Info kplace.plala.jpから移設しました
Samba4 Member/HowToメモ
作成日: 2013/09/09■目的
Microsoft Active Directory互換Samba4をテストしてみました。
参照したSamba4/Domain Member HOWTOの要約メモです。
■Samba4
Samba4ではMicrosoft Active Directory互換サーバー機能をサポートしました。
Samba4/Domain Member HOWTOのページはこちら■Samba4/Domain Member HOWTO
Samba4/Memberサーバーインストールで参照したHOWTOのメモです。
[概要]
このHOWTOではActive Directoryに参加のSamba4.xメンバーサーバーの基本的なセットアップ方法について提示します。
SambaあるいはWindowsのドメインコントローラ(DC)かどうかには関係しません。
[必要なパッケージ]
Sambaのコンパイルのためには以下のパッケージがインストールされる必要があります(RHEL6の基本インストールにて)
autoconf
automake
gcc
gdb
krb5-devel
krb5-workstation
make
openldap-devel
pam-devel
python-devel
[コンパイルとインストール]
ソースのダウンロード/解凍のあと以下を実行します。
# ./configure --with-ads --with-shared-modules=idmap_ad --{必要なら環境に合わせて別のオプションを追加}
# make
# make install
このコマンドは展開されたソースのルートディレクトリで実行します。
新しいwafビルドシステムで問題があれば従来システムで'source3'ディレクトリからのコマンド実行を試すことができます。
このケースでは早い解決のためにSambaメーリングリストで問題を開発者に知らせてください。
wafビルドシステムに関する追加の情報はBUILD_SYSTEMS.txtとBuildsystem Use And Whyのページを参照ください。
[Kerberosの設定]
以下の/etc/krb5.confのサンプルを参照して実際の環境に合わせて編集ください。
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = YOUR.SAMBA.DOMAIN.NAME
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[smb.conf基本設定]
以下はもっとも基本的なsmb.confのサンプルです。本ファイルは通常は/usr/local/samba/etc/におかれます。
' またconfigure'のパラメータによりファイルを別の場所に置くこともできます。
[global]
workgroup = SHORTDOMAINNAME
security = ADS
realm = YOUR.SAMBA.DOMAIN.NAME
encrypt passwords = yes
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config SHORTDOMAINNAME:backend = ad
idmap config SHORTDOMAINNAME:schema_mode = rfc2307
idmap config SHORTDOMAINNAME:range = 500-40000
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
[test]
path = /srv/samba/test
read only = no
この内容はActive Directoryに参加のメンバーサーバとするためのもっとも基本的なサンプルです。
ドメインのユーザ/グループのIDマッピングはrfc2307の指定により行われます。
AD内でADと同じuidナンバー/gidナンバーセットを持つユーザー/グループをメンバーサーバー上で利用可能です。
もしAD内で異なる範囲のUID/GIDを使用するのなら、それに適合するようにする必要があります。
非ドメインアカウントでは、マッピングデータをローカルTDBファイルに格納し、与えられた範囲のIDをとることができます。
さらに詳細なsmb.confのパラメータについてはmanpageを参照ください。
[メンバーサーバーのドメインへの参加]
# net ads join -U administrator
winbindを介してドメインユーザー/グループが利用可能になります。
さらにドメインユーザー/グループをメンバーサーバーで使えるようにするには2つのリンクを/libフォルダーに作成します。
# ln -s /usr/local/samba/lib/libnss_winbind.so /lib
# ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2
# ldconfig
64ビットLinuxシステムを実行中なら("uname -i"コマンドで"x86_64"が表示されます)/libを/lin64に置き換えてください。
これを実行しない場合、'wbinfo'コマンドは問題なしですが'getent'は動作しません。
# ln -s /usr/local/samba/lib/libnss_winbind.so /lib64
# ln -s /lib64/libnss_winbind.so /lib64/libnss_winbind.so.2
# ldconfig
次に/etc/nsswitch.confに以下のエントリーを追加します。
passwd: compat winbind
group: compat winbind
[デーモンの起動]
以上のステップが終了したら次のサービスを起動できます。
smbd
nmbd
winbindd
手動でのサービスの起動を避けるために起動スクリプトを書くか入手の必要があります。
[winbindユーザ/グループマッピングのテスト]
winbindがドメインからユーザー/グループを受け取ったことを確認するには次のコマンドを実行します。
# wbinfo -u
# wbinfo -g
このコマンドはwinbindを介してドメインから供給されたすべてのユーザとグループを表示します。
nsswitch.confが正しくセットアップされていればchown/chgrpが可能でIDを使用できます。
# chown DomainUser:DomainGroup file
# chgrp DomainGroup file
# id DomainUser
[ログファイルのチェック]
メンバーサーバーが正常に動作しているのを確認のためにsambaログファイルをチェックします。
