのは、 NTLMv2 までとなるんでしょうかね? Web 等で調べると、Samba の Kerberos 認証にに関してはあまり言及されておらず、 NTLMv2 を正式サポートなどの情報は載っているくらいなもので・・。 Kerberos 認証サポートって書いてあるページは、 Samba を Active Directory 参加(net join ads) でKerberos を使用します とはあるのですが、やはりSMBに関する記述はありません。 (@ITさんのコラム) http://www.atmarkit.co.jp/flinux/special/samba3b/samba04.html たかはしもとのぶ氏 著 パケットで確認したところ、 net join ads では、SMB の Kerberos 認証は使用されていないようですし、 八方塞がりといった心境です。 http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=23147&forum=6&3 の私の投稿と重複しますが、後、ヒトツだけ情報提供していただけるとありがたいです。 ドメインコントローラの セキュリティポリシーの設定 or レジストリの設定で、NTLMv2認証にのみ応答する 設定がありますが、KERBEROS認証のみで、NTLMv2認証を拒否する設定はあるのでしょうか? 読みにくい内容かもしれませんが、よろしくお願い致します。 | ||||||||||||
|
投稿日時: 2005-08-09 22:58
こんばんわ.
明示的に拒否する設定は無いと思います. ただ,繰り返しになると思いますが, user 認証が目的ではないのですよね? つまり,ActiveDirectory で認証したいわけではなく, SMB の通信の際に引き渡す user ID の話ですよね? ですから user 認証の話とは別物だと思うのです. SMTP と POP3 を「電子メールの送受信」と認識されやすいように. ※意味合いは全く違いますが. 先にご提示いただいていてる link にも書かれていますが, 「SMBのセキュリティ機能」を参照する限り, ntlm のレスポンスを抑止することが出来るようです. 検索してみる限り, これは「なんにせよ ntlm を抑止する」ので, 自ずと v2 も抑止されると考えて良いのではないかと. 自分にわかるのはこの程度ですので, あとは「やってみる」しかないと思いますが, ntlm を抑止してしまった場合, SMB 署名とか「セキュアチャネル」なるものを使うことになるのではないかと. | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。