22.6.2. ドメインメンバーサーバー
スタンドアロンサーバーに類似したドメインメンバーは、ドメインコントローラー(Windows または Samba のいずれか)にログインし、ドメインのセキュリティールールに従います。ドメインメンバーサーバーの例としては、プライマリードメインコントローラー(PDC)上のマシンアカウントを持つ Samba を実行している部署サーバーが挙げられます。部門の全クライアントは、引き続き PDC とデスクトッププロファイルで認証され、すべてのネットワークポリシーファイルが含まれます。相違点は、部署サーバーではプリンターとネットワーク共有を制御できることです。
22.6.2.1. Active Directory ドメインメンバーサーバー
以下の smb.conf ファイルは、Active Directory ドメインメンバーサーバーを実装するために必要な設定例を示しています。この例では、Samba はローカルで実行されているサービスのユーザーを認証しますが、Active Directory のクライアントでもあります。kerberos レルムパラメーターがすべての上限(例: realm = EXAMPLE.COM)に表示されることを確認します。Windows 2000/2003 では Active Directory 認証に Kerberos が必要なため、realm ディレクティブが必要です。Active Directory と Kerberos が異なるサーバーで実行されている場合は、パスワードサーバー のディレクティブを区別するために必要になることがあります。
[global] realm = EXAMPLE.COM security = ADS encrypt passwords = yes # Optional. Use only if Samba cannot determine the Kerberos server automatically. password server = kerberos.example.com
メンバーサーバーを Active Directory ドメインに参加させるには、以下の手順を実行する必要があります。
- メンバーサーバー上の
smb.conf
ファイルの設定 - メンバーサーバーの
/etc/krb5.conf
ファイルを含む Kerberos の設定 - Active Directory ドメインサーバーでのマシンアカウントの作成
- メンバーサーバーと Active Directory ドメインの関連付け
マシンアカウントを作成し、Windows 2000/2003 Active Directory に参加するには、最初に Active Directory ドメインに参加するメンバーサーバー用に Kerberos を初期化する必要があります。管理 Kerberos チケットを作成するには、メンバーサーバーで root で以下のコマンドを入力します。
kinit administrator@EXAMPLE.COM
kinit コマンドは、Active Directory 管理者アカウントおよび Kerberos レルムを参照する Kerberos 初期化スクリプトです。Active Directory には Kerberos チケットが必要なため、kinit はクライアント/サーバー認証用の Kerberos チケット保証チケットを取得してキャッシュします。Kerberos、/etc/krb5.conf ファイル、および kinit コマンドの詳細は、「Kerberos」 を参照してください。
Active Directory サーバー(windows1.example.com)に参加するには、メンバーサーバーで root で以下のコマンドを入力します。
net ads join -S windows1.example.com -U administrator%password
マシン windows1 は対応する Kerberos レルム( kinit コマンド成功)で自動的に確認されるため、net コマンドは必要な管理者アカウントとパスワードを使用して Active Directory サーバーに接続します。これにより、Active Directory に適切なマシンアカウントが作成され、Samba ドメインメンバーサーバーにドメインに参加するパーミッションが付与されます。
注記
security = ads and not security = user が使用されるため、
smbpasswd
などのローカルパスワードバックエンドは必要ありません。security = ads をサポートしない古いクライアントは、security = domain が設定されたかのように認証されます。この変更は機能に影響を与えず、ドメインにないローカルユーザーを許可します。