検索

22.6.2. ドメインメンバーサーバー

download PDF
スタンドアロンサーバーに類似したドメインメンバーは、ドメインコントローラー(Windows または Samba のいずれか)にログインし、ドメインのセキュリティールールに従います。ドメインメンバーサーバーの例としては、プライマリードメインコントローラー(PDC)上のマシンアカウントを持つ Samba を実行している部署サーバーが挙げられます。部門の全クライアントは、引き続き PDC とデスクトッププロファイルで認証され、すべてのネットワークポリシーファイルが含まれます。相違点は、部署サーバーではプリンターとネットワーク共有を制御できることです。

22.6.2.1. Active Directory ドメインメンバーサーバー

以下の smb.conf ファイルは、Active Directory ドメインメンバーサーバーを実装するために必要な設定例を示しています。この例では、Samba はローカルで実行されているサービスのユーザーを認証しますが、Active Directory のクライアントでもあります。kerberos レルムパラメーターがすべての上限(例: realm = EXAMPLE.COM)に表示されることを確認します。Windows 2000/2003 では Active Directory 認証に Kerberos が必要なため、realm ディレクティブが必要です。Active Directory と Kerberos が異なるサーバーで実行されている場合は、パスワードサーバー のディレクティブを区別するために必要になることがあります。
[global]
realm = EXAMPLE.COM
security = ADS
encrypt passwords = yes
# Optional. Use only if Samba cannot determine the Kerberos server automatically.
password server = kerberos.example.com
メンバーサーバーを Active Directory ドメインに参加させるには、以下の手順を実行する必要があります。
  • メンバーサーバー上の smb.conf ファイルの設定
  • メンバーサーバーの /etc/krb5.conf ファイルを含む Kerberos の設定
  • Active Directory ドメインサーバーでのマシンアカウントの作成
  • メンバーサーバーと Active Directory ドメインの関連付け
マシンアカウントを作成し、Windows 2000/2003 Active Directory に参加するには、最初に Active Directory ドメインに参加するメンバーサーバー用に Kerberos を初期化する必要があります。管理 Kerberos チケットを作成するには、メンバーサーバーで root で以下のコマンドを入力します。
kinit administrator@EXAMPLE.COM
kinit コマンドは、Active Directory 管理者アカウントおよび Kerberos レルムを参照する Kerberos 初期化スクリプトです。Active Directory には Kerberos チケットが必要なため、kinit はクライアント/サーバー認証用の Kerberos チケット保証チケットを取得してキャッシュします。Kerberos、/etc/krb5.conf ファイル、および kinit コマンドの詳細は、「Kerberos」 を参照してください。
Active Directory サーバー(windows1.example.com)に参加するには、メンバーサーバーで root で以下のコマンドを入力します。
net ads join -S windows1.example.com -U administrator%password
マシン windows1 は対応する Kerberos レルム( kinit コマンド成功)で自動的に確認されるため、net コマンドは必要な管理者アカウントとパスワードを使用して Active Directory サーバーに接続します。これにより、Active Directory に適切なマシンアカウントが作成され、Samba ドメインメンバーサーバーにドメインに参加するパーミッションが付与されます。
注記
security = ads and not security = user が使用されるため、smbpasswd などのローカルパスワードバックエンドは必要ありません。security = ads をサポートしない古いクライアントは、security = domain が設定されたかのように認証されます。この変更は機能に影響を与えず、ドメインにないローカルユーザーを許可します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.