22.6.2. ドメインメンバーサーバー

以下の smb.conf ファイルは、Active Directory ドメインメンバーサーバーを実装するために必要な設定例を示しています。この例では、Samba はローカルで実行されているサービスのユーザーを認証しますが、Active Directory のクライアントでもあります。kerberos レルムパラメーターがすべての上限（例： realm = EXAMPLE.COM）に表示されることを確認します。Windows 2000/2003 では Active Directory 認証に Kerberos が必要なため、realm ディレクティブが必要です。Active Directory と Kerberos が異なるサーバーで実行されている場合は、パスワードサーバー のディレクティブを区別するために必要になることがあります。

[global]
realm = EXAMPLE.COM
security = ADS
encrypt passwords = yes
# Optional. Use only if Samba cannot determine the Kerberos server automatically.
password server = kerberos.example.com

メンバーサーバーを Active Directory ドメインに参加させるには、以下の手順を実行する必要があります。

マシンアカウントを作成し、Windows 2000/2003 Active Directory に参加するには、最初に Active Directory ドメインに参加するメンバーサーバー用に Kerberos を初期化する必要があります。管理 Kerberos チケットを作成するには、メンバーサーバーで root で以下のコマンドを入力します。

kinit administrator@EXAMPLE.COM

kinit コマンドは、Active Directory 管理者アカウントおよび Kerberos レルムを参照する Kerberos 初期化スクリプトです。Active Directory には Kerberos チケットが必要なため、kinit はクライアント/サーバー認証用の Kerberos チケット保証チケットを取得してキャッシュします。Kerberos、/etc/krb5.conf ファイル、および kinit コマンドの詳細は、「Kerberos」 を参照してください。

Active Directory サーバー(windows1.example.com)に参加するには、メンバーサーバーで root で以下のコマンドを入力します。

net ads join -S windows1.example.com -U administrator%password

マシン windows1 は対応する Kerberos レルム( kinit コマンド成功)で自動的に確認されるため、net コマンドは必要な管理者アカウントとパスワードを使用して Active Directory サーバーに接続します。これにより、Active Directory に適切なマシンアカウントが作成され、Samba ドメインメンバーサーバーにドメインに参加するパーミッションが付与されます。