こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

LinuxとsambaとAD DCに関して

※ディストリビューション内の機能を使うことを前提としています。

centos7のsambaは機能制限がついていてAD DCが使えない状態でした。
(ディストリビューション外からソースを落としてコンパイルしてやればできる)

一方、ubuntu 18.04 LTS は、samba 4.7が使えて、AD DCが利用できるようです。

昨年の秋、centos8が出て、samba 4.10が実装されています。
これは機能制限なくなったのかと思って検索してみましたが、どうやらこれも機能制限があり、AD DCは使えなさそうなのですが、まだ、情報が少なく、どうなのかよく分かりません。

centos8の標準のsambaではAD DCは利用できないのでしょうか?

投稿日時 - 2020-02-10 16:31:19

QNo.9711345

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(1)

ANo.1

CentOS/RHEL/FedoraではSambaでも使用しているkerberosの機能がMIT Kerberosに依存しているためHeimdal Kerberos版ADDCは公式には提供されません。
Fedora ProjectでMIT版ADDCを開発中ですがまだ当分掛かると思います。
その為Centos公式リポジトリではADDCパッケージは中身がありません。
実験的にはCentOS8はFedora28と互換性があるのでFC28用MIT版ADDCを使うことは可能です。但しFC30用MIT版ADDCまで用試してみましたがまだ問題が多く実用とは言い難いです。
また標準の認証機構との兼ね合いでKerberosをMITからHeimdalに入れ替えるのも現実的で無いのでソースから構築か自前でHeimdal版をパッケージングする方が問題が少ないです。
またFedora Projectで提供されているCoprリポジトリなら有志の作ったHeimdal版もありますがBugzillaも対応していないリポジトリなので自作パッケージと変わらないです。CoprリポはSRPMをアップロードすると自動でビルドし完了すると配布用のリポジトリを用意してくれるサービスなのでパッケージ構築、配布用の環境が必要無い利点はありますし追加リポジトリの扱いなのでyum/dnfでの管理ができます。私は結局Coprを利用してFC31用のソースパッケージを元にHeimdal版としてリビルドして導入しました。
どうしても公式のパッケージに拘るならHeimdal Kerberos版ADDCが提供されるディストリビューションを選ぶしか無いです。

投稿日時 - 2020-02-15 00:27:26

お礼

詳しくて分かり易い解説、ありがとう御座います。

ライトユーザーなので、MIT KerberosとかHeimdal KerberosとかKerberosの違いまで知らないので、深いところまでは分かりませんが、概要が分かりスッキリしました。

検索してみると、
MITはマサチューセッツ州工科大学の事でKerberosの開発元。
Kerberosで使っている暗号化の部分が輸出規制になってるので、こういう感じのようですね。
Heimdalは、別路線かな?


> Heimdal Kerberos版ADDCが提供されるディストリビューションを選ぶしか無いです。

ubuntuですか?

投稿日時 - 2020-02-18 16:41:05

あなたにオススメの質問