お世話になっております。 諸先輩方のお知恵をお借りしたく、投稿させていただきます。 長文となりますが、よろしくお願いいたします。 ネットから情報収集し、自分なりに試行錯誤しながら色々とやってみてはいるものの、 思い通りの動作にならず困っております。 【やりたいこと】 Sambaを利用してLinuxサーバ(Apache)をActive Directoryに参加させ、 Windows統合認証(NTLM認証:mod_auth_ntlm_winbind)を利用して Windowsクライアントからシングルサインオンさせたい。 【環境】 ・DC(Active Directory) OS:Windows Server 2003 Enterprise Edition SP2 コンピュータ名:adserver ドメイン:hoge.local ユーザー:ドメイン「hoge.local」の直下に、ユーザー「hogeuser」が存在する。 IPアドレス:xxx.xxx.xxx.xxx ・Linuxサーバ OS:Asianux Server3 SP3 Sambaバージョン:3.0.33 Apacheバージョン:2.2.3 コンピューター名:adclient ⇒ADの「Computers」の中に表示されているので、ドメインに参加できていると思われます。 IPアドレス:yyy.yyy.yyy.yyy ・クライアントマシンその1("C1"と略します。) OS:Windows 7 Professional ブラウザ:IE8 ドメイン参加:hoge.local(←今回の検証のために作成したドメイン)に参加済み。 ⇒コマンドプロンプトで「whoami /fqdn」と打つと「CN=hogeuser,DC=hoge,DC=local」が 返ってきます。 コンピューター名:test-pc ⇒ADの「Computers」の中に表示されているので、ドメインに参加できていると思われます。 ・クライアントマシンその2("C2"と略します。) OS:Windows XP SP3 ブラウザ:IE8 ドメイン参加:xxnet.com(←社内のドメイン)に参加済み。 DC⇔C1間、及びLinuxサーバ⇔C1間の疎通は問題ありません(双方向でのPingは通っています)。 【各種設定ファイル情報】 ・/etc/samba/smb.conf ※修正を加えた部分のみ抜粋。 [global] workgroup = HOGE security = ads passdb backend = tdbsam realm = HOGE.LOCAL password server = hoge.local encrypt passwords = true idmap uid = 10000-20000 idmap gid = 10000-20000 winbind use default domain = yes winbind cache time = 0 winbind separator = + template homedir = /home/%U template shell = /bin/false ・/etc/krb5.conf ※修正を加えた部分のみ抜粋。 [libdefaults] default_realm = HOGE.LOCAL [realms] HOGE.LOCAL = { kdc = xxx.xxx.xxx.xxx admin_server = xxx.xxx.xxx.xxx default_domain = hoge.local } [domain_realm] .hoge.local = HOGE.LOCAL hoge.local = HOGE.LOCAL ・/etc/hosts 127.0.0.1 localhost.localdomain localhost ←デフォルト(初期状態)のまま変更していない ::1 localhost6.localdomain6 localhost6 ←デフォルト(初期状態)のまま変更していない yyy.yyy.yyy.yyy adclient.hoge.local adclient ←この行だけを追加 ・/etc/resolv.conf search hoge.local nameserver xxx.xxx.xxx.xxx ・/etc/nsswitch.conf ※修正を加えた部分のみ抜粋。 passwd: files winbind shadow: files winbind group: files winbind ・/etc/httpd/conf/httpd.conf ※修正を加えた部分のみ抜粋。 KeepAlive On LoadModule auth_ntlm_winbind_module modules/mod_auth_ntlm_winbind.so Alias /ntlm/ "/var/www/html/ntlm/" <Directory "/var/www/html/ntlm/"> NTLMAuth on AuthType NTLM AuthName "NTLM Authentication" NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp" NTLMBasicAuthoritative on require valid-user </Directory> ・/var/cache/samba/winbindd_privileged のアクセス権 drwxr-x--- 2 root apache 4096 8月 13 10:58 winbindd_privileged 【現状】 Linuxサーバの/var/www/html/ntlm/の下に動作確認用の簡単なWebページ(index.html)を用意し、 C1から「http://yyy.yyy.yyy.yyy/ntlm/」(※1)にアクセスを試みると、 IDとパスワードの入力を促す認証ダイアログが表示されます。 認証ダイアログが表示されずに、ダイレクトでWebページを表示させたい (つまり、ドメインに参加したユーザのIDとパスワードでシングルサインオンさせたい) のですが、上述したように認証ダイアログが表示されてしまい、うまくいきません。 ここで、ドメインに登録されているユーザのID(hoge\hogeuser)とパスワード(※2)を 入力しても、何故かはじかれてしまいます。 ちなみに、C2(←hoge.localには参加していない)で同様の手順を踏むと、 認証ダイアログが表示されますが、その認証ダイアログに※2と同一の情報を入力すると、 用意したWebページが正しく表示されます。 以降、C2から※1に何度アクセスしても認証ダイアログが表示されずにWebページが 表示されるので、正しくシングルサインオンができていると思っております。 C2で一度ログオフ、その後再びログオンして再度※1にアクセスすると、 認証ダイアログが再び表示されました。 ⇒C2からのシングルサインオンの流れは特に問題無いと理解しています。 【疑問点】 (1)C1から※1にアクセスした際、何故認証ダイアログが表示されてしまうのでしょうか? (2)C1とC2において、何故動作が違うのか。 ⇒C2でWebページが表示できるのに対し、C1が表示できない点が腑に落ちません。 DC(Active Directory)の設定が悪いのか・・・ Linuxサーバーの設定が悪いのか・・・ はたまたクライアントマシン(もしくはブラウザ)の設定が悪いのか・・・ の絞り込みもできず、泥沼にはまっております。 お手数ですが、ご助言・アドバイス等いただきたく、よろしくお願い致します。 【備考】 その他の情報として、以下コマンドの実行結果も示しておきます。 # net ads info LDAP server: xxx.xxx.xxx.xxx LDAP server name: adserver.hoge.local Realm: HOGE.LOCAL Bind Path: dc=HOGE,dc=LOCAL LDAP port: 389 Server time: 月, 13 8月 2012 13:12:24 JST KDC server: DCのIPアドレス Server time offset: 0 # net ads testjoin Join is OK # wbinfo -t checking the trust secret via RPC calls succeeded
↧
