「Samba AD DC上でのWinbinddの設定」の版間の差分
(→Winbind と Winbinddサービスとの違い) |
(→Sambaドメインコントローラ上でのIDマッピング) |
||
| 17行目: | 17行目: | ||
== Sambaドメインコントローラ上でのIDマッピング == | == Sambaドメインコントローラ上でのIDマッピング == | ||
| − | IDマッピングは、Samba ドメインコントローラ(DC)では、ドメインメンバの場合とは異なる動作をします。例えば、<code>smb.conf</code> ファイルで<code>ad</code>(rfc2307)や<code>rid</code>などのIDマッピングバックエンドを構成することはサポートされていないため、<code>samba</code>サービスが失敗する可能性があります。詳細については「[ | + | IDマッピングは、Samba ドメインコントローラ(DC)では、ドメインメンバの場合とは異なる動作をします。例えば、<code>smb.conf</code> ファイルで<code>ad</code>(rfc2307)や<code>rid</code>などのIDマッピングバックエンドを構成することはサポートされていないため、<code>samba</code>サービスが失敗する可能性があります。詳細については「[Sambaの更新#<code>smb.conf</code>に<code>idmap config</code>パラメータを設定しているドメインコントローラでの共有へのアクセスに失敗する]」を参照して下さい |
SambaアクティブディレクトリDCでは、<code>Winbindd</code>は常にユーザID(<code>UID</code>)およびグループID(<code>GID</code>)を、ADオブジェクトに設定された<code>uidNumber</code>および<code>gidNumber</code>属性で設定された値から、読み取ります。<code>UID</code>または<code>GID</code>が割りあてられていないユーザ、及びグループの場合、IDはDC上でローカルに作成され、<code>/usr/local/samba/private/idmap.ldb</code>に格納されます。 | SambaアクティブディレクトリDCでは、<code>Winbindd</code>は常にユーザID(<code>UID</code>)およびグループID(<code>GID</code>)を、ADオブジェクトに設定された<code>uidNumber</code>および<code>gidNumber</code>属性で設定された値から、読み取ります。<code>UID</code>または<code>GID</code>が割りあてられていないユーザ、及びグループの場合、IDはDC上でローカルに作成され、<code>/usr/local/samba/private/idmap.ldb</code>に格納されます。 | ||
| 24行目: | 24行目: | ||
オペレーティングシステムは、IDを使用してファイルの所有権を管理します。ユーザーが新しいIDを使用してファイルにアクセスできるように、ファイルのアクセス許可を手動でリセットする必要があります。 </WRAP> | オペレーティングシステムは、IDを使用してファイルの所有権を管理します。ユーザーが新しいIDを使用してファイルにアクセスできるように、ファイルのアクセス許可を手動でリセットする必要があります。 </WRAP> | ||
| − | |||
== smb.confファイルでのWinbinddパラメータの設定 == | == smb.confファイルでのWinbinddパラメータの設定 == | ||
2018年3月23日 (金) 13:49時点における版
はじめに
Winbinddサービスを使用すると、次のことが可能になります。
chownやchgrpなどのローカルコマンドでドメインユーザやドメイングループを使用できます。lsコマンド等で、ドメインユーザやグループを表示できます。
Samba アクティブディレクトリ(AD)ドメインコントローラ(DC)でのWinbinddの構成は、ドメインメンバの場合とは異なります。ドメインメンバとしてサービスを設定するには、「 Sambaをドメインメンバとして構成する 」を参照して下さい。
Winbind と Winbinddサービスとの違い
Samba 4.0と4.1は、sambaコマンドに組み込まれた新しいWinbind実装を使用していました。 しかし、この実装は正
しく機能しませんでした。 このため、Samba 4.2ではwinbinddユーティリティをドメインコントローラ(DC)で使用することがで
きました。 Samba 4.2よりも前のSambaを実行している場合、Winbinddを使用する前に、サポートされているバージョンに更新してください。 詳細は、「Sambaの更新」を参照してください。
Sambaドメインコントローラ上でのIDマッピング
IDマッピングは、Samba ドメインコントローラ(DC)では、ドメインメンバの場合とは異なる動作をします。例えば、smb.conf ファイルでad(rfc2307)やridなどのIDマッピングバックエンドを構成することはサポートされていないため、sambaサービスが失敗する可能性があります。詳細については「[Sambaの更新#smb.confにidmap configパラメータを設定しているドメインコントローラでの共有へのアクセスに失敗する]」を参照して下さい
SambaアクティブディレクトリDCでは、Winbinddは常にユーザID(UID)およびグループID(GID)を、ADオブジェクトに設定されたuidNumberおよびgidNumber属性で設定された値から、読み取ります。UIDまたはGIDが割りあてられていないユーザ、及びグループの場合、IDはDC上でローカルに作成され、/usr/local/samba/private/idmap.ldbに格納されます。
<WRAP important 100%> ローカルIDが生成された後にADオブジェクトのプロパティにIDを設定すると、Winbinddはwinbinddのキャッシュの有効期限が切れた後、またはnet cache flushを手動で実行した後にディレクトリの値を使用します。
オペレーティングシステムは、IDを使用してファイルの所有権を管理します。ユーザーが新しいIDを使用してファイルにアクセスできるように、ファイルのアクセス許可を手動でリセットする必要があります。 </WRAP>
smb.confファイルでのWinbinddパラメータの設定
Samba Active Directory(AD)ドメインコントローラ(DC)上でWinbinddを実行するには、ほとんどの場合、smb.confファイルの設定は必要ありません。
ユーザーIDとグループIDは、Active Directory(AD)からロードされるか、ローカルで自動的に生成されます。詳細については、「Sambaドメインコントローラ上でのIDマッピング」を参照してください。
Samba DCでは、winbindテンプレートモードのみがサポートされています。このモードでは、すべてのユーザーが以下を取得します。
- 割り当てられたホームディレクトリパス。
template homedirパラメータで設定します。このパラメータのデフォルト値は/home/%D/%Uです。 - 割り当てられたシェル。
template shellパラメーターで設定します。このパラメータのデフォルト値は/bin/falseです。
Winbinddが提供するすべてのドメインユーザーにログオンシェルとして/bin/bashと、ホームディレクトリパスとし
て /home/%Uを割り当てるには:
smb.confファイルの[global]セクションに次のパラメータを追加します。
template shell = /bin/bash
template homedir = /home/%U
詳細は、smb.conf(5)のマニュアルページを参照してください。
- sambaサービスを再起動します。
<WRAP important 100%> Samba AD DCでは、smb.conf(5)のマニュアルページに記載されているすべてのWinbindd関連パラメータがサポートされているわけではありません。さらに、idmap configなどの一部のパラメータでは、sambaサービスが失敗する可能性があります。現在、マニュアルページでは、DCでサポートされているパラメータは強調表示されていません。したが
って、デフォルトを維持するか、このセクションで説明するパラメータのみを使用することをお勧めします。 </WRAP>
