チュートリアル MariaDB - アクティブディレクトリでの Kerberos 認証

アクティブディレクトリで MariaDB サービス Kerberos 認証を構成する方法を学習しますか? このチュートリアルでは、マイクロソフトの Windows および Kerberos プロトコルからアクティブディレクトリを使用して MariaDB ユーザーを認証する方法を示します。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• MariaDB 10.3
• Windows 2012 R2

この例では、ドメインコントローラの IP アドレスは 192.168.15.10 です。

この例では、MariaDB サーバーの IP アドレスは 192.168.15.11 です。

チュートリアルウィンドウ – ドメインアカウントの作成

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Active Directory データベースに少なくとも 1 つのアカウントを作成する必要があります。

ADMIN アカウントは MariaDB サーバーでログインするために使用されます。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: kamisama123..

このアカウントは MariaDB インターフェイスでの認証に使用されます。

zabbix active directory admin properties

これで、必要なアクティブディレクトリアカウントが作成されました。

チュートリアル MariaDB – アクティブディレクトリでの Kerberos 認証

• IP – 192.168.15.11
• Operacional System – Ubuntu 20
• Hostname – MARIADB

ホスト名を設定する場合は、ホスト名を使用します。

Copy to Clipboard

HOSTS 構成ファイルを編集します。

Copy to Clipboard

ドメインコントローラの IP アドレスとホスト名を追加します。

Copy to Clipboard

必要なパッケージをインストールして Kerberos 認証を有効にします。

Copy to Clipboard

グラフィック・インストールで、以下の構成を実行します。

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

Kerberos 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

ここに、設定後のファイルがあります。

Copy to Clipboard

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

必要な Kerberos 構成が完了しました。

チュートリアル MariaDB – アクティブディレクトリでの Kerberos 認証

MariaDB サービスをインストールします。

Copy to Clipboard

PAM 構成ファイルを作成します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

この例では、Kerberos プロトコルを使用して MariaDB サービスアクセスを認証します。

MariaDB コマンドラインにアクセスします。

Copy to Clipboard

PAM 認証プラグインを有効にします。

Copy to Clipboard

新しいユーザーアカウントを作成します。

Copy to Clipboard

この例では、ADMIN という名前の MariaDB アカウントを作成します。

この例では、MARIADB という名前の PAM ファイルを使用して認証するようにこのユーザーアカウントを構成しました。

MariaDB サービスを再起動します。

Copy to Clipboard

新しいアカウントを使用して MariaDB コマンドラインにアクセスします。

Copy to Clipboard

ユーザーアカウントを確認します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

おめでとう！マリアDB サービス Kerberos 認証の構成が完了しました。

MariaDB – アクティブ ディレクトリでの Kerberos 認証

MariaDB – アクティブ ディレクトリでの Kerberos 認証

チュートリアルウィンドウ – ドメインアカウントの作成

チュートリアル MariaDB – アクティブ ディレクトリでの Kerberos 認証

チュートリアル MariaDB – アクティブ ディレクトリでの Kerberos 認証

Related Posts

MariaDB – パスワードによる認証の強制

MariaDB – パスワードの回復

MariaDB – アクティブディレクトリでの LDAP 認証

MariaDB – 半径認証

マリアデータベース – PAM 認証

MariaDB – スーパーユーザーアカウントを作成する

MariaDB – ドッカーインストール

MariaDB – アクティブディレクトリでの Kerberos 認証

MariaDB – アクティブディレクトリでの Kerberos 認証

チュートリアル MariaDB – アクティブディレクトリでの Kerberos 認証

チュートリアル MariaDB – アクティブディレクトリでの Kerberos 認証