[CentOS6][OpenAM10] samba4 の ActiveDirectory(Windows2008互換)でSSOする


Create: 2014/10/16
LastUpdate: 2014/10/16
≪ メニューに戻る

[CentOS6][samba4] samba4 で ActiveDirestoryサーバの構築 (Windows2008R2互換)」で構築した samba4 の ActiveDirectory を使ってSSOを試してみます。

1.データストア


データストアに samba4 を設定して、samba4 の ユーザ情報を参照してみます。
データストアは下図のように、OpenAMの "embedded" に追加する形式で samba4 の ActiveDirectory を追加してみます。



samba-ad の設定は、下図のとおり。
[LDAPサーバ] で samba4 のIPアドレスを設定し、[LDAPバインドDN]は、samba4 の "Administrator ユーザ" を設定します。
[LDAPバインドパスワード] は、samba4 の Administrator ユーザのパスワードです。
[LDAP組織DN]には、ActiveDirectory ドメインの "blue21.local" を設定します。



対象を確認すると、samba4 に登録されているユーザを見ることができます。



2.ActiveDirectory 認証


samba4 で ActiveDirectory 認証を試してみました。
OpenAMの設定手順は、「 [CentOS6][OpenAM10] ActiveDirectory認証」と同じで認証できました。

3.WindowsDesktopSSO 認証


samba4 で WindowsDesktopSSO を試してみました。
OpenAMの設定手順は、「 [CentOS6][OpenAM10] WindowsDesktopSSO(統合Windows認証)」と同じでOKです。



samba4 でのSPN登録と keytab ファイルの作成手順は Windows とは異なります。
samba4 サーバ上で下記①~④の手順でコマンドを実行します。

① SPN 用のユーザ作成を作成する
以下の例では、ActiveDirectory に "openam" ユーザを登録しています。
SPN登録にはユーザが必要です。
# samba-tool user create --random-password openam
User 'openam' created successfully
② ユーザのパスワード有効期限を無効にする
# samba-tool user setexpiry --noexpiry openam
Expiry for user 'openam' disabled.
③ SPN を登録する
以下の例では、exam01.blue21.local は、OpenAMサーバです。openam は上記1で作成したユーザです。
# samba-tool spn add HTTP/exam01.blue21.local openam
④ keytab ファイルを作成する
以下の例では、openam.HTTP.keytab ファイルを作成しています。
# samba-tool domain exportkeytab openam.HTTP.keytab --principal=HTTP/exam01.blue21.local
以上で、keytab ファイルが作成できます。
keytab ファイルの中身を見てみると以下のとおり。
# klist -ke ./openam.HTTP.keytab
Keytab name: FILE:./openam.HTTP.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 HTTP/exam01.blue21.local@BLUE21.LOCAL (des-cbc-crc)
   1 HTTP/exam01.blue21.local@BLUE21.LOCAL (des-cbc-md5)
   1 HTTP/exam01.blue21.local@BLUE21.LOCAL (arcfour-hmac)
あとは、keytab ファイルを OpenAMサーバに転送して、Tomcat が参照できるようにパーミションを変更します。
[root@exam01 tomcat6]# cd /usr/share/tomcat6/
[root@exam01 tomcat6]# scp 192.168.1.85:/root/openam.HTTP.keytab .
root@192.168.1.85's password:
openam.HTTP.keytab                                                                                     100%  238     0.2KB/s   00:00
[root@exam01 tomcat6]# chmod 777 ./openam.HTTP.keytab
最後に openam ユーザの[ユーザログオン名]を修正します。
私は、下図のように RSAT を使用して、samba4 の openam ユーザを変更しました。








登録: 投稿 (Atom)