cbreeze

[概要]
　この資料はMicrosoft　Active Directory互換の単一ドメインコントローラとしてのsamba4のセットアップの説明です。
　既存のAD DCをアップグレードの際はディトリビューションのアップグレード資料などを参照ください。

[バージョン]
　sambaのHOWTOは更新を反映させるため頻繁にアップデートされます。
　バージョン4.0以降のリリース計画を参照し、またインストールしたらリリースノートを確認ください。
　本HOWTOに反映されていない重要な情報が含まれる可能性があります。

[Sambaのインストール]
　インストールには2通りがあります。
　・Sambaを自分自身でビルドしコンパイルする
　・ディストリビューションのパッケージマネージャを使ってインストールする
　　例：https://portal.enterprisesamba.com/.

[パス]
　旧バーションのSambaがインストールされている場合Sambaコマンドを実行の際は注意が必要です。
　旧バージョンのコマンドを実行しないためには$PATH変数が有効とわかるまで[ディレクトリ＋コマンド]で実行します。
　/usr/local/samba/bin/
　/usr/local/samba/sbin/
　次のコマンドでSambaのバージョンがわかります。
　どのバージョンにせよ表示されたバージョンのPATHが有効です。
　# samba -V

[サーバー情報]
　このHOWTOでは以下の構成情報を前提とします。
　インストール先: /usr/local/samba/
　ホスト名: DC1
　DNS ドメイン名: samdom.example.com (realm)
　NT4 ドメイン名: samdom
　IP アドレス: 192.168.1.1
　サーバー機能: DC

[provision実行]　..新規ドメイン
　provisionの実行で基本データベースが生成され、新規Sambaドメインコントローラーの構成時に使用されます。
　既存のドメインへの追加の場合は以下を参照ください。
　・「Joining a Windows Domain Controller as an additional DC in a Domain HowTo」
　provisionのセットアップはActive Directoryへの書き込み権限のあるユーザで実行します。
  そうでなければpermission deniedエラーとなります。

# /usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive
  対話形式でprovisionが実行されますが、対話形式でない項目も含まれます。
  samba-tool domain provision --helpで追加事項を確認することを推奨します。

　--use-rfc2307オプションはSambaによるActive DirectoryでPOSIX属性でのファイルなどの格納を可能にします。
　またActive Directory内にNIS情報を生成し、UnixにおけるUID/GIDでの管理を可能にします。
　この機能は後で手動セットアップするよりprovision中に有効にするほうが簡単です。
　必要がない場合にこのオプションを指定してもsambaの構築には影響を与えません。

[provision実行上の重要事項]
　Samba4.0.0rc1のprovisionコマンドではSamba内部DNSがデフォルトです。
　内部DNSに代えてBindを使う場合はコマンドに--dns-backend=BIND9_DLZオプションを追加ください。
　ただしこれが最終設定ではなく必要な時いつでも入れ替えが可能です。

　provisionをやり直す場合は/usr/local/samba/etc/smb.confを削除する必要があります。
　またSambaデータベースファイルが生成されていたらrm -rf /usr/local/samba/private/*を実行し削除します。

　ドメインの管理者パスワードには少なくとも1個の大文字/数字を含み長さ8文字以上の要求を満たす必要があります。
　前記条件を満たさない場合provisionを実行してもエラーとなるので、必要なファイルを削除後再実行してください。

[Samba/NT4ドメインのADへの移行(Classicupgrade)]
　既存のSamba NT4ドメインをSamba ADに移行の場合はClassicupgrade HowToを参照ください。

[Samba AD DCの起動]
　注意：もし前のバージョンのsmbd/nmbd/winbinddを実行中ならsambaを起動する前に停止する必要があります。
　Sambaを起動するにはrootユーザで単純に起動するのみです。
　# /usr/local/samba/sbin/samba
　このコマンドではsambaは標準モードで実行されます。
　sambaはまだ各プラットフォームに対応した起動スクリプトを装備していません。
　Samba4 Init-Scriptのページのサンプルから、使用中の環境に合わせたスクリプトの作成はそれほど難しくありません。

開発用としてsambaを実行するなら次の起動コマンドがより有用です。
　# /usr/local/samba/sbin/samba -i -M single
　このコマンドでは実行がシングルモードに制限され、すべてのログメッセージが標準出力デバイスに出力されます。
　これによりgdbによるSambaのデバッグがより容易になります。
　gdbの制御の下でSambaを起動するには次のコマンドを使います。
　# gdb --args /usr/local/samba/sbin/samba -i -M single

