ADにRFC2307を設定する

提供: 雑廉堂Wiki

はじめに

RFC 2307 は、LDAPディレクトリにユーザーとグループの情報を格納する可能性を定義していま す。 Linuxとの統合によるActive Directory(AD)では、これにはいくつかの利点があります:

  • ADにおけるIDの中央管理。
  • Sambaのidmap_ad IDマップバックエンドを使用するすべてのLinuxドメインメンバーの一貫したID。
  • 属性の高速設定。
  • ローカルIDマッピングデータベースが壊れて、ファイルの所有権が失われる可能性がありません。
  • 管理者がユーザーの個々のログインシェルとホームディレクトリパスを設定できるようにする。
  • ログインシェルとホームディレクトリの設定は、Sambaの idmap_ad IDマップバックエンドとwinbind nss info = rfc2307

パラメータを使用するすべてのドメインメンバーで同じです。

  • Active Directoryユーザーとコンピュータ(ADUC)Microsoft管理コンソール(MMC)を使用して、Windowsクライアントから簡単に管理できま

す。 詳細は、「svradmin/samba4/transdoc/maintaining_unix_attributes_in_ad_using_aduc」を参照してください。

ドメインコントローラとActive Directoryのセットアップを確認する

次のテストを実行して、Active Directory(AD)でRFC2307統合がすでに有効になっているかどうかを確認します。:

RFC2307 on AD Domain Controllers

AD DCでは、sysvolとnetlogonの共有以上にならないようにしてください。統一されたRFC2307のidmappingsの使用は本当に重要ではありません。 何らかの理由でDC上でRFC2307 IDマッピングを有効にするには、Samba DCでidmap_ldb:use rfc2307パラメータが存在し、smb.conf[global]セクションでyesに設定されていることを確認する必要があります: 

idmap_ldb:use rfc2307 = yes

これらのマッピングをDC上で使用しないことをお勧めします。 デフォルトのidmap ldbメカニズムは、ドメインコントローラにとっては問題なく、エラーが発生しにくいものです。

Verifying That the NIS Extensions Are Installed in Active Directory

ypServ30 LDAPツリーがあなたのActive Directory(AD)に存在することを確認してください: 

# ldbsearch -H /usr/local/samba/private/sam.ldb -s base -b \
CN=ypservers,CN=ypServ30,CN=RpcServices,CN=System,DC=samdom,DC=example,DC=com cn

出力は以下のようになります: 

# record 1
dn: CN=ypservers,CN=ypServ30,CN=RpcServices,CN=System,DC=samdom,DC=example,DC=com
cn: ypservers

# returned 1 records
# 1 entries
# 0 referrals


ldbsearchコマンドがレコードを1件返した場合、NIS拡張機能はインストールされています。

Samba ADにRFC2307とNIS拡張を設定する

RFC2307を有効にした新しいSamba Active Directoryのプロビジョニング

新しいSamba ADフォレストをプロビジョニングするときは、--use-rfc2307をsamba-toolドメインプロビジョニングコマンドに渡して、NIS拡張機能を自動インストールします。 例えば: 

# samba-tool domain provision --use-rfc2307 ...

詳細については、「Samba Active Directoryをプロビジョニングする」を参照してください。

さらに、Samba RFC2307モジュールを有効にします。 詳細については、RFC2307設定パラメータの有効化を参照してください。


NIS拡張機能のインストール

--use-rfc2307パラメータを使用してActive Directory(AD)をプロビジョニングした場合は、この手順を実行しないでください。 詳細については、「RFC2307を有効にした新しいSamba Active Directoryのプロビジョニング」を参照してください。

NIS拡張機能をインストールするには:

  • フレキシブルシングルマスタオペレーション(FSMO)ロールを持っているドメインコントローラ(DC)を検索します。
# samba-tool fsmo show | grep SchemaMasterRole
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com

出力には、このロールを所有するDCの名前が表示されます。 このDC上でさらにすべての手順を実行します。

  • Sambaサービスをシャットダウンします。
  • ypServ30.ldifスキーマファイルのコピーを作成します。 例えば:
# cp /usr/local/samba/share/setup/ypServ30.ldif /tmp/
  • コピーしたLDIFファイルの変数を、ドメイン識別名(DN)、NetBIOS名、およびセットアップのNISドメインに置き換えます。 例えば:
  • $ {DOMAINDN}: DC = samdom、DC = example、DC = com
  • $ {NETBIOSNAME}: DC1
  • $ {NISDOMAIN}: samdom
# sed -i -e 's/${DOMAINDN}/DC=samdom,DC=example,DC=com/g' \
         -e 's/${NETBIOSNAME}/DC1/g' \
         -e 's/${NISDOMAIN}/samdom/g' \
         /tmp/ypServ30.ldif
  • 変更されたLDIFファイルをローカルの / usr / local / samba / private / sam.ldb Samba ADデータベースにインポートします:
# ldbmodify -H /usr/local/samba/private/sam.ldb /tmp/ypServ30.ldif --option="dsdb:schema update allowed"=true
Modified 55 records successfully
  • Sambaサービスを開始します。

ADは更新されたスキーマをフォレスト内のすべてのDCにレプリケートします。

http://www.rough-and-cheap.jp/mediawiki/index.php?title=ADにRFC2307を設定する&oldid=9902」から取得