[その他]
NTP
Kerberosはドメイン内ですべてのサーバーは同じ時刻であることを要求します。
時刻を同期のためにNTPの構築を考慮すべきです。
■結果このHOWTOではActive Directoryに参加のSamba4.xメンバーサーバーの基本的なセットアップ方法について提示します。
SambaあるいはWindowsのドメインコントローラ(DC)かどうかには関係しません。
[必要なパッケージ]
Sambaのコンパイルのためには以下のパッケージがインストールされる必要があります(RHEL6の基本インストールにて)
autoconf
automake
gcc
gdb
krb5-devel
krb5-workstation
make
openldap-devel
pam-devel
python-devel
[コンパイルとインストール]
ソースのダウンロード/解凍のあと以下を実行します。
# ./configure --with-ads --with-shared-modules=idmap_ad --{必要なら環境に合わせて別のオプションを追加}
# make
# make install
このコマンドは展開されたソースのルートディレクトリで実行します。
新しいwafビルドシステムで問題があれば従来システムで'source3'ディレクトリからのコマンド実行を試すことができます。
このケースでは早い解決のためにSambaメーリングリストで問題を開発者に知らせてください。
wafビルドシステムに関する追加の情報はBUILD_SYSTEMS.txtとBuildsystem Use And Whyのページを参照ください。
[Kerberosの設定]
以下の/etc/krb5.confのサンプルを参照して実際の環境に合わせて編集ください。
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = YOUR.SAMBA.DOMAIN.NAME
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[smb.conf基本設定]
以下はもっとも基本的なsmb.confのサンプルです。本ファイルは通常は/usr/local/samba/etc/におかれます。
' またconfigure'のパラメータによりファイルを別の場所に置くこともできます。
[global]
workgroup = SHORTDOMAINNAME
security = ADS
realm = YOUR.SAMBA.DOMAIN.NAME
encrypt passwords = yes
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config SHORTDOMAINNAME:backend = ad
idmap config SHORTDOMAINNAME:schema_mode = rfc2307
idmap config SHORTDOMAINNAME:range = 500-40000
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
[test]
path = /srv/samba/test
read only = no
この内容はActive Directoryに参加のメンバーサーバとするためのもっとも基本的なサンプルです。
ドメインのユーザ/グループのIDマッピングはrfc2307の指定により行われます。
AD内でADと同じuidナンバー/gidナンバーセットを持つユーザー/グループをメンバーサーバー上で利用可能です。
もしAD内で異なる範囲のUID/GIDを使用するのなら、それに適合するようにする必要があります。
非ドメインアカウントでは、マッピングデータをローカルTDBファイルに格納し、与えられた範囲のIDをとることができます。
さらに詳細なsmb.confのパラメータについてはmanpageを参照ください。
[メンバーサーバーのドメインへの参加]
# net ads join -U administrator
winbindを介してドメインユーザー/グループが利用可能になります。
さらにドメインユーザー/グループをメンバーサーバーで使えるようにするには2つのリンクを/libフォルダーに作成します。
# ln -s /usr/local/samba/lib/libnss_winbind.so /lib
# ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2
# ldconfig
64ビットLinuxシステムを実行中なら("uname -i"コマンドで"x86_64"が表示されます)/libを/lin64に置き換えてください。
これを実行しない場合、'wbinfo'コマンドは問題なしですが'getent'は動作しません。
# ln -s /usr/local/samba/lib/libnss_winbind.so /lib64
# ln -s /lib64/libnss_winbind.so /lib64/libnss_winbind.so.2
# ldconfig
次に/etc/nsswitch.confに以下のエントリーを追加します。
passwd: compat winbind
group: compat winbind
[デーモンの起動]
以上のステップが終了したら次のサービスを起動できます。
smbd
nmbd
winbindd
手動でのサービスの起動を避けるために起動スクリプトを書くか入手の必要があります。
[winbindユーザ/グループマッピングのテスト]
winbindがドメインからユーザー/グループを受け取ったことを確認するには次のコマンドを実行します。
# wbinfo -u
# wbinfo -g
このコマンドはwinbindを介してドメインから供給されたすべてのユーザとグループを表示します。
nsswitch.confが正しくセットアップされていればchown/chgrpが可能でIDを使用できます。
# chown DomainUser:DomainGroup file
# chgrp DomainGroup file
# id DomainUser
[ログファイルのチェック]
メンバーサーバーが正常に動作しているのを確認のためにsambaログファイルをチェックします。
[その他]
NTP
Kerberosはドメイン内ですべてのサーバーは同じ時刻であることを要求します。
時刻を同期のためにNTPの構築を考慮すべきです。
以上はファイル共有サーバーなどをSamba4 Microsoft Active Directoryのドメインに参加させる方法です。
Samba4ではsmbd/nmbd/winbindの起動スクリプト見つからずファイル共有などはSamba3を利用が容易と思われます。
