「SambaをActive Directoryドメインコントローラとして設定する」の版間の差分

提供:雑廉堂Wiki
← 古い編集新しい編集 →
104行目: 104行目:
|<code>Realm</code>
|<code>Realm</code>
|<code>--realm</code>
|<code>--realm</code>
|Kerberosレルム。これはAD DNS ドメインとしても使用されます。例:<code>sambom.example.com</code>
|Kerberosレルム。これはAD DNSドメインとしても使用されます。入力例:<code>sambom.example.com</code>
|-
|-
|<code>Domain</code>
|<code>Domain</code>
|<code>--domain</code>
|<code>--domain</code>
|NetBIOSドメイン名。AD DNSドメインの最初の部分を利用することをおすすめします。入力例:<code>samdom</code>
|-
|<code>Server Role</code>
|<code>--server-role</code>
|ドメインコントローラ<code>DC</code>としてインストールする。
|-
|<code>DNS forwarder IP address</code>
|なし
|このセッティングは<code>SAMBA_INTERNAL</code> DNSバックエンドを利用する場合のみ有効です。
|-
|<code>Administrator password</code>
|<code>--adminpass</code>
|ドメイン管理者(Administrator)のパスワードをセットします。もしパスワードの複雑さの要件に適合しない場合は、プロビジョニングは失敗します。詳細は「[https://technet.microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx Microsoft TechNet: Passwords must meet complexity requirements.]」を参照して下さい。
|}
他の<code>samba-tool domain provision</code>コマンドでよく使われるパラメータ:
* <code>--option="interfaces=lo eth0" --option="bind interface only=yes"</code>: もしサーバが複数のネットワークインターフェースを持っている場合に、Sambaを明記したインターフェースに結びつけるためにこれらのオプションを使用して下さい。これは<code>samba-tool</code>コマンドが、ジョインする際にディレクトリに正しいLAN IPアドレスを登録できるようにします。
{{imbox
|style=margin:4px 2%;
|text=DNSバックエンドに<code>NONE</code>を使用しないで下さい。サポートされておらず、将来のSambaバージョンでは削除されます。
}}
{{imbox
|style=margin:4px 2%;
|text=BindをDNSのバックエンドとして利用する場合、<code>BIND9_FLATFILE</code>を使用しないで下さい。サポートされておらず、将来のSambaバージョンでは削除されます。
}}

2018年3月21日 (水) 10:38時点における版

はじめに

Sambaはバージョン4.0以降、Active Directory(AD)ドメインコントローラ(DC)として実行できます。実運用環境でSambaを導入する場合は、フェイルオーバーのために、2台以上のDCを実行することをお勧めします。

このドキュメントでは、新しいADフォレストを構築する最初のDCとしてSambaを設定する方法について説明します。さらに、Samba NT4ドメインをSamba ADに移行する場合は、このドキュメントを使用してください。既存のADフォレストに追加のDCとしてSambaに参加するには、Samba DCを既存のActive Directoryに参加させるを参照してください。

AD DCとしてのSambaのみがサポートしています:

  • ADのバックエンドとして、統合されたLDAPサーバー。詳細については、よくある質問(FAQ)のDoes Samba AD DCs Support OpenLDAP or Other LDAP Servers as Back End?を参照してください。
  • MITHeimdalKerberosキー配布センター(KDC)
    Sambaは、Samba 4.7以降を実行し、--with-system-mitkrb5オプションを使用して構築されている場合は、オペレーティングシステムによって提供されるMIT KDCを使用します。他のケースでは、SambaはSambaに含まれるHeimdal KDCを使用します。 MIT KDCを使用したSambaの詳細については、Running a Samba AD DC with MIT Kerberos KDCを参照してください。

インストールの準備

  • AD DCのホスト名を選択します。
PDCまたはBDCなどのホスト名としてNT4のみの用語を使用しないでください。これらのモードはADに存在せず、混乱の原因となります。
  • ADフォレストのDNSドメインを選択します。この名前は、AD Kerberos realm としても使用されます。

