「Samba AD DC上でのWinbinddの設定」の版間の差分
編集の要約なし |
|||
| 14行目: | 14行目: | ||
しく機能しませんでした。 このため、Samba 4.2では<code>winbindd</code>ユーティリティをドメインコントローラ(DC)で使用することがで | しく機能しませんでした。 このため、Samba 4.2では<code>winbindd</code>ユーティリティをドメインコントローラ(DC)で使用することがで | ||
きました。 Samba 4.2よりも前のSambaを実行している場合、<code>Winbindd</code>を使用する前に、サポートされているバージョンに更新してください。 詳細は、「[[Sambaの更新]]」を参照してください。 | きました。 Samba 4.2よりも前のSambaを実行している場合、<code>Winbindd</code>を使用する前に、サポートされているバージョンに更新してください。 詳細は、「[[Sambaの更新]]」を参照してください。 | ||
== Sambaドメインコントローラ上でのIDマッピング == | == Sambaドメインコントローラ上でのIDマッピング == | ||
| 22行目: | 23行目: | ||
{{imbox | {{imbox | ||
| style = margin:4px 2%; | | style = margin:4px 2%; | ||
| text = ローカルIDが生成された後にADオブジェクトのプロパティにIDを設定すると、Winbinddはwinbinddのキャッシュの有効期限が切れた後、または<code>net cache flush</code>を手動で実行した後にディレクトリの値を使用します。 | | text = ローカルIDが生成された後にADオブジェクトのプロパティにIDを設定すると、Winbinddはwinbinddのキャッシュの有効期限が切れた後、または<code>net cache flush</code>を手動で実行した後にディレクトリの値を使用します。 | ||
オペレーティングシステムは、IDを使用してファイルの所有権を管理します。ユーザーが新しいIDを使用してファイルにアクセスできるように、ファイルのアクセス許可を手動でリセットする必要があります。 | オペレーティングシステムは、IDを使用してファイルの所有権を管理します。ユーザーが新しいIDを使用してファイルにアクセスできるように、ファイルのアクセス許可を手動でリセットする必要があります。 | ||
}} | }} | ||
== smb.confファイルでのWinbinddパラメータの設定 == | == smb.confファイルでのWinbinddパラメータの設定 == | ||
| 50行目: | 51行目: | ||
* sambaサービスを再起動します。 | * sambaサービスを再起動します。 | ||
{{imbox | |||
| type = speedy | |||
| style = margin: 4px 2%; | |||
| text = Samba AD DCでは、<code>smb.conf(5)</code>のマニュアルページに記載されているすべての<code>Winbindd</code>関連パラメータがサポートされているわけではありません。さらに、<code>idmap config</code>などの一部のパラメータでは、<code>samba</code>サービスが失敗する可能性があります。現在、マニュアルページでは、DCでサポートされているパラメータは強調表示されていません。したがって、デフォルトを維持するか、このセクションで説明するパラメータのみを使用することをお勧めします。 | |||
}} | |||
== ネームサービススイッチの設定 == | |||
ネームサービススイッチ(NSS)ライブラリを有効にして、ドメインユーザとグループをローカルシステムで使用できるようにするには: | |||
* <code>/etc/nsswitch.conf</code>ファイルの次のデータベースに<code>winbind</code>エントリを追加します。 | |||
<pre>passwd: files winbind | |||
group: files winbind</pre> | |||
* 両方のデータベースの最初のソースとして<code>files</code>エントリを保持します。 これにより、NSSはWinbindサービスを照会する前に<code>/etc/passwd</code>および<code>/etc/group</code>ファイルからドメインユーザーとグループを検索できます。 | |||
* <code>winbind</code>エントリをNSS <code>shadow</code>データベースに追加しないでください。 これにより、<code>wbinfo</code>ユーテ | |||
ィリティが失敗する可能性があります。 | |||
<WRAP important 100%> ローカルの<code>/etc/passwd</code>ファイルでドメインと同じユーザー名を使用しないでください。 </WRAP> | |||
<WRAP important 100%> Sambaをコンパイルした場合は、<code>libnss_winbind</code>ライブラリのシンボリックリンクをオペレーティングシステムのライブラリパスに追加します。 詳細については、「libnss_winbind Links」を参照してください。 パッケージを使用してSambaをインス | |||
トールした場合、通常、リンクは自動的に作成されます。 </WRAP> | |||
== winbinddサービス == | |||
Samba Active Directory(AD)ドメインコントローラ(DC)で<code>winbindd</code>サービスを手動で起動しないでください。 このサービスは、<code>samba</code>プロセスのサブプロセスとして自動的に開始されます。 確認するには、次を入力します。 | |||
<pre># ps axf | |||
... | |||
2156 ? Ss 0:00 /usr/local/samba/sbin/samba -D | |||
2158 ? S 0:00 \_ /usr/local/samba/sbin/samba -D | |||