[テスト]
　最初にsmbclientのバージョンが"Version 4.x"かを確認します。
　$ /usr/local/samba/bin/smbclient --version
 
　次に共有フォルダーのリストを表示しActiveDirectoryの操作に必要なnetlogon/sysvolが含まれるかを確認します。
　これらの共有はprovision/upgrade中にsmb.confに設定されます。
　$ /usr/local/samba/bin/smbclient -L localhost -U%
       Sharename       Type      Comment
       ---------       ----      -------
       netlogon        Disk
       sysvol          Disk
       IPC$            IPC       IPC Service (Samba 4.x.y)

　sambaの起動に失敗したら次のコマンドを実行し再起動します。
　# killall samba
　# /usr/local/samba/sbin/samba

　認証機能のテストではprovision中に生成したドメインのAdministratorアカウントでnetlogon共有に接続します。
　次のコマンドの出力が以下と同様かを確認します。
　$ smbclient //localhost/netlogon -UAdministrator% -c 'ls'
　Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.x.y]
　  .                                   D        0  Tue Dec 11 20:00:00 2012
　  ..                                  D        0  Tue Dec 11 20:00:00 2012

[DNSの構築]
　DNSのセットアップはSambaとADの動作に必須です。正しいDNSの構成なくしてはKerberos認証は動作しません。
　言い換えれば多くの基本的な機能が動作しないことを意味します。
　構成ミスによりデバッグに多くの時間をかけるのに比べれば、DNSのセットアップに多少の時間を割くほうが有益です。

[DNSサーバー]
　DNSに関する追加と支援のための情報はDNSのページを参照ください。

[Samba内蔵DNSサーバー]
　Sambaはデフォルトで内部DNAを使用するので特にセットアップは要求されません。
　DNSが解決できないリクエストのフォワード指定は単純に以下をsmb.confで指定し、sambaを再起動します。
　dns forwarder = {フォワード先のDNSのIP-Address}
　内部DNSの起動が有効になるにはポート53 udp/tcpが他のDNS/Dnamaskなどのアプリで使用されないことが必要です。
　Sambaがポート53を使えない場合はsambaログファイルを参照ください。
　Failed to bind to 0.0.0.0:53 TCP - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
　どのアプリがポート53を使っているかをチェックするには次のコマンドをroot権限で実行します。
　# netstat -tunpe | grep ":53"
　53ポートはsambaのみに割り付けらるべきです。
　トラブルシューティングに関する情報はSamba Troubleshootingのページを参照ください。

[BIND]
　provisionでdnsとしてBIND9_DLZを選択したら追加のセットアップのためにBind as DNS backend HowToを参照ください。
　そこではセットアップやBINDの構築に関する多くの情報やSamba ADと連携のための構成情報を見ることができます。
　もし最初に内部DNSを指定しても必要な時にBindに切り替えが可能です。

[/etc/resolv.conf]
　DNS名前解決のためにはサーバーの/etc/resolv.confを編集する必要があります。
　以下のサンプルを使用しているドメイン名とIPアドレスを環境に合うように編集してDNSの名前解決ができるようにします。
　domain samdom.example.com
　nameserver 192.168.1.1
　注意：IPアドレスがDHCPで配布されているなら/etc/resolv.confは自動的に更新されます。
　DHCPのDCへの利用は推奨しませんが自動更新の停止/変更についてはディストリビューションのドキュメントを参照ください。

[DNSのテスト]
　DNSの正常動作をテストのため、次のコマンドを実行して出力結果を確認します。
　$ host -t SRV _ldap._tcp.samdom.example.com.
　_ldap._tcp.samdom.example.com has SRV record 0 100 389 samba.samdom.example.com.
　$ host -t SRV _kerberos._udp.samdom.example.com.
　_kerberos._udp.samdom.example.com has SRV record 0 100 88 samba.samdom.example.com.
　$ host -t A samba.samdom.example.com.
　samba.samdom.example.com has address 192.168.1.1
　出力された結果がドメイン名/ホスト名/IPアドレスを使用の環境に置き換えて同じであればOKです。
　もしエラーがあればシステムログをチェックします。

