SambaをActive Directoryドメインコントローラとして設定する
はじめに
Sambaはバージョン4.0以降、Active Directory(AD)ドメインコントローラ(DC)として実行できます。実運用環境でSambaを導入する場合は、フェイルオーバーのために、2台以上のDCを実行することをお勧めします。
このドキュメントでは、新しいADフォレストを構築する最初のDCとしてSambaを設定する方法について説明します。さらに、Samba NT4ドメインをSamba ADに移行する場合は、このドキュメントを使用してください。既存のADフォレストに追加のDCとしてSambaに参加するには、Samba DCを既存のActive Directoryに参加させるを参照してください。
AD DCとしてのSambaのみがサポートしています:
- ADのバックエンドとして、統合されたLDAPサーバー。詳細については、よくある質問(FAQ)のDoes Samba AD DCs Support OpenLDAP or Other LDAP Servers as Back End?を参照してください。
- MITとHeimdalKerberosキー配布センター(KDC)
Sambaは、Samba 4.7以降を実行し、--with-system-mitkrb5オプションを使用して構築されている場合は、オペレーティングシステムによって提供されるMIT KDCを使用します。他のケースでは、SambaはSambaに含まれるHeimdal KDCを使用します。 MIT KDCを使用したSambaの詳細については、Running a Samba AD DC with MIT Kerberos KDCを参照してください。
インストールの準備
- AD DCのホスト名を選択します。
PDCまたはBDCなどのホスト名としてNT4のみの用語を使用しないでください。これらのモードはADに存在せず、混乱の原因となります。
- ADフォレストのDNSドメインを選択します。この名前は、AD Kerberos realm としても使用されます。
{{#invoke:Message box|imbox}}
- 詳細については、「Active Directory 名前付けに関するよくある質問」を参照してください。
- DC上で静的IPアドレスを使用します。
/etc/resolv.confDNSリゾルバ設定ファイルを自動的に更新するresolvconfなどのツールを無効にします。 AD DCとドメインメンバーは、AD DNSゾーンを解決できるDNSサーバーを使用する必要があります。- 実行中のSambaプロセスがないことを確認します。
# ps ax | egrep "samba | smbd | nmbd | winbindd"
- 出力に
samba、smbd、nmbd、またはwinbinddプロセスがリストされている場合は、プロセスをシャットダウンします。
- DCの
/etc/hostsファイルが、完全修飾ドメイン名(FQDN)および短いホスト名をDCのLAN IPアドレスに正しく解決することを確認します。例えば:
127.0.0.1 localhost localhost.localdomain 10.99.0.1 DC1.samdom.example.com DC1
- ホスト名とFQDNは、
127.0.0.1のIPアドレスまたはDCのLANインターフェイスで使用されているIPアドレス以外のIPアドレスに解決してはなりません。
- 以前にこのホストにSambaインストールを実行した場合:
- 既存の
smb.confファイルを削除します。 ファイルへのパスを一覧表示するには:
- 既存の
# smbd -b | grep "CONFIGFILE" CONFIGFILE:/usr/local/samba/etc/samba/smb.conf
*.tdbや* .ldbファイルなどのすべてのSambaデータベースファイルを削除します。 Sambaデータベースを含むフォルダを一覧表示するには:
# smbd -b | egrep "LOCKDIR | STATEDIR | CACHEDIR | PRIVATE_DIR" LOCKDIR:/usr/local/samba/var/lock/ STATEDIR:/usr/local/samba/var/locks/ CACHEDIR:/usr/local/samba/var/cache/ PRIVATE_DIR:/usr/local/samba/private/
- クリーンな環境から始めて、混乱を避け、以前のSambaインストールのファイルが新しいドメインDCインストールと混在しないようにします。
- 既存の
/etc/krb5.confファイルを削除します。
# rm /etc/krb5.conf
Sambaをインストール
詳細は、Sambaのインストールを参照して下さい。
{{#invoke:Message box|imbox}}
Samba Active Directoryをプロビジョニングする
Samba ADのプロビジョニングプロセスは、ADデータベースを作成し、ドメインの管理者アカウント(Administrator)や必要なDNSレコードなどの初期のレコードを追加します。
もし、Samba NT4ドメインからADに移行するのであれば、この項目を飛ばしてSambaクラシックアップデートを実行してください。詳細は「Samba NT4ドメインからSamba ADに移行する」を参照してください。
{{#invoke:Message box|imbox}}
samba-tool domain provisionコマンドは、対話的か非対話的セットアップで使用する様々なパラメータを提供しています。詳細は、次のコマンドを実行:
# samba-tool domain provision --help
{{#invoke:Message box|imbox}}
パラメータの説明
プロビジョニングの際には、以下のパラメータをセットします。