{{#invoke:Message box|imbox}}

詳細については、「Active Directory 名前付けに関するよくある質問」を参照してください。
  • DC上で静的IPアドレスを使用します。
  • /etc/resolv.conf DNSリゾルバ設定ファイルを自動的に更新するresolvconfなどのツールを無効にします。 AD DCとドメインメンバーは、AD DNSゾーンを解決できるDNSサーバーを使用する必要があります。
  • 実行中のSambaプロセスがないことを確認します。
# ps ax | egrep "samba | smbd | nmbd | winbindd"
出力にsambasmbdnmbd、またはwinbinddプロセスがリストされている場合は、プロセスをシャットダウンします。
  • DCの/etc/hostsファイルが、完全修飾ドメイン名(FQDN)および短いホスト名をDCのLAN IPアドレスに正しく解決することを確認します。例えば:
127.0.0.1 localhost localhost.localdomain
10.99.0.1 DC1.samdom.example.com DC1
ホスト名とFQDNは、127.0.0.1のIPアドレスまたはDCのLANインターフェイスで使用されているIPアドレス以外のIPアドレスに解決してはなりません。
  • 以前にこのホストにSambaインストールを実行した場合:
    • 既存の`smb.conf`ファイルを削除します。 ファイルへのパスを一覧表示するには:
# smbd -b | grep "CONFIGFILE"
   CONFIGFILE:/usr/local/samba/etc/samba/smb.conf
  • *.tdb* .ldbファイルなどのすべてのSambaデータベースファイルを削除します。 Sambaデータベースを含むフォルダを一覧表示するには:
# smbd -b | egrep "LOCKDIR | STATEDIR | CACHEDIR | PRIVATE_DIR"
  LOCKDIR:/usr/local/samba/var/lock/
  STATEDIR:/usr/local/samba/var/locks/
  CACHEDIR:/usr/local/samba/var/cache/
  PRIVATE_DIR:/usr/local/samba/private/
クリーンな環境から始めて、混乱を避け、以前のSambaインストールのファイルが新しいドメインDCインストールと混在しないようにします。
  • 既存の/etc/krb5.confファイルを削除します。
# rm /etc/krb5.conf

Sambaをインストール

詳細は、Sambaのインストールを参照して下さい。

{{#invoke:Message box|imbox}}

Samba Active Directoryをプロビジョニングする

Samba ADのプロビジョニングプロセスは、ADデータベースを作成し、ドメインの管理者アカウント(Administrator)や必要なDNSレコードなどの初期のレコードを追加します。

もし、Samba NT4ドメインからADに移行するのであれば、この項目を飛ばしてSambaクラシックアップデートを実行してください。詳細は「Samba NT4ドメインからSamba ADに移行する」を参照してください。

{{#invoke:Message box|imbox}}

samba-tool domain provisionコマンドは、対話的か非対話的セットアップで使用する様々なパラメータを提供しています。詳細は、次のコマンドを実行: 

# samba-tool domain provision --help

{{#invoke:Message box|imbox}}

パラメータの説明

プロビジョニングの際には、以下のパラメータをセットします。

対話モードセッティング 非対話モードパラメータ 説明
--use-rfc2307 --use-rfc2307 NIS拡張を有効にする。
Realm --realm Kerberosレルム。これはAD DNSドメインとしても使用されます。入力例:sambom.example.com
Domain --domain NetBIOSドメイン名。AD DNSドメインの最初の部分を利用することをおすすめします。入力例:samdom
Server Role --server-role ドメインコントローラDCとしてインストールする。
DNS forwarder IP address なし このセッティングはSAMBA_INTERNAL DNSバックエンドを利用する場合のみ有効です。
Administrator password --adminpass ドメイン管理者(Administrator)のパスワードをセットします。もしパスワードの複雑さの要件に適合しない場合は、プロビジョニングは失敗します。詳細は「Microsoft TechNet: Passwords must meet complexity requirements.」を参照して下さい。

他のsamba-tool domain provisionコマンドでよく使われるパラメータ:

  • --option="interfaces=lo eth0" --option="bind interface only=yes": もしサーバが複数のネットワークインターフェースを持っている場合に、Sambaを明記したインターフェースに結びつけるためにこれらのオプションを使用して下さい。これはsamba-toolコマンドが、ジョインする際にディレクトリに正しいLAN IPアドレスを登録できるようにします。

{{#invoke:Message box|imbox}} {{#invoke:Message box|imbox}}

http://www.rough-and-cheap.jp/mediawiki/index.php?title=SambaをActive_Directoryドメインコントローラとして設定する&oldid=9443」から取得