[samba]Ubuntu14.04でSamba4・RSATの導入の続きになります。

ここからは、ADのユーザ、グループを登録していきたいのですが、基本的に次のようなゴールを予定しています。

  • Samba4 でActiveDirectory を構成
  • Windows と Samba4を実装しているUbuntu14.04サーバで認証を統合

SambaWikiのページでは、ドメインのユーザがローカルのUbuntuサーバにログインできるようにするために、

の2通りの方法があります。

今回は、1番めの nslcd & pam_ldap を使って設定してみました。

準備

関連するパッケージのインストール

これらのパッケージの他に、ldap-utils、libpam-ldapd、nscd、nslcd のパッケージも同時にインストールされます。
winbindをインストールしているのは、この後でユーザやグループを登録するときに必要な wbinfo コマンドを使いたいために入れています。

また、途中でLDAPサーバに関する質問が出てくると思うので、

とします。

/etc/samba/smb.conf の編集

smb.conf の[global]セクションに次の一行を追加します。

nslcd の設定

LDAP接続ユーザの作成

ldapに接続する専用のユーザ:ldap-connect(名前は任意) をADに登録します。

またSambaWikiによると、このユーザは「パスワードを無期限に」してさらに、「ユーザーはパスワードを変更できない」とすることを勧めています。
パスワードを無期限にするのは、Samba-toolからでも可能ですが、ユーザがパスワードを変更できないようにするのは、WindowsマシンからADにログオンし、RSATを使って設定しないとできません。

「ユーザがパスワードを変更できない」ようにするには、WindowsマシンからRSAT(リモートサーバ管理ツール)のADUC(ActiveDirectorユーザとコンピュータ)を使って、「Users」の一覧にあるldap-connect ユーザのプロパティから変更していきます。

ldap-connectのプロパティ

ldap-connectのプロパティ

/etc/nslcd.conf の編集

nslcd.confで、ldapの接続情報であるとか、接続用ユーザとそのパスワード、UNIXホストのユーザ情報と、ADのユーザ情報のマッピングを設定します。

このマッピング情報の部分で少し手を加えています。
map passwd gidNumber primaryGroupId
のところを、
map passwd gidNumber gidNumber
としています。
これで、wbinfo と getent のGIDの出力内容の違いが解消しましたが、果たしてこのままの設定で良いのかどうかはわかりません。

設定した内容は以下のとおりです。

/etc/nslcd.conf のアクセス権変更

さすがに、平文でパスワードが書かれているので、アクセス権を変更しろ、とあります。

nslcd を再起動します。

/etc/nsswitch.conf の変更

最初のあたりでwinbind をインストールしているので、ldapでの認証の前にwinbindの認証が噛んでいるので、それを外しておきます。

また、/etc/nsswitch.conf の
passwd と、
group のエントリーを変更しておきます。

これで、認証統合のための準備が整ったはずです。

関連記事

Ubuntu 18.04 に Samba 4.7 を導入

カテゴリー: Samba4

0件のコメント

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です