このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
Winbindは、Windowsサーバー上でユーザーおよびグループ情報を解決し、Oracle LinuxがWindowsユーザーおよびグループを把握できるようにするためのクライアント側サービスです。 Winbind認証を構成するには、yumを使用してsamba-winbind
パッケージをインストールします。 このパッケージには、winbind
サービスを実装するwinbindd
デーモンが含まれます。
認証構成GUIを使用してWinbindをユーザー・アカウント・データベースとして選択する場合、Microsoftワークグループ、Active DirectoryまたはWindows NTドメイン・コントローラに接続するための情報を入力するよう求められます。 Winbindドメインの名前を入力し、Sambaサーバーのセキュリティ・モデルを選択します。
-
ads
Activity Directory Server (ADS)セキュリティ・モデルでは、SambaはADSレルムのドメイン・メンバーとして機能し、クライアントはActivity Directory認証にKerberosチケットを使用します。 Kerberosを構成してサーバーをドメインに参加させる必要があり、これによって、ドメイン・コントローラでサーバーのマシン・アカウントが作成されます。
-
domain
ドメイン・セキュリティ・モデルでは、ローカルのSambaサーバーにはマシン・アカウント(ドメイン・セキュリティ・トラスト・アカウント)があり、Windows NT4セキュリティを実装するドメイン内でSambaはドメイン・コントローラを使用してユーザー名とパスワードを認証します。
警告ローカル・マシンがプライマリまたはバックアップ・ドメイン・コントローラとして機能する場合は、ドメイン・セキュリティ・モデルを使用しないでください。 かわりに、ユーザー・セキュリティ・モデルを使用してください。
-
server
サーバー・セキュリティ・モデルでは、ローカルのSambaサーバーはWindows NTサーバーなどの別のサーバーでユーザー名とパスワードを認証します。
警告セキュリティ上の問題が多数あるため、サーバー・セキュリティ・モデルは非推奨です。
-
user
ユーザー・セキュリティ・モデルでは、クライアントは有効なユーザー名とパスワードでログインする必要があります。 このモデルは、暗号化されたパスワードをサポートしています。 サーバーがクライアントのユーザー名とパスワードを正常に検証できた場合、クライアントはパスワードを指定する必要なしに複数の共有をマウントできます。
選択するセキュリティ・モデルによっては、次の情報の指定が必要になることもあります。
Sambaサーバーが参加するADSレルムの名前(ADSセキュリティ・モデルのみ)。
ドメイン・コントローラの名前。 ドメイン・コントローラが複数ある場合は、スペースで名前を区切ります。
Windows NTユーザー・アカウントに使用するログイン・テンプレート・シェル(ADSおよびドメイン・セキュリティ・モデルのみ)。
ドメイン・コントローラがオフラインの場合に、System Security Services Daemon (SSSD)でキャッシュされた情報を使用したユーザー認証を許可するかどうか。
選択内容によって、/etc/samba/smb.conf
構成ファイルの[global]
セクションのセキュリティ・ディレクティブが更新されます。
Kerberosが初期化されている場合は、ドメインに参加をクリックしてActive Directoryサーバー上にマシン・アカウントを作成し、Sambaドメイン・メンバー・サーバーにドメインに参加する権限を付与できます。
authconfigコマンドを使用して、Winbind認証を構成することもできます。 ユーザーレベル・セキュリティ・モデルを使用するには、ドメインまたはワークグループの名前およびドメイン・コントローラのホスト名を指定します。次に例を示します。
#authconfig --enablewinbind --enablewinbindauth --smbsecurity user
\[--enablewinbindoffline] --smbservers="ad1.mydomain.com ad2.mydomain.com"
\--smbworkgroup=MYDOMAIN --update
ドメイン・コントローラがオフラインの場合に、System Security Services Daemon (SSSD)でキャッシュされた情報を使用したユーザー認証を許可するには、--enablewinbindofflineオプションを指定します。
ドメイン・セキュリティ・モデルの場合は、追加でテンプレート・シェルを指定します。次に例を示します。
#authconfig --enablewinbind --enablewinbindauth --smbsecurity domain
\[--enablewinbindoffline] --smbservers="ad1.mydomain.com ad2.mydomain.com"
\--smbworkgroup=MYDOMAIN --update --winbindtemplateshell=/bin/bash --update
ADSセキュリティ・モデルの場合は、追加でADSレルムとテンプレート・シェルを指定します。次に例を示します。
#authconfig --enablewinbind --enablewinbindauth --smbsecurity ads
\[--enablewinbindoffline] --smbservers="ad1.mydomain.com ad2.mydomain.com"
\--smbworkgroup=MYDOMAIN --update --smbrealm MYDOMAIN.COM
\--winbindtemplateshell=/bin/bash --update
詳細は、authconfig(8)
マニュアル・ページを参照してください。