share facebook facebook twitter menu hatena pocket slack

2014.10.24 FRI

[Linux] sshでGSSAPIを使ったシングルサインオン(SSO)

磯辺 和彦

WRITTEN BY 磯辺 和彦

cloudpack磯辺です。

Linuxで、Active Direcotryを使った認証ができるようになったので、次はsshのシングルサインオン(SSO)をやってみた。

認証基盤の構成は、以前のエントリ RHEL7をActive Directory on Windows Server 2012 R2でユーザ認証させる (2)を参照のこと。

サーバの設定

sshdでGSSAPIを使うには、GSSAPIAuthenticationをyesにする。デフォルトでは有効になっているはず。
また、AuthenticationMethodsに、gssapi-keyex, gssapi-with-micを追加する。これまでの設定で、keyboard-interactiveのみになっていたので、追加すると、下記のようになる。

AuthenticationMethods gssapi-keyex gssapi-with-mic keyboard-interactive

設定が追記できたら、sshd -tで確認の上、sshdを再起動する。

DNSの設定

Linuxのホストの場合、Active Directoryに登録しただけでは自動的にDNSにレコードが登録されていない可能性がある。その場合は、GSSAPIを使った認証が失敗してしまう(Kerberosは名前がとても重要なのだ)。そのため、きちんと名前解決ができるようにDNSの設定をする。正引きだけでなく、逆引きについても登録が必要となる。

せっかくなので、PowerShellで登録してみた。

PS> Add-DnsServerResourceRecordA -ZoneName example.local -IPV4Address 10.0.128.195 -Name server01
PS> Add-DnsServerResourceRecordPtr -ZoneName 0.10.in-addr.arpa -Name 195.128 -PTRDomainName server01.example.local

クライアントの設定

今回の対象はOS X(10.9.5)とする。

コンピュータ名の変更

Active Directoryのドメインに参加させる必要があるので、その準備として、ホスト名を適切なものに変更する。

% sudo scutil --set HostName test01.example.local
% sudo hostname test01

ドメインへの参加

MacをActive Directoryのドメインに参加させる。

% dsconfigad -add example.local -username 

時間が掛かるので、少し待つ。問題なければなにも出力されないはず。
これで、ADのアカウントでMacにログインできるようになる。

ADアカウントでログイン

Macに対して、ADアカウントでログインした状態で、sshでサーバにログインする。
その際、GSSAPIAuthentication=yesを指定する(または、~/.ssh/configに設定を追記する)。

$ ssh -v -o GSSAPIAuthentication=yes isobe@server01.example.local
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /etc/ssh_config
debug1: /etc/ssh_config line 20: Applying options for *
debug1: Connecting to server01.example.local [10.0.128.195] port 22.
debug1: Connection established.
(snip)
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Authentication succeeded (gssapi-with-mic).
Authenticated to server01.example.local ([10.0.128.195]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = ja_JP.UTF-8
Last login: Wed Oct 1 20:39:04 2014 from test01.iret.local
[isobe@server01 ~]$

GSSAPIを使ってログインしていることを示すため、-vオプションを付与して、debug1ログを出力している。”Authentication succeeded (gssapi-with-mic).”と出力されている通り、GSSAPIを使って認証が成功している。

これで、パスワードや公開鍵を使わずにログインすることができた。

ちなみに、GSSAPIが使えない場合は、前回までの設定のとおり、パスワードとワンタイムパスワードの認証が有効になる。

元記事はこちらです。
[Linux] sshでGSSAPIを使ったシングルサインオン(SSO)

磯辺 和彦

磯辺 和彦

cloudpackに参加して以来、設計・構築・運用・開発・セキュリティなど様々な経験を経て、現在は主に社内インフラ関連を担当中。WEB+DB Press Vol.85に記事書きました。