機械翻訳について

4 ADメンバーとしてのSambaサーバーの構成

次の手順は、SambaサーバーをADメンバーとして構成する1つの方法を示しています。

  1. 必要なパッケージをインストールします。

    次のパッケージをインストールします。

    • realmd

      realmdツールは、Active DirectoryドメインなどのKerberosレルムに参加するために使用されます。

    • oddjobおよびoddjob-mkhomedir

      oddjobは、クライアント・アプリケーションのかわりにジョブを実行するD-Busサービスです。

      oddjob-mkhomedirは、ホーム・ディレクトリを作成および移入するoddjobヘルパーです。

    • samba-winbind-clientssamba-winbindsamba-common-toolssamba-winbind-krb5-locatorおよびsamba

      次のコマンドを実行して、必要なパッケージをインストールできます。 

      sudo dnf install realmd \
 oddjob-mkhomedir \
 oddjob  \
 samba-winbind-clients \
 samba-winbind  \
 samba-common-tools  \
 samba-winbind-krb5-locator  \
 samba
  2. Samba構成ファイルをバックアップします。

    Samba構成ファイルのバックアップ・コピーを作成します。

    sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.copy
  3. ADドメインに参加します。

    realm joinコマンドを使用して、ADドメインに参加します。 次の例では、ドメインEXAMPLE.COMに参加することを想定しています: 

    sudo realm join --membership-software=samba \
 --client-software=winbind EXAMPLE.COM

    次のようにコマンドを実行すると、realmによって次の処理が実行されます。

    • EXAMPLE.COMドメインのメンバーシップが構成されている/etc/samba/smb.confファイルを作成します。

    • ユーザーおよびグループの参照用のwinbindモジュールを/etc/nsswitch.confファイルに追加します。

    • /etc/pam.d/ディレクトリのPluggable Authentication Module (PAM)構成ファイルを更新します

    • winbindサービスを開始して有効化します。

  4. IDマッピングを構成します。

    構成に必要なIDマッピングを/etc/samba/smb.confファイルに設定します。

    IDマッピングの詳細は、「アクティブ・ドメイン・メンバー設定のIDマッピング・バックエンド」を参照してください

  5. 構成の確認

    /etc/samba/smb.confファイルのエントリが構成要件すべてを満たしていることを確認します。

    構成ファイルの詳細は、「Samba構成ファイル」を参照してください

  6. winbindが実行されていることを確認します。

    winbindサービスが実行されていることを確認します。 

    sudo systemctl status winbind

    重要:

    smbサービスを開始する前に、winbindサービスが実行されている必要があります。 そうしないと、Sambaはドメイン・ユーザーおよびグループの情報を取得できません。

  7. smbサービスを起動します。

    前のステップでwinbindが実行されていることを確認してから、smbサービスを開始して有効化します: 

    sudo systemctl enable --now smb
  8. Sambaサーバーが動作していることを確認します。

    次のような検証ステップを実行します。

    • ドメイン・ユーザーの詳細を取得します。 次に示している記述は、EXAMPLE.COMドメインのユーザーexampleuserの詳細が取得されていることを前提としています。 

      sudo getent passwd EXAMPLE.COM\\exampleuser
      EXAMPLE.COM\exampleuser:*:10000:10000::/home/exampleuser@EXAMPLE.COM:/bin/bash

    • コマンドをテストして、ドメイン内のDomain Usersグループからユーザーを取得します。 次の例では、EXAMPLE.COMドメインのDomain Usersグループ内のユーザーの詳細が取得されていることを前提としています: 

      sudo getent group "EXAMPLE.COM\Domain Users"
      EXAMPLE.COM\domain users:x:10000:exampleuser1,exampleuser2

    • ファイルおよびディレクトリのコマンドを使用する際にドメイン・ユーザーおよびグループを使用できることを確認します。 たとえば、/srv/samba/shareexample/ディレクトリの所有者をEXAMPLE.COM\administratorに設定し、グループをEXAMPLE.COM\Domain Usersに設定するには、次のコマンドを実行します。 

      sudo chown "EXAMPLE.COM\administrator":"EXAMPLE.COM\Domain Users" /srv/samba/shareexample