[Kerberosの設定]
　Kerberosの設定はkrb5.confファイルで行います。
　このファイルの保存場所は一般に/etcディレクトリです..ディストリビューションのドキュメントを参照ください。
　provisionコマンドで生成された/usr/local/samba/share/setup/krb5.confのファイルとの置き換えが 可能です。
　このファイルのデフォルトの内容は以下です。
　[libdefaults]
        default_realm = ${REALM}
        dns_lookup_realm = false
        dns_lookup_kdc = true
　注意：レルム(Realm)名を忘れたら以下のコマンドで表示することができます。
　samba-tool testparm --suppress-prompt | grep realm

[Kerberosのテスト]
　最も簡単なテストはkinitコマンドです。
　$ kinit administrator@SAMDOM.EXAMPLE.COM
　注意：ドメイン名は大文字で入力します。
　　　　使用しているディストリビューションによっては警告のプロンプトを表示するかもしれません。
　　　　　　Your password will expire in x days on ...

　kerberosが動作してチケットを受信したのを確認のために次のコマンドを実行します。
　$ klist
　Ticket cache: FILE:/tmp/krb5cc_1000
　Default principal: administrator@SAMDOM.EXAMPLE.COM
　Valid starting     Expires            Service principal
　02/10/13 19:39:48  02/11/13 19:39:46  krbtgt/SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM
　Kinitあるいはklistのコマンドが見つからない場合はSamba_4_OS_Requirementsで必要なパッケージを確認ください。
　Kerberosはリモートクライアントからも実行可能ですが先にクライアントのkrb5.confとresolve.confの設定が必要です。
　注意：NATで接続されたクライアントの場合はドメインコントローラのkrb5.confに以下を追加しなければなりません。
　[kdc]
        check-ticket-addresses = false
　注意：もしprovisionで指定したパスワードを忘れた場合は以下のコマンドをルート権限で実行しリセットできます。
　samba-tool user setpassword administrator

[NTPの設定]..オプションただし重要
  Active Directoryはクライアントとドメインコントローラ間の正確な時間の同期を要求します。
  したがってNTPあるいはほかの時間同期の手段の実行を強く推奨します。
  Configure NTPのページではSELinuxポリシーを含めてNTP設定のプロセスを提示します。

[関連情報]
　Samba Wikiではバックアップ/リカバリ/共有設定やADのためのクライアントの設定/WindowsからのSambaAD管理あるいはADに対する認証など 多くの有用な関連 情報を提供します。
　HOWTOやチュートリアルなど多く情報についてはSamba Wiki user documentationページを参照ください。

[成功/失敗例の報告を]
　DCとしてのSambaはいまでも開発途中です。
　ユーザの成功/失敗の内容をメーリングリストhttp://lists.samba.orgで報告されることを奨励します。

[概要]
　このHOWTOではActive Directoryに参加のSamba4.xメンバーサーバーの基本的なセットアップ方法について提示します。
　SambaあるいはWindowsのドメインコントローラ(DC)かどうかには関係しません。

　[必要なパッケージ]
　Sambaのコンパイルのためには以下のパッケージがインストールされる必要があります(RHEL6の基本インストールにて）

　autoconf
　automake
　gcc
　gdb
　krb5-devel
　krb5-workstation
　make
　openldap-devel
　pam-devel
　python-devel

[コンパイルとインストール]
　ソースのダウンロード/解凍のあと以下を実行します。
　# ./configure --with-ads --with-shared-modules=idmap_ad --{必要なら環境に合わせて別のオプションを追加}
　# make
　# make install
　このコマンドは展開されたソースのルートディレクトリで実行します。
　新しいwafビルドシステムで問題があれば従来システムで'source3'ディレクトリからのコマンド実行を試すことができます。
　このケースでは早い解決のためにSambaメーリングリストで問題を開発者に知らせてください。
　wafビルドシステムに関する追加の情報はBUILD_SYSTEMS.txtとBuildsystem Use And Whyのページを参照ください。

[Kerberosの設定]
　以下の/etc/krb5.confのサンプルを参照して実際の環境に合わせて編集ください。
　[logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

　[libdefaults]
     default_realm = YOUR.SAMBA.DOMAIN.NAME
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     forwardable = yes

[appdefaults]
     pam = {
          debug = false
          ticket_lifetime = 36000
          renew_lifetime = 36000
          forwardable = true
          krb4_convert = false
     }

