「AD参加」の編集履歴（バックアップ）一覧はこちら

「AD参加」(2009/03/02 (月) 11:42:43) の最新版変更点

追加された行は緑色になります。

削除された行は赤色になります。

#contents
*前提条件
 ActiveDirectoryとの連携するにあたり、必要なライブラリがあるのでご確認を！
 必要となるライブラリは、libldapやlibkrb5になります。これらが適切にリンクされているかを調べてから作業をしましょう.

 #ldd /usr/sbin/smbd
 linux-gate.so.1 =>  (0xbfffe000)
 libldap-2.3.so.0 => /usr/lib/libldap-2.3.so.0 (0xb7ef2000)
 liblber-2.3.so.0 => /usr/lib/liblber-2.3.so.0 (0xb7ee5000)
 libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0xb7ece000)
 libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0xb7e63000)
 libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0xb7e40000)
 libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0xb7e3d000)
 ・・・・・・・・・・・

*ActiveDirectoryドメインのメンバサーバのパラメータ
|パラメータ|意味|
|realm　　　|realm(レルム)は、ドメイン名に相当するパラメータで、ActiveDirectoryドメインのドメイン名を指定します.realmの設定は、すべて大文字で設定する.|
|workgroup　|NTドメイン形式のドメイン名を利用するために、ActiveDirectoryサーバで設定しているNTドメイン名を設定します.|
|security　|ActiveDirectory連携機能を利用する時には、adsを指定する.|
|password server|ドメインコントローラを指定する.|

*smb.confの設定例
 [global]
        realm = XXXXXXX.LOCAL
        netbios name = SAMBA3
        security = ads
        password server = windows2000Server.xxxxxxx.local
        idmap uid = 50000 - 60000
        idmap gid = 50000 - 60000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%U
        tenplate shell = /bin/bash
        winbind enable local accounts = yes
        winbind use default domain = yes
        winbind cache time = 300
        obey pam restrictions = yes

*kerberosのパラメータ
|パラメータ|意味|
|default_relm|ActiveDirectoryサーバのドメイン名を指定します.smb.confのrealmパラメータと同じ値をすべて大文字で設定する.|
|[realms]|Kerberosサーバに関する情報を格納するセクション.|
|kdc|レルム内でチケットの発行を行うサーバを指定する.チケットはKerberosのユーザ認証に利用する.ActiveDirectorynoドメインコントローラのFQDNの形式で指定する.|
|[domain_realms]|DNS名とれるむのマッピングを設定する.|

*krb5.confの設定例
 [libdefaults]
 default_realm = XXXXXXX.LOCAL
 [realms]
 XXXXXXX.LOCAL = {
 kdc = windows2000server.xxxxxxx.local
 }
 [domain_realm]
 .xxxxxxx.local = XXXXXXX.LOCAL
 xxxxxxx.local = XXXXXXX.LOCAL
 他はそのままで。。。。。

*時刻同期の確認
 Kerberos認証では、チケットの保持期間などで、時刻が重要な要素となる.よってホスト間の時刻の同期は事前にチェックを！
 smb.confを設定した後であれば、netコマンドにて、Windowsサーバの時刻にSambaサーバの時刻を同期することが可能.
 #net timeにてWindowsサーバの時刻を表示する.
 #net time setにてSambaサーバの時刻をWindowsサーバから取得してきた時刻に合わせる.

*kinitの実行
 Kerberos認証に必要なチケットを取得するために実行する.チケット発行はドメインコントローラで行われるので、引数にWindowsサーバのドメイン管理者を指定する.
 <注意>実行前にkrb5.confで設定したホスト名からIPアドレスの解決ができるように、/etc/hosts等に設定しておく

#contents
*前提条件
 ActiveDirectoryとの連携するにあたり、必要なライブラリがあるのでご確認を！
 必要となるライブラリは、libldapやlibkrb5になります。これらが適切にリンクされているかを調べてから作業をしましょう.