| 対話モードセッティング | 非対話モードパラメータ | 説明 |
|---|---|---|
--use-rfc2307
|
--use-rfc2307
|
NIS拡張を有効にする。 |
Realm
|
--realm
|
Kerberosレルム。これはAD DNSドメインとしても使用されます。入力例:sambom.example.com
|
Domain
|
--domain
|
NetBIOSドメイン名。AD DNSドメインの最初の部分を利用することをおすすめします。入力例:samdom
|
Server Role
|
--server-role
|
ドメインコントローラDCとしてインストールする。
|
DNS forwarder IP address
|
なし | このセッティングはSAMBA_INTERNAL DNSバックエンドを利用する場合のみ有効です。
|
Administrator password
|
--adminpass
|
ドメイン管理者(Administrator)のパスワードをセットします。もしパスワードの複雑さの要件に適合しない場合は、プロビジョニングは失敗します。詳細は「Microsoft TechNet: Passwords must meet complexity requirements.」を参照して下さい。 |
他のsamba-tool domain provisionコマンドでよく使われるパラメータ:
--option="interfaces=lo eth0" --option="bind interface only=yes": もしサーバが複数のネットワークインターフェースを持っている場合に、Sambaを明記したインターフェースに結びつけるためにこれらのオプションを使用して下さい。これはsamba-toolコマンドが、ジョインする際にディレクトリに正しいLAN IPアドレスを登録できるようにします。
{{#invoke:Message box|imbox}} {{#invoke:Message box|imbox}}
Sanba ADを対話モードでプロビジョニング
対話的にSamba ADをプロビジョニングするには、次のように実行してください:
# samba-tool domain provision --use-rfc2307 --interactive Realm [SAMDOM.EXAMPLE.COM]: SAMDOM.EXAMPLE.COM Domain [SAMDOM]: SAMDOM Server Role (dc, member, standalone) [dc]: dc DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL DNS forwarder IP address (write 'none' to disable forwarding) [10.99.0.1]: 8.8.8.8 Administrator password: Passw0rd Retype password: Passw0rd Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up share.ldb Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE Pre-loading the Samba 4 and AD schema Adding DomainDN: DC=samdom,DC=example,DC=com Adding configuration container Setting up sam.ldb schema Setting up sam.ldb configuration data Setting up display specifiers Modifying display specifiers Adding users container Modifying users container Adding computers container Modifying computers container Setting up sam.ldb data Setting up well known security principals Setting up sam.ldb users and groups Setting up self join Adding DNS accounts Creating CN=MicrosoftDNS,CN=System,DC=samdom,DC=example,DC=com Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf Setting up fake yp server settings Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: DC1 NetBIOS Domain: SAMDOM DNS Domain: samdom.example.com DOMAIN SID: S-1-5-21-2614513918-2685075268-614796884
{{#invoke:Message box|imbox}}
非対話モードでSamba ADをプロビジョニングする
例として、以下のセッティングでSamba ADを非対話的にプロビジョニングするには:
- サーバーの役割:
dc - NIS拡張を有効に
- Samba内部DNSバックエンド
- KerberosレルムとAD DNSゾーン:
samdom.example.com - NetBIOSドメイン名:
SAMDOM - ドメイン管理者のパスワード:
Passw0rd
# samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM.EXAMPLE.COM --domain=SAMDOM --adminpass=Passw0rd