Sambaの設定
Sambaの設定
Sambaサーバを、LDAPを利用するドメインコントローラとして起動するには、smb.confに以下の項目を設定する。(下記以外のものはSWATのドキュメント等を参照して欲しい)
domain logons
Sambaをドメインサーバにするには、domain logons = Yesとする。このパラメータを指定した場合は、以下のパラメータも指定するのが良い。
os level = 64
preferred master = Yes
domain master = Yes
wins support
PDCでは原則wins support = Yesとすべきだ。そしてすべてのWindowsクライアントおよびBDCがPDCのWINSサーバを参照するように設定する。現状Samba3.0で WINS複製機能が完成していないので、別なドメインのWINSサーバを利用する場合のみNoとして、wins serverで別なサーバを指定する。
LDAPサーバのホスト名
passdb backend=ldapsam:ldap://サーバ名
LDAPサーバが稼働しているホスト名を指定する。ldapsamだけを指定するとLDAPサーバとしてlocalhost(同一マシン)を参照する。
ldap suffix
アカウント検索のためのDN(Distinguished Name)を指定する。
oldap suffix=dc=miraclelinux,dc=com
これとあわせて以下も指定すること。
ldap machine suffix = ou=Computers ldap user suffix = ou=Users ldap group suffix = ou=Groups
ldap admin dn
LDAP管理者のDNを指定する。これは/etc/openldap/slapd.confに指定したものと同一とする。またこの管理者のパスワードは、「smbpasswd -w パスワード」で設定する。
ldap admin dn = cn=Manager,dc=miraclelinux,dc=com
guest account
ゲスト接続時に使用するアカウントを指定する。デフォルトはnobodyだが、これはすでに/etc/passwdに登録されているので、LDAPに登録される別なユーザを指定するのが良い。例えばWindowsと同様のGuestが良いだろう。
admin users、printer admin
admin usersで指定された管理者ユーザはSambaにアクセスする時、rootと同じuid=0でアクセスできる。これはWindowsクライアントをドメ インに参加させる時に使用するアカウントとして必要になる。通常Administratorを指定するが、専用のアカウントを作成し、それを登録すること もできる。printer adminにも同様にAdministratorなどを登録する。
ldap passwd sync = Yes
Sambaのパスワードを変更したときに、LDAPにあるOSのパスワードも同時 に変更する場合は、ldap passwd sync = Yesとする。原則このパラメータを利用するときはunix password sync=yesとしてはいけない。(デフォルトのNoのままとする)
例)smb.conf の設定
[global]
dos charset = CP932
unix charset = EUCJP-MS
display charset = EUCJP-MS
workgroup = MIRACLELINUX
passdb backend = ldapsam
guest account = Guest
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
wins support = Yes
ldap suffix = dc=miraclelinux,dc=com
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = uid=Administrator,ou=Users,dc=miraclelinux,dc=com
ldap passwd sync = Yes
admin users = administrator
printer admin = administrator
dos filetimes = Yes
dos filetime resolution = Yes
add user script = /usr/sbin/smbldap-useradd.pl -m '%u'
delete user script = /usr/sbin/smbldap-userdel.pl -r '%u'
add group script = /usr/sbin/smbldap-groupadd.pl -p '%g'
delete group script = /usr/sbin/smbldap-groupdel.pl '%g'
add user to group script = /usr/sbin/smbldap-groupmod.pl -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod.pl -x '%u' '%g'
set primary group script = /usr/sbin/smbldap-usermod.pl -g '%g' '%u'
add machine script = /usr/sbin/smbldap-useradd.pl -w '%u'
add share command = /usr/lib/samba/bin/addshare.pl
delete share command = /usr/lib/samba/bin/delshare.pl
change share command = /usr/lib/samba/bin/chgshare.pl
force unknown acl user = yes
[C$]
path = /
valid users = administrator
write list = administrator
[homes]
read only = No
browseable = No
[NETLOGON]
comment = Script for Domain Logon
path = /var/samba/netlogon
write list = administrator
[profiles]
path = /var/samba/profiles
read only = No
profile acls = yes
create mask = 0600
directory mask = 0700
browseable = No
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
[print$]
path = /var/samba/printer
write list = administrator
SambaをPDC、BDCとして動かすには[NETLOGON]共有や [profiles]共有が必要であるので環境に応じて作成しよう。設定が完了したら、ldap admin dnパラメータのところでも述べたが、LDAP管理者のパスワードをsmbpasswdコマンドで設定する。
# smbpasswd -w LDAP管理者のパスワード
# smbpasswd -w miracle
*注1)この時点ではまだSambaを起動しないこと。
関連記事
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