 #ldd /usr/sbin/smbd
 linux-gate.so.1 =>  (0xbfffe000)
 libldap-2.3.so.0 => /usr/lib/libldap-2.3.so.0 (0xb7ef2000)
 liblber-2.3.so.0 => /usr/lib/liblber-2.3.so.0 (0xb7ee5000)
 libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0xb7ece000)
 libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0xb7e63000)
 libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0xb7e40000)
 libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0xb7e3d000)
 ・・・・・・・・・・・

*ActiveDirectoryドメインのメンバサーバのパラメータ
|パラメータ|意味|
|realm　　　|realm(レルム)は、ドメイン名に相当するパラメータで、ActiveDirectoryドメインのドメイン名を指定します.realmの設定は、すべて大文字で設定する.|
|workgroup　|NTドメイン形式のドメイン名を利用するために、ActiveDirectoryサーバで設定しているNTドメイン名を設定します.|
|security　|ActiveDirectory連携機能を利用する時には、adsを指定する.|
|password server|ドメインコントローラを指定する.|

*smb.confの設定例
 [global]
        realm = XXXXXXX.LOCAL
        netbios name = SAMBA3
        security = ads
        password server = windows2000Server.xxxxxxx.local
        idmap uid = 50000 - 60000
        idmap gid = 50000 - 60000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%U
        tenplate shell = /bin/bash
        winbind enable local accounts = yes
        winbind use default domain = yes
        winbind cache time = 300
        obey pam restrictions = yes

*kerberosのパラメータ
|パラメータ|意味|
|default_relm|ActiveDirectoryサーバのドメイン名を指定します.smb.confのrealmパラメータと同じ値をすべて大文字で設定する.|
|[realms]|Kerberosサーバに関する情報を格納するセクション.|
|kdc|レルム内でチケットの発行を行うサーバを指定する.チケットはKerberosのユーザ認証に利用する.ActiveDirectorynoドメインコントローラのFQDNの形式で指定する.|
|[domain_realms]|DNS名とれるむのマッピングを設定する.|

*krb5.confの設定例
 [libdefaults]
 default_realm = XXXXXXX.LOCAL
 [realms]
 XXXXXXX.LOCAL = {
 kdc = windows2000server.xxxxxxx.local
 }
 [domain_realm]
 .xxxxxxx.local = XXXXXXX.LOCAL
 xxxxxxx.local = XXXXXXX.LOCAL
 他はそのままで。。。。。

*時刻同期の確認
 Kerberos認証では、チケットの保持期間などで、時刻が重要な要素となる.よってホスト間の時刻の同期は事前にチェックを！
 smb.confを設定した後であれば、netコマンドにて、Windowsサーバの時刻にSambaサーバの時刻を同期することが可能.
 #net timeにてWindowsサーバの時刻を表示する.
 #net time setにてSambaサーバの時刻をWindowsサーバから取得してきた時刻に合わせる.

*kinitの実行
 Kerberos認証に必要なチケットを取得するために実行する.チケット発行はドメインコントローラで行われるので、引数にWindowsサーバのドメイン管理者を指定する.
 <注意>実行前にkrb5.confで設定したホスト名からIPアドレスの解決ができるように、/etc/hosts等に設定しておく

 #kinit administrator
 Password for administrator@XXXXXXX.LOCAL:**********
 New ticket is stored in cache file /tmp/krb5cc_0
 
 #klist
 SAMBA3:/etc/samba # klist
 Credentials cache: /tmp/krb5cc_0
 Default principal: administrator@XXXXXXX.LOCAL, 1 entry found.
 [1]  Service Principal:  krbtgt/XXXXXXX.LOCAL@XXXXXXX.LOCAL
     Valid starting:  Mar 02, 2009 10:46
     Expires:         Mar 02, 2009 20:46

*ActiveDirectoryドメインへの参加
 # net ads join