Tweet

Active Directoryへの参加

　Samba 3.0系列は、Windows 2000以降のOSと同様に、Kerberos認証を使ってActive Directoryドメインに参加することが可能です。興味がある方も多いと思いますので、具体的に参加方法を解説しましょう。

　ここでは、misako.w2003ad1.home.monyo.comというFQDNを持つWindows Server 2003のDC（ドメインコントローラ）が存在するW2003AD1.HOME.MONYO.COMというActive Directoryドメインに、MAPLEというコンピュータ名のSamba 3.0.3マシンを参加させる場合を例に説明します。Windows 2000 ServerのActive Directoryドメインに参加させる場合も同様の手順で行えます。

　なお、Sambaマシン自身がActive DirectoryドメインのDCとして機能することはできません。実装されているのは、クライアントとして参加する部分までとなっています。

■事前準備

　SambaをActive Directoryドメインへ参加させる場合は、Sambaが--with-adsオプション付きでコンパイルされている必要があります。パッケージ版の場合、このオプションが無効な状態でコンパイルされていることはないと思いますが、自分でコンパイルした場合は注意してください。

　また、Kerberos認証が機能するためにはサーバとクライアント間で時刻が同期している必要があります。あらかじめ時刻を合わせておきましょう。

　さらに、Active DirectoryドメインのDCが正しく名前解決できるように、DNSの設定を変更しておいてください。

■設定ファイルの準備

　/etc/krb5.confを以下のように設定するか、既存のファイルに追加、修正します。

[realms]  W2003AD1.HOME.MONYO.COM = {　  kdc = misako.w2003ad1.home.monyo.com　        } [domain_realm]         .w2003ad1.home.monyo.com = W2003AD1.HOME.MONYO.COM　         w2003ad1.home.monyo.com = W2003AD1.HOME.MONYO.COM

/etc/krb5.confの設定例 　 Active Directoryドメイン名（Kerberos Realm名）。必ず大文字で記述すること。 　 DCのホスト（DCを特定できる名前であれば何でもよい）。 　 DNSのドメイン名とKerberos Realm名のマッピング。Active Directoryドメインの場合、Kerberos Realm名はDNSのドメイン名を大文字にしたものになるため、このように記述する。

　また、smb.conf には以下のような記述を行ってください。

■Active Directoryへの参加

　ここまで準備が整ったら、いよいよActive Directoryへの参加です。まずはAdministrator（もしくはそのほかのドメインにコンピュータを追加する権限を持つアカウント）としてActive Directoryにアクセスします。

# kinit administrator@W2003AD1.HOME.MONYO.COM　 Password for administrator@W2003AD1.HOME.MONYO.COM:

kinitコマンドの実行 　 必ず大文字で指定すること。 　 Administratorのパスワード。

のように、kinitコマンド（Red Hat系のディストリビューションの場合は/usr/kerberos/bin/kinit）を実行してください。適切なパスワードを入力した場合は、何のメッセージも表示されません。

　なお、Active Directoryの仕様（？）のため、Active Directory構築後にAdministratorのパスワードを一度も変更していない場合はkinitが失敗します。同じパスワードで構わないので、一度パスワードを変更しておいてください。パスワードを変更していないと、以下のメッセージが出力されます。

　kinitコマンドに引き続き、net ads joinコマンドを発行して、Active Directoryに参加します。

　正常に終了した場合は、上記のように「Joined...」というメッセージが出力されます。DC側で確認すると、画面2のようにComputersコンテナにコンピュータアカウントが作成されているのが確認できます。

画面2　Computersコンテナの様子（画像をクリックすると拡大表示します）

■UNIXユーザーの追加

　Sambaサーバ上で、Windows側からアクセスを行うユーザーに対応するUNIXユーザーを/etc/passwdファイルに追加します（注）。以下の例では、smbdemo1というユーザーを追加しています。

　この名前のユーザーがActive Directory側にも存在している必要があるので、必要に応じて追加しておいてください。

　認証はActive Directoryで行われるので、ユーザーにパスワードなどを設定する必要はありません。もちろんsmbpasswdファイルなどへの登録も不要です。

■動作確認

　ここまでの作業が完了したら、Active Directoryドメインに所属するWindowsマシンから、先ほどのユーザー（上記の例ではW2003AD1\smbdemo1）でログオンして、そのままSambaサーバ上の共有にアクセスしてみてください。特にパスワードを聞かれることなくアクセスできるはずです。

前編へ

1/3

Index Samba 3.0の全貌 改訂版［後編］ 　〜 Active Directory参加機能とセキュリティ拡張 〜

Page 1 Active Directoryへの参加 　事前準備 　設定ファイルの準備 　Active Directoryへの参加 　UNIXユーザーの追加 　動作確認 　 Page 2 ドメインとユーザー 　Winbindの機能拡張 　任意のグローバルグループのサポート 　ドメイン間信頼関係のサポート 　 Page 3 多様な認証データベースのサポート 　LDAP認証の機能強化 　pdbeditコマンド SMBセキュリティの拡張 管理コマンドの拡充

Linux Square全記事インデックス

	連載：Heartbeatでかんたんクラスタリング（連載中） オープンソースソフトウェアの「Heartbeat」を使ってHAクラスタを実現し、サービスを「落とさない」仕組みを実現します
	特集：Apache 2.2でWebサイトをパフォーマンスアップ！ 最新安定版Apache 2.2は、何が変わったのか？ 最新のApacheを新機能の使い方とともに解説する
	連載：実用 Apache 2.0運用・管理術（全8回） 本連載では、Apache 2.0の運用や管理方法を解説する。まず必須設定と基本的なセキュリティ対策を行い今後の運用に備える
	連載：実用 BIND 9で作るDNSサーバ（全15回） 本連載では、BIND 9の構築／運用方法を解説していく。実際に役立つことを目的に、セキュリティや大規模運用などのテーマを取り上げていく
	連載：実用qmailサーバ運用・管理術（全14回） 本連載を通して、qmailによるメールサーバの高度な構築・運用・管理術を紹介。SPAM対策やML管理からサーバでのウイルスチェックなどまで
	特集：Samba 3.0の全貌 改訂版 Samba 3.0リリースから8カ月。ここであらためて、Samba 3.0系列の新機能、インストール方法、国際化の現状を解説する
	more

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード