docker環境で Samba4 Active Directory認証(以下AD認証)を使用してRedmineにログインする。
以前、docker上にRedmineとopenLDAP認証環境を構築を行ったが、少し発展させてAD認証にチャレンジしたので、その時のメモを残す。
(2017/09/17追加)Back up and Restoring a Samba AD DCを参考にバックアップ方法を追加
環境
- CentOS7.3 (VMWare Fusion上にゲストOSとして構築)
- Docker 1.12.6 (yumリポジトリのものを使用)
- docker-compose 1.9.0 (yum epelリポジトリのものを使用)
- Redmine redmine:3.4.2 (docker hubよりpull)
- DB postgres:9.6.3 (docker hubよりpull)
- Samba4 sonohara/samba4-ad:latest (docker hubよりpull)
- LDAPブラウザ JXplorer JXv3.3.1.2
いつものように、dockerのイメージはlatestではない最新のタグを使用する。Samba4にはタグが付与されていなかったので、latestを使用する。(Versionを確認すると 4.5.3 を使用している)
pullの数が多い(みんながダウンロードしている?)ので、pitkley/samba-ad-dc を試してみたが、winbinddのエラーが出て上手く繋がらなかったため、sonohara/samba4-adを使用する。
本来ならば、ADの管理ツールを使用するのだが、OSX上で利用できるAD管理ツールを探すのが面倒だったので、すぐに見つかったLDAPブラウザ(JXplorer)を利用する。
1. dockerイメージの取得
$ docker pull sonohara/samba4-ad:latest
$ docker pull redmine:3.4.2
$ docker pull postgres:9.6.3
2. docker設定
ネットワークは、今後gitlab、mattermostととの連携を考えているので、個別に専用のネットワークをdocker networkコマンドで作成する。
$ docker network create redmine_network
$ docker network ls
NETWORK ID NAME DRIVER SCOPE
1361f0cf0a0c bridge bridge local
.....
ea5779e11ae6 redmine_network bridge local
(2017/09/03 削除 コンテナ内のDNSは 127.0.0.11 となっている)
~後ほど定義で出てくる DNS_FORWARD には、ネットワークのホスト側のIPを記述する必要があり、ホスト側のIPは以下のコマンドでdockerコンテナ側でGatewayとして見える。~
$ docker network inspect --format='{{.IPAM.Config}}' redmine_network
[{172.18.0.0/16 172.18.0.1/16 map[]}]
データ永続化のための領域(logとsambaの設定)を作成する。SELinuxを有効にしている場合は、dockerコンテナ内からアクセスできるようにコンテキストを設定する必要がある
$ mkdir log samba files db
$ chcon -t svirt_sandbox_file_t log samba files db
前回のdocker上にRedmineとopenLDAP認証環境を構築のymlをベースに変更を加える。
version: '2'
services:
addc:
image: sonohara/samba4-ad:latest
container_name: addc_sv
environment:
DOCKER_DEBUG: 0
DNS_FORWARD: 127.0.0.11
DNS_DOMAIN: projectx.local
AD_PASSWORD: PASS0rd123
AD_REALM: projectx.local
AD_DOMAIN: PROJECTX
ports:
- "53:53/tcp" # DNS(tcp)
- "53:53/udp" # DNS(udp)
- "139:139"
- "389:389"
- "445:445"
- "636:636"
volumes:
- ./samba:/var/lib/samba
- ./log:/var/log/samba
networks:
- redmine_network
redmine:
image: redmine:3.4.2
container_name: redmine_sv
environment:
REDMINE_DB_PASSWORD: rdpassword
ports:
- "80:3000"
links:
- "postgres:postgres"
- "addc:ldap"
volumes:
- ./files:/usr/src/redmine/files
networks:
- redmine_network
postgres:
image: postgres:9.6.3
container_name: postgres_sv
environment:
POSTGRES_PASSWORD: rdpassword
POSTGRES_USER: redmine
volumes:
- ./db:/var/lib/postgresql/data
networks:
- redmine_network
networks:
redmine_network:
external: true
3. 起動
$ docker-compose up -d
Creating postgres_sv
Creating addc_sv
Creating redmine_sv
4. ADの設定
4.1 ユーザの登録
$ docker exec -ti addc_sv samba-tool user list
Administrator
krbtgt
Guest
$ docker exec -ti addc_sv samba-tool user create yamada.tarou test1Pass \
--use-username-as-cn \
"--mail-address=yamada.tarou@test.com" --given-name=山田 --surname=太郎
User 'yamada.tarou' created successfully
$ docker exec -ti addc_sv samba-tool user create suzuki.hanako test1Pass \
--use-username-as-cn \
"--mail-address=suzuki.hanako@test.com" --given-name=鈴木 --surname=花子
User 'suzuki.hanako' created successfully
$ docker exec -ti addc_sv samba-tool user list
Administrator
yamada.tarou
suzuki.hanako
krbtgt
Guest
samba-tool user create yamada.tarou test1Pass \
--use-username-as-cn \
"--mail-address=yamada.tarou@test.com" \