2172 ? R 0:00 \_ /usr/local/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground | |||
...</pre> | |||
== Winbindd接続のテスト == | |||
FIXME | |||
== PAMを利用したドメインユーザーの認証 == | |||
FIXME | |||
2018年3月23日 (金) 13:59時点における版
はじめに
Winbinddサービスを使用すると、次のことが可能になります。
chownやchgrpなどのローカルコマンドでドメインユーザやドメイングループを使用できます。lsコマンド等で、ドメインユーザやグループを表示できます。
Samba アクティブディレクトリ(AD)ドメインコントローラ(DC)でのWinbinddの構成は、ドメインメンバの場合とは異なります。ドメインメンバとしてサービスを設定するには、「 Sambaをドメインメンバとして構成する 」を参照して下さい。
Winbind と Winbinddサービスとの違い
Samba 4.0と4.1は、sambaコマンドに組み込まれた新しいWinbind実装を使用していました。 しかし、この実装は正
しく機能しませんでした。 このため、Samba 4.2ではwinbinddユーティリティをドメインコントローラ(DC)で使用することがで
きました。 Samba 4.2よりも前のSambaを実行している場合、Winbinddを使用する前に、サポートされているバージョンに更新してください。 詳細は、「Sambaの更新」を参照してください。
Sambaドメインコントローラ上でのIDマッピング
IDマッピングは、Samba ドメインコントローラ(DC)では、ドメインメンバの場合とは異なる動作をします。例えば、smb.conf ファイルでad(rfc2307)やridなどのIDマッピングバックエンドを構成することはサポートされていないため、sambaサービスが失敗する可能性があります。詳細については「idmap configパラメータがsmb.confファイルで設定されているとドメインコントローラ上の共有にアクセスできない」を参照して下さい
SambaアクティブディレクトリDCでは、Winbinddは常にユーザID(UID)およびグループID(GID)を、ADオブジェクトに設定されたuidNumberおよびgidNumber属性で設定された値から、読み取ります。UIDまたはGIDが割りあてられていないユーザ、及びグループの場合、IDはDC上でローカルに作成され、/usr/local/samba/private/idmap.ldbに格納されます。
{{#invoke:Message box|imbox}}
smb.confファイルでのWinbinddパラメータの設定
Samba Active Directory(AD)ドメインコントローラ(DC)上でWinbinddを実行するには、ほとんどの場合、smb.confファイルの設定は必要ありません。
ユーザーIDとグループIDは、Active Directory(AD)からロードされるか、ローカルで自動的に生成されます。詳細については、「Sambaドメインコントローラ上でのIDマッピング」を参照してください。
Samba DCでは、winbindテンプレートモードのみがサポートされています。このモードでは、すべてのユーザーが以下を取得します。
- 割り当てられたホームディレクトリパス。
template homedirパラメータで設定します。このパラメータのデフォルト値は/home/%D/%Uです。 - 割り当てられたシェル。
template shellパラメーターで設定します。このパラメータのデフォルト値は/bin/falseです。
Winbinddが提供するすべてのドメインユーザーにログオンシェルとして/bin/bashと、ホームディレクトリパスとし
て /home/%Uを割り当てるには:
smb.confファイルの[global]セクションに次のパラメータを追加します。
template shell = /bin/bash
template homedir = /home/%U
詳細は、smb.conf(5)のマニュアルページを参照してください。
- sambaサービスを再起動します。
{{#invoke:Message box|imbox}}
ネームサービススイッチの設定
ネームサービススイッチ(NSS)ライブラリを有効にして、ドメインユーザとグループをローカルシステムで使用できるようにするには:
/etc/nsswitch.confファイルの次のデータベースにwinbindエントリを追加します。
passwd: files winbind group: files winbind
- 両方のデータベースの最初のソースとして
filesエントリを保持します。 これにより、NSSはWinbindサービスを照会する前に/etc/passwdおよび/etc/groupファイルからドメインユーザーとグループを検索できます。 winbindエントリをNSSshadowデータベースに追加しないでください。 これにより、wbinfoユーテ
ィリティが失敗する可能性があります。
<WRAP important 100%> ローカルの/etc/passwdファイルでドメインと同じユーザー名を使用しないでください。 </WRAP>
<WRAP important 100%> Sambaをコンパイルした場合は、libnss_winbindライブラリのシンボリックリンクをオペレーティングシステムのライブラリパスに追加します。 詳細については、「libnss_winbind Links」を参照してください。 パッケージを使用してSambaをインス
トールした場合、通常、リンクは自動的に作成されます。 </WRAP>
winbinddサービス
Samba Active Directory(AD)ドメインコントローラ(DC)でwinbinddサービスを手動で起動しないでください。 このサービスは、sambaプロセスのサブプロセスとして自動的に開始されます。 確認するには、次を入力します。
# ps axf ... 2156 ? Ss 0:00 /usr/local/samba/sbin/samba -D 2158 ? S 0:00 \_ /usr/local/samba/sbin/samba -D 2172 ? R 0:00 \_ /usr/local/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground ...
Winbindd接続のテスト
FIXME
PAMを利用したドメインユーザーの認証
FIXME