　[smb.conf基本設定]
　以下はもっとも基本的なsmb.confのサンプルです。本ファイルは通常は/usr/local/samba/etc/におかれます。
'　またconfigure'のパラメータによりファイルを別の場所に置くこともできます。
[global]

   workgroup = SHORTDOMAINNAME
   security = ADS
   realm = YOUR.SAMBA.DOMAIN.NAME
   encrypt passwords = yes

   idmap config *:backend = tdb
   idmap config *:range = 70001-80000
   idmap config SHORTDOMAINNAME:backend = ad
   idmap config SHORTDOMAINNAME:schema_mode = rfc2307
   idmap config SHORTDOMAINNAME:range = 500-40000

   winbind nss info = rfc2307
   winbind trusted domains only = no
   winbind use default domain = yes
   winbind enum users  = yes
   winbind enum groups = yes

[test]
   path = /srv/samba/test
   read only = no

　この内容はActive Directoryに参加のメンバーサーバとするためのもっとも基本的なサンプルです。
　ドメインのユーザ/グループのIDマッピングはrfc2307の指定により行われます。
　AD内でADと同じuidナンバー/gidナンバーセットを持つユーザー/グループをメンバーサーバー上で利用可能です。
　もしAD内で異なる範囲のUID/GIDを使用するのなら、それに適合するようにする必要があります。
　非ドメインアカウントでは、マッピングデータをローカルTDBファイルに格納し、与えられた範囲のIDをとることができます。
　さらに詳細なsmb.confのパラメータについてはmanpageを参照ください。

[メンバーサーバーのドメインへの参加]

　# net ads join -U administrator
　winbindを介してドメインユーザー/グループが利用可能になります。
　さらにドメインユーザー/グループをメンバーサーバーで使えるようにするには2つのリンクを/libフォルダーに作成します。
　# ln -s /usr/local/samba/lib/libnss_winbind.so /lib
　# ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2
　# ldconfig

　64ビットLinuxシステムを実行中なら("uname -i"コマンドで"x86_64"が表示されます)/libを/lin64に置き換えてください。
　これを実行しない場合、'wbinfo'コマンドは問題なしですが'getent'は動作しません。
　# ln -s /usr/local/samba/lib/libnss_winbind.so /lib64
　# ln -s /lib64/libnss_winbind.so /lib64/libnss_winbind.so.2
　# ldconfig

　次に/etc/nsswitch.confに以下のエントリーを追加します。
　passwd: compat winbind
　group:  compat winbind

[デーモンの起動]
　以上のステップが終了したら次のサービスを起動できます。
　smbd
　nmbd
　winbindd
手動でのサービスの起動を避けるために起動スクリプトを書くか入手の必要があります。

[winbindユーザ/グループマッピングのテスト]
　winbindがドメインからユーザー/グループを受け取ったことを確認するには次のコマンドを実行します。
　# wbinfo -u
　# wbinfo -g
　このコマンドはwinbindを介してドメインから供給されたすべてのユーザとグループを表示します。

　nsswitch.confが正しくセットアップされていればchown/chgrpが可能でIDを使用できます。
　# chown DomainUser:DomainGroup file
　# chgrp DomainGroup file
　# id DomainUser

[ログファイルのチェック]
　メンバーサーバーが正常に動作しているのを確認のためにsambaログファイルをチェックします。

[その他]
　NTP
　Kerberosはドメイン内ですべてのサーバーは同じ時刻であることを要求します。
　時刻を同期のためにNTPの構築を考慮すべきです。

[概要]
　バージョン4よりsambaはWindows経由でほとんどの共有設定を可能にします。
　特にwindows上でのWindowsアクセス制御リスト(ACL)とマルチエントリーのアクセス権限管理は非常に簡単です。
　以下は共有管理方法の概要です。

[ファイルシステム]
　Sambaの先進機能を使うにはACL機能を含めてコンパイルする必要があります。(RHELだとlibacl-devel）
　また"ユーザ"と"システム"xattr(拡張ファイル属性：Extended File Attribute)をサポートするファイルシステムが必要です。
　XFSでは自動的にACLをサポートします。
  ext3あるいはext4なら/etc/fstabエントリーに"user_xattr" と "acl"オプションを含む必要があります。
  例；
  /dev/sda3     /srv/samba/Demo     ext4      user_xattr,acl      1 1

[共有追加]
  まずファイル共有フォルダーを追加します。
  # mkdir -p /srv/samba/Demo/

  続いてsmb.confを編集します。
  [Demo]
     path = /srv/samba/Demo/
     read only = no

  Sambaをリロードします。
  # smbcontrol all reload-config

 [アクセス制限]
  共有フォルダーのアクセス制限設定のためには„SeDiskOperatorPrivilege"権限を持つユーザが必要です。
  この権限をたとえば„Domain Admin"グループに付与するには以下のコマンドをSambaサーバーで実行します。
  # net rpc rights grant 'SAMDOM\Domain Admins' SeDiskOperatorPrivilege -Uadministrator
  結果を確認します。
  # net rpc rights list accounts -Uadministrator