--given-name=山田 --surname=太郎
上記のコマンドパラメータは、ADには以下のように登録されている。
(2017/09/02) --use-username-as-cn を追加することで、cnにユーザ名を設定
- sAMAccountName: yamada.tarou
- ~
cn: 山田 太郎 ⇒ これで一意性をとっているので、重複しないようにする必要がある。~ - cn: yamada.tarou
- mail: yamada.tarou@test.com
- sn: 太郎
- givenName: 山田
4.2 LDAPブラウザ(JXplorer)での確認
JXplorerを起動し、登録した情報を確認する。JXplorerから確認はできるが、変更・修正方法については不明。submitを押してもエラーになる。
AD認証情報のメンテナンスは、WindowsのAD管理ツールに任せることにする。
以下のパラメータでログインする。
- ホスト:192.168.45.131 ※ VMware上のゲストのIPアドレス
- ポート:389
- プロトコル:LDAPv3
- ベースDN:DC=projectx,DC=local
- Level:User+Password
- UserDN:CN=Administrator,CN=Users,DC=projectx,DC=local
- Password:PASS0rd123 ※ docker-compose.ymlのAD_PASSWORDで定義した値
先に登録した情報を確認する。
5. Redmineの設定
5.1 Redmineログイン
ホストPCからVMWareゲスト(http://192.168.45.131) にアクセスし、ユーザadmin、パスワードadminでログインする。パスワード変更画面になるので、adminのパスワードを変更する。
5.2 新しい認証方式の追加
「管理」⇒「LDAP認証」⇒「新しい認証方式」で設定方式の追加を行う。
- 名称:ADDC
- ホスト:ldap ※ docker-compose.ymlのlinksで定義したホスト名
- ポート:389
- アカウント:PROJECTX\Administrator ※ ドメイン名はdocker-compose.ymlのAD_DOMAINで定義した値
- パスワード:PASS0rd123 ※ docker-compose.ymlのAD_PASSWORDで定義した値
- ベースDN:CN=Users,DC=projectx,DC=local
あわせてユーザーを作成:チェック
- ログインIDの属性:sAMAccountName
- 名の属性:givenName
- 姓の属性:sn
- メールアドレスの属性:mail
作成ボタンを押し、新しい認証方式を登録する。登録後「テスト」ボタンを押し、ADと接続できることを確認する。
5.3 ログアウトし、LDAPで登録したユーザ(yamada.tarou)でログイン
「あわせてユーザーを作成」をチェックしているので、Redmineに登録していないユーザは自動的に登録される。
5.4 既存ユーザのパスワード認証先の変更
管理者でRedmineにログイン後、管理->ユーザ->ログインIDを選択で画面を開き、認証-認証方式を「内部」から「ADDC」に変更すれば、LDAP認証に変わる。
これで、Active Directoryのパスワードを含む情報の変更がopenLDAPより簡単に出来れば、当初の目的はかなえられる。
後は、今考えている gitlabなどのサービスとSSOで連携が出来ればベストなのだが。
6. テーマ・プラグインを追加
素のRedmineを使用するのではもったいないので、テーマ・プラグインをインストールするスクリプトを作成。本当は、Dockerfile を作成してイメージを作成するべきなのだろうがお手軽にスクリプトにした。
#!/usr/bin/env bash
REDMINE=redmine_sv
set -x
## 必要なパッケージを追加
docker exec ${REDMINE} apt-get -y update
docker exec ${REDMINE} apt install -y unzip ghostscript fonts-ipaexfont
docker exec ${REDMINE} mkdir -pm 755 /home/redmine
docker exec ${REDMINE} chown redmine.redmine /home/redmine
docker exec ${REDMINE} bash -c 'ln -sf /usr/share/zoneinfo/Asia/Tokyo /etc/localtime'
docker exec ${REDMINE} bash -c 'gem install bundler'
docker exec ${REDMINE} bash -c 'chown redmine.redmine /usr/src/redmine/Gemfile.lock*'
## テーマインストール
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/ ; git clone git://github.com/farend/redmine_theme_farend_fancy.git public/themes/farend_fancy'
## プラグインインストール
# チケットテンプレートプラグイン
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; git clone -q -b 0.1.6 https://github.com/akiko-pusu/redmine_issue_templates.git'
# Redmine サイドバー オン・オフプラグイン
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; git clone -q https://github.com/bdemirkir/sidebar_hide.git'
# Redmine View Custom
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; git clone -q https://github.com/onozaty/redmine-view-customize.git view_customize'
# クリップボードイメージアップロードプラグイン
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; git clone -q https://github.com/peclik/clipboard_image_paste.git'
# Messengerプラグイン
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; git clone -q https://github.com/alphanodes/redmine_messenger.git redmine_messenger'
# GibHub hook Plugin
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; git clone -q https://github.com/koppen/redmine_github_hook.git'
docker cp EasyGanttFree.zip ${REDMINE}:/usr/src/redmine/plugins/.
