 |
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| Sambaの設定
|
Sambaサーバを、LDAPを利用するドメインコントローラとして起動するには、smb.confに以下の項目を設定する。(下記以外のものはSWATのドキュメント等を参照して欲しい)
|
| domain logons
|
Sambaをドメインサーバにするには、domain logons = Yesとする。このパラメータを指定した場合は、以下のパラメータも指定するのが良い。
|
os level = 64
preferred master = Yes
domain master = Yes
|
|
| wins support
|
PDCでは原則wins support = Yesとすべきだ。そしてすべてのWindowsクライアントおよびBDCがPDCのWINSサーバを参照するように設定する。現状Samba3.0でWINS複製機能が完成していないので、別なドメインのWINSサーバを利用する場合のみNoとして、wins serverで別なサーバを指定する。
|
| LDAPサーバのホスト名
|
|
passdb backend=ldapsam:ldap://サーバ名
|
LDAPサーバが稼働しているホスト名を指定する。ldapsamだけを指定するとLDAPサーバとしてlocalhost(同一マシン)を参照する。
|
| ldap suffix
|
アカウント検索のためのDN(Distinguished Name)を指定する。
|
oldap suffix=dc=miraclelinux,dc=com
|
これとあわせて以下も指定すること。
|
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
|
|
| ldap admin dn
|
LDAP管理者のDNを指定する。これは/etc/openldap/slapd.confに指定したものと同一とする。またこの管理者のパスワードは、「smbpasswd -w パスワード」で設定する。
|
ldap admin dn = cn=Manager,dc=miraclelinux,dc=com
|
|
| guest account
|
ゲスト接続時に使用するアカウントを指定する。デフォルトはnobodyだが、これはすでに/etc/passwdに登録されているので、LDAPに登録される別なユーザを指定するのが良い。例えばWindowsと同様のGuestが良いだろう。
|
| admin users、printer admin
|
admin usersで指定された管理者ユーザはSambaにアクセスする時、rootと同じuid=0でアクセスできる。これはWindowsクライアントをドメインに参加させる時に使用するアカウントとして必要になる。通常Administratorを指定するが、専用のアカウントを作成し、それを登録することもできる。printer adminにも同様にAdministratorなどを登録する。
|
| ldap passwd sync = Yes
|
Sambaのパスワードを変更したときに、LDAPにあるOSのパスワードも同時に変更する場合は、ldap passwd sync = Yesとする。原則このパラメータを利用するときはunix password sync=yesとしてはいけない。(デフォルトのNoのままとする)
例)smb.conf の設定
|
[global]
dos charset = CP932
unix charset = EUCJP-MS
display charset = EUCJP-MS
workgroup = MIRACLELINUX
passdb backend = ldapsam
guest account = Guest
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
wins support = Yes
ldap suffix = dc=miraclelinux,dc=com
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = uid=Administrator,ou=Users,dc=miraclelinux,dc=com
ldap passwd sync = Yes
admin users = administrator
printer admin = administrator
dos filetimes = Yes
dos filetime resolution = Yes
add user script = /usr/sbin/smbldap-useradd.pl -m '%u'
delete user script = /usr/sbin/smbldap-userdel.pl -r '%u'
add group script = /usr/sbin/smbldap-groupadd.pl -p '%g'
delete group script = /usr/sbin/smbldap-groupdel.pl '%g'
add user to group script = /usr/sbin/smbldap-groupmod.pl -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod.pl -x '%u' '%g'
set primary group script = /usr/sbin/smbldap-usermod.pl -g '%g' '%u'
add machine script = /usr/sbin/smbldap-useradd.pl -w '%u'
add share command = /usr/lib/samba/bin/addshare.pl
delete share command = /usr/lib/samba/bin/delshare.pl
change share command = /usr/lib/samba/bin/chgshare.pl
force unknown acl user = yes
[C$]
path = /
valid users = administrator
write list = administrator
[homes]
read only = No
browseable = No
[NETLOGON]
comment = Script for Domain Logon
path = /var/samba/netlogon
write list = administrator
[profiles]
path = /var/samba/profiles
read only = No
profile acls = yes
create mask = 0600
directory mask = 0700
browseable = No
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
[print$]
path = /var/samba/printer
write list = administrator
|
SambaをPDC、BDCとして動かすには[NETLOGON]共有や[profiles]共有が必要であるので環境に応じて作成しよう。設定が完了したら、ldap admin dnパラメータのところでも述べたが、LDAP管理者のパスワードをsmbpasswdコマンドで設定する。
|
# smbpasswd -w LDAP管理者のパスワード
|
|
# smbpasswd -w miracle
|
*注1)この時点ではまだSambaを起動しないこと。
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
オープンソース・ソリューション・テクノロジ株式会社
小田切 耕司
早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。
|
|
|
|
|
|