  „SeDiskOperatorPrivilege"権限を付与されたアカウントでWindowsマシンにログインします。
  [スタート]から[コンピュータの管理]を開きます。
  [操作][別のコンピュータへ接続]でコンピュータ選択画面を開き共有を設定したサーバー名を入力します。
  [システムツール][共有フォルダー][共有][追加した共有]を選択し[右クリック][プロパティ]でプロパティ画面を開きます
  [共有のアクセス許可]タブでアクセスを許可するユーザとアクセス権限を設定します。
  [セキュリティ]タブ[編集]でファイルシステムの権限を編集します。
  [OK]で結果を保存します。

 [フォルダーのアクセス制限]
  ドメインのAdministratorとしてWindowsにログオンします。
  権限を変更したいフォルダーを選択します。
  [右クリック][プロパティ]でプロパティ画面を開き[セキュリティ]タブで[編集]を選択します。
  必要に応じて権限を変更します。
  [OK]で編集結果を保存します。

[概要]
　Sambaがどのポートとインターフェースを使っているか知るには"netstat"コマンドを使います。
　# netstat -tulpn | egrep "samba|smbd|nmbd|winbind"
　以下はそのサンプルです。
　tcp        0    0 127.0.0.1:139        0.0.0.0:*    LISTEN      43270/smbd         
　tcp        0    0 10.0.0.1:139         0.0.0.0:*    LISTEN      43270/smbd         
　tcp        0    0 10.0.0.1:88        0.0.0.0:*    LISTEN      43273/samba        
　tcp        0    0 127.0.0.1:88        0.0.0.0:*    LISTEN      43273/samba        
　tcp        0    0 127.0.0.1:445        0.0.0.0:*    LISTEN      43270/smbd         
　tcp        0    0 10.0.0.1:445        0.0.0.0:*    LISTEN      43270/smbd         
    .....
    上記サンプルはサービスがlocalhost (127.0.0.1)とIP 10.0.0.1上で使っている通信ポートを示します。

[Samba DC]
　sambaがDCとして起動されているときに使用するポートは以下です。
　Service                        Port        protocol
　DNS                            53            tcp/udp
　Kerberos                    88            tcp/udp
　End Point Mapper (DCE/RPC Locator Service)    135    tcp
　NetBIOS Name Service        137            udp
　NetBIOS Datagram            138            udp
　NetBIOS Session                139            tcp
　LDAP                        389            tcp/udp
　SMB over TCP                445            tcp
　Kerberos kpasswd            464            tcp/udp
　LDAPS (only if "tls enabled = yes")    636    tcp
　Dynamic RPC Ports*            1024-5000    tcp
　Global Cataloge                3268        tcp
　Global Cataloge SSL (only if "tls enabled = yes")    3269    tcp
　Multicast DNS                5353        tcp/udp
　* SambaはWindowsと同様ポート1024から始まるdynamic RPCサービスをサポートします。
　　1024ポートがほかのサービスで使用されている場合は1024以外のポートが使われます。

[NTドメイン]
    SambaがNT4ドメインとして起動の時のポートは以下です。
Service                        Port        protocol
  End Point Mapper (DCE/RPC Locator Service)    135    tcp
　NetBIOS Name Service        137            udp
　NetBIOS Datagram            138            udp
　NetBIOS Session                139            tcp
　SMB over TCP                445            tcp

[通信インターフェースの制限]
　共有をインターネットなど外部に解放せず、すべてのインターフェースでの通信を望まないことがあります。
　内部ネットワーク内のNICに限定すれば、ファイアウォールで制限する必要はありません。
　この場合smb.confの[global]セクションに以下のエントリーを追加しインターフェースを制限します。
　bind interfaces only = yes
　interfaces = lo eth0
　"interfaces"パラメータは多くの制限の方法を提供します。
　詳細はmanpageを参照ください。
　なお変更後sambaを再起動ください。

　スタイリッシュな外観の軽量レース用ヘルメットhlmt5 raceは滑降競技での高速走行下でも頭部を完全に保護します。
　そのデザインは新設のフリースキー製品部門であるCore Rangeでデザインされたものです。
　レーシング用ヘルメットはオプションでチンガードの装着が可能です。