「ADにRFC2307を設定する」の版間の差分

はじめに

RFC 2307 は、LDAPディレクトリにユーザーとグループの情報を格納する可能性を定義していま す。 Linuxとの統合によるActive Directory（AD）では、これにはいくつかの利点があります：

• ADにおけるIDの中央管理。
• Sambaのidmap_ad IDマップバックエンドを使用するすべてのLinuxドメインメンバーの一貫したID。
• 属性の高速設定。
• ローカルIDマッピングデータベースが壊れて、ファイルの所有権が失われる可能性がありません。
• 管理者がユーザーの個々のログインシェルとホームディレクトリパスを設定できるようにする。
• ログインシェルとホームディレクトリの設定は、Sambaの idmap_ad IDマップバックエンドとwinbind nss info = rfc2307

パラメータを使用するすべてのドメインメンバーで同じです。

• Active Directoryユーザーとコンピュータ（ADUC）Microsoft管理コンソール（MMC）を使用して、Windowsクライアントから簡単に管理できま

す。 詳細は、「svradmin/samba4/transdoc/maintaining_unix_attributes_in_ad_using_aduc」を参照してください。

ドメインコントローラとActive Directoryのセットアップを確認する

次のテストを実行して、Active Directory（AD）でRFC2307統合がすでに有効になっているかどうかを確認します。：

RFC2307 on AD Domain Controllers

AD DCでは、sysvolとnetlogonの共有以上にならないようにしてください。統一されたRFC2307のidmappingsの使用は本当に重要ではありません。 何らかの理由でDC上でRFC2307 IDマッピングを有効にするには、Samba DCでidmap_ldb：use rfc2307パラメータが存在し、smb.confの[global]セクションでyesに設定されていることを確認する必要があります：

idmap_ldb:use rfc2307 = yes

これらのマッピングをDC上で使用しないことをお勧めします。 デフォルトのidmap ldbメカニズムは、ドメインコントローラにとっては問題なく、エラーが発生しにくいものです。

Verifying That the NIS Extensions Are Installed in Active Directory

ypServ30 LDAPツリーがあなたのActive Directory（AD）に存在することを確認してください：

# ldbsearch -H /usr/local/samba/private/sam.ldb -s base -b \
CN=ypservers,CN=ypServ30,CN=RpcServices,CN=System,DC=samdom,DC=example,DC=com cn

出力は以下のようになります:

# record 1
dn: CN=ypservers,CN=ypServ30,CN=RpcServices,CN=System,DC=samdom,DC=example,DC=com
cn: ypservers

# returned 1 records
# 1 entries
# 0 referrals

ldbsearchコマンドがレコードを1件返した場合、NIS拡張機能はインストールされています。

Samba ADにRFC2307とNIS拡張を設定する

RFC2307を有効にした新しいSamba Active Directoryのプロビジョニング

新しいSamba ADフォレストをプロビジョニングするときは、--use-rfc2307をsamba-toolドメインプロビジョニングコマンドに渡して、NIS拡張機能を自動インストールします。 例えば：

# samba-tool domain provision --use-rfc2307 ...

詳細については、「Samba Active Directoryをプロビジョニングする」を参照してください。

さらに、Samba RFC2307モジュールを有効にします。 詳細については、RFC2307設定パラメータの有効化を参照してください。

NIS拡張機能のインストール

--use-rfc2307パラメータを使用してActive Directory（AD）をプロビジョニングした場合は、この手順を実行しないでください。 詳細については、「RFC2307を有効にした新しいSamba Active Directoryのプロビジョニング」を参照してください。

{{#invoke:Message box|imbox}}

NIS拡張機能をインストールするには：

• フレキシブルシングルマスタオペレーション（FSMO）ロールを持っているドメインコントローラ（DC）を検索します。

# samba-tool fsmo show | grep SchemaMasterRole
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com

出力には、このロールを所有するDCの名前が表示されます。 このDC上でさらにすべての手順を実行します。

• Sambaサービスをシャットダウンします。
• ypServ30.ldifスキーマファイルのコピーを作成します。 例えば：

# cp /usr/local/samba/share/setup/ypServ30.ldif /tmp/

• コピーしたLDIFファイルの変数を、ドメイン識別名（DN）、NetBIOS名、およびセットアップのNISドメインに置き換えます。 例えば：

• $ {DOMAINDN}： DC = samdom、DC = example、DC = com
• $ {NETBIOSNAME}： DC1
• $ {NISDOMAIN}： samdom

# sed -i -e 's/${DOMAINDN}/DC=samdom,DC=example,DC=com/g' \
         -e 's/${NETBIOSNAME}/DC1/g' \
         -e 's/${NISDOMAIN}/samdom/g' \
         /tmp/ypServ30.ldif

• 変更されたLDIFファイルをローカルの / usr / local / samba / private / sam.ldb Samba ADデータベースにインポートします：

# ldbmodify -H /usr/local/samba/private/sam.ldb /tmp/ypServ30.ldif --option="dsdb:schema update allowed"=true
Modified 55 records successfully

• Sambaサービスを開始します。

ADは更新されたスキーマをフォレスト内のすべてのDCにレプリケートします。