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; unzip EasyGanttFree.zip'
docker cp redmine_agile-1_4_4-light.zip ${REDMINE}:/usr/src/redmine/plugins/.
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; unzip redmine_agile-1_4_4-light.zip'
docker cp redmine_checklists-3_1_6-light.zip ${REDMINE}:/usr/src/redmine/plugins/.
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; unzip redmine_checklists-3_1_6-light.zip'
docker cp redmine_work_time-0.3.4.zip ${REDMINE}:/usr/src/redmine/plugins/.
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; unzip redmine_work_time-0.3.4.zip'
docker exec ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; bundle install'
docker exec -u redmine ${REDMINE} bash -c 'cd /usr/src/redmine/plugins ; RAILS_ENV=production bundle exec rake redmine:plugins:migrate'
docker restart ${REDMINE}
以下の手順でプラグインをインストールする。
$ ./create-redmine.sh 2>&1 | tee run.log
7. Samba4情報のバックアップ・リストア (2017/09/17変更)
Back up and Restoring a Samba AD DCで使用している samba_backup コマンドは tdbbackup コマンドを呼び出しているが、使用しているコンテナのイメージには入っていない。
tdbbackup コマンドは、処理の流れをみるとsambaがオープンしているだろうデータベースファイル XXX.tbl を整合性を保持したまま XXX.tbl.bak を作成するコマンドのようだ。
バックアップ時にサービスを止めても良い方針を考えているので、サービスを止めて、バックアップ、サービス再開で行くことにする。バックアップ時にサービスを止めてはいけない環境ならば、先にセカンダリADを考えるべきだろう。
samba_backup を見ると、privateとetcとsysvolをバックアップしているので、バックアップ対象とする。
また、バックアップ・リストアについては、オーナー・パーミッションなどが合わせるのが大変なため、バックアップ・リストア用のコンテナを作成して実行する。
7.1 バックアップ
使用しているsamba4のイメージが ENTRYPOINT で起動コマンドをしているため、単純にdocker runでコマンドを指定しても先に ENTRYPOINT が実行される。そこで、ENTRYPOINT をbash に変更してバックアップを行うようにしている。
#!/usr/bin/env bash
BACKUP=$PWD/backup
set -x
mkdir -p ${BACKUP}
chcon -t svirt_sandbox_file_t ${BACKUP}
# LDAPサービスを停止
docker stop ldap_sv
# バックアップ実行
docker run --rm \
--entrypoint="/bin/bash" \
--volume ${BACKUP}:/backup \
--volumes-from ldap_sv:ro \
sonohara/samba4-ad:latest \
-c "cd /var/lib/samba ; tar zcf /backup/samba$(date +%Y%m%d%H%M%S).tar.gz \$(cd /var/lib/samba ; find private sysvol -type f -o -type l )"
# LDAPサービスを起動
docker start ldap_sv
7.2 リストア
#!/usr/bin/env bash
BACKUP=$PWD/backup
backupfile="$1"
date=$(date +%Y%m%d%H%M%S)
# バックアップファイルチェック
if [ \! -f ${BACKUP}/${backupfile} ] ; then
backupfile=$(basename "$1")
if [ \! -f ${BACKUP}/${backupfile} ] ; then
echo "not found backup file $1"
exit 1
fi
fi
set -x
if mkdir samba/samba.${date} ; then
# LDAPサービスを停止
docker stop ldap_sv
# リストア実行
docker run --rm \
--entrypoint="/bin/bash" \
--volume ${BACKUP}:/backup:ro \
--volumes-from ldap_sv \
sonohara/samba4-ad:latest \
-c "cd /var/lib/samba ; mv * samba.${date}/. ; tar xf /backup/${backupfile}"
# LDAPサービスを起動
docker start ldap_sv
mv samba/samba.${date} .
else
echo "mkdir error"
exit 1
fi
参考
開発環境の認証を改善して Redmineを社内標準にした話
sAMAccountNameをキーとして、OpenLDAPとActiveDirectoryを検索する
RedmineでのLDAP認証(ActiveDirectory)設定方法
Docker コンテナ・ネットワークの理解