「SambaをActive Directoryドメインコントローラとして設定する」の版間の差分

2018年3月21日 (水) 10:42時点における版

はじめに

Sambaはバージョン4.0以降、Active Directory（AD）ドメインコントローラ（DC）として実行できます。実運用環境でSambaを導入する場合は、フェイルオーバーのために、2台以上のDCを実行することをお勧めします。

このドキュメントでは、新しいADフォレストを構築する最初のDCとしてSambaを設定する方法について説明します。さらに、Samba NT4ドメインをSamba ADに移行する場合は、このドキュメントを使用してください。既存のADフォレストに追加のDCとしてSambaに参加するには、Samba DCを既存のActive Directoryに参加させるを参照してください。

AD DCとしてのSambaのみがサポートしています：

ADのバックエンドとして、統合されたLDAPサーバー。詳細については、よくある質問（FAQ）のDoes Samba AD DCs Support OpenLDAP or Other LDAP Servers as Back End?を参照してください。
MITとHeimdalKerberosキー配布センター（KDC）
Sambaは、Samba 4.7以降を実行し、--with-system-mitkrb5オプションを使用して構築されている場合は、オペレーティングシステムによって提供されるMIT KDCを使用します。他のケースでは、SambaはSambaに含まれるHeimdal KDCを使用します。 MIT KDCを使用したSambaの詳細については、Running a Samba AD DC with MIT Kerberos KDCを参照してください。

インストールの準備

AD DCのホスト名を選択します。

PDCまたはBDCなどのホスト名としてNT4のみの用語を使用しないでください。これらのモードはADに存在せず、混乱の原因となります。

ADフォレストのDNSドメインを選択します。この名前は、AD Kerberos realm としても使用されます。

詳細については、「Active Directory 名前付けに関するよくある質問」を参照してください。

DC上で静的IPアドレスを使用します。
/etc/resolv.conf DNSリゾルバ設定ファイルを自動的に更新するresolvconfなどのツールを無効にします。 AD DCとドメインメンバーは、AD DNSゾーンを解決できるDNSサーバーを使用する必要があります。
実行中のSambaプロセスがないことを確認します。

# ps ax | egrep "samba | smbd | nmbd | winbindd"

出力にsamba、smbd、nmbd、またはwinbinddプロセスがリストされている場合は、プロセスをシャットダウンします。

DCの/etc/hostsファイルが、完全修飾ドメイン名（FQDN）および短いホスト名をDCのLAN IPアドレスに正しく解決することを確認します。例えば：

127.0.0.1 localhost localhost.localdomain
10.99.0.1 DC1.samdom.example.com DC1

ホスト名とFQDNは、127.0.0.1のIPアドレスまたはDCのLANインターフェイスで使用されているIPアドレス以外のIPアドレスに解決してはなりません。

以前にこのホストにSambaインストールを実行した場合：
- 既存のsmb.confファイルを削除します。ファイルへのパスを一覧表示するには：

# smbd -b | grep "CONFIGFILE"
   CONFIGFILE：/usr/local/samba/etc/samba/smb.conf

*.tdbや* .ldbファイルなどのすべてのSambaデータベースファイルを削除します。 Sambaデータベースを含むフォルダを一覧表示するには：

# smbd -b | egrep "LOCKDIR | STATEDIR | CACHEDIR | PRIVATE_DIR"
  LOCKDIR：/usr/local/samba/var/lock/
  STATEDIR：/usr/local/samba/var/locks/
  CACHEDIR：/usr/local/samba/var/cache/
  PRIVATE_DIR：/usr/local/samba/private/

クリーンな環境から始めて、混乱を避け、以前のSambaインストールのファイルが新しいドメインDCインストールと混在しないようにします。

既存の/etc/krb5.confファイルを削除します。

# rm /etc/krb5.conf

Sambaをインストール

詳細は、Sambaのインストールを参照して下さい。

Samba Active Directoryをプロビジョニングする

Samba ADのプロビジョニングプロセスは、ADデータベースを作成し、ドメインの管理者アカウント（Administrator）や必要なDNSレコードなどの初期のレコードを追加します。

もし、Samba NT4ドメインからADに移行するのであれば、この項目を飛ばしてSambaクラシックアップデートを実行してください。詳細は「Samba NT4ドメインからSamba ADに移行する」を参照してください。

samba-tool domain provisionコマンドは、対話的か非対話的セットアップで使用する様々なパラメータを提供しています。詳細は、次のコマンドを実行：

# samba-tool domain provision --help

パラメータの説明

プロビジョニングの際には、以下のパラメータをセットします。

対話モードセッティング	非対話モードパラメータ	説明
`--use-rfc2307`	`--use-rfc2307`	NIS拡張を有効にする。
`Realm`	`--realm`	Kerberosレルム。これはAD DNSドメインとしても使用されます。入力例：`sambom.example.com`
`Domain`	`--domain`	NetBIOSドメイン名。AD DNSドメインの最初の部分を利用することをおすすめします。入力例：`samdom`
`Server Role`	`--server-role`	ドメインコントローラ`DC`としてインストールする。
`DNS forwarder IP address`	なし	このセッティングは`SAMBA_INTERNAL` DNSバックエンドを利用する場合のみ有効です。
`Administrator password`	`--adminpass`	ドメイン管理者(Administrator)のパスワードをセットします。もしパスワードの複雑さの要件に適合しない場合は、プロビジョニングは失敗します。詳細は「Microsoft TechNet: Passwords must meet complexity requirements.」を参照して下さい。

他のsamba-tool domain provisionコマンドでよく使われるパラメータ：

--option="interfaces=lo eth0" --option="bind interface only=yes": もしサーバが複数のネットワークインターフェースを持っている場合に、Sambaを明記したインターフェースに結びつけるためにこれらのオプションを使用して下さい。これはsamba-toolコマンドが、ジョインする際にディレクトリに正しいLAN IPアドレスを登録できるようにします。

@@ 36行目: / 36行目: @@
 .99.0.1 DC1.samdom.example.com DC1
-: ホスト名とFQDNは、127.0.0.1のIPアドレスまたはDCのLANインターフェイスで使用されているIPアドレス以外のIPアドレスに解決してはなりません。
+: ホスト名とFQDNは、<code>127.0.0.1</code>のIPアドレスまたはDCのLANインターフェイスで使用されているIPアドレス以外のIPアドレスに解決してはなりません。
 * 以前にこのホストにSambaインストールを実行した場合：
-** 既存の`smb.conf`ファイルを削除します。 ファイルへのパスを一覧表示するには：
+** 既存の<code>smb.conf</code>ファイルを削除します。 ファイルへのパスを一覧表示するには：
   # smbd -b | grep "CONFIGFILE"
@@ 54行目: / 54行目: @@
 : クリーンな環境から始めて、混乱を避け、以前のSambaインストールのファイルが新しいドメインDCインストールと混在しないようにします。
-* 既存の/etc/krb5.confファイルを削除します。
+* 既存の<code>/etc/krb5.conf</code>ファイルを削除します。
   # rm /etc/krb5.conf