3.4. Winbind
Winbind をシステムのアイデンティティーストアとして設定する前に Samba を設定する必要があります。Samba サーバーをセットアップしてユーザーアカウントに使用するか、Active Directory をバックエンドの ID ストアとして使用するように Samba を設定する必要があります。
Samba の設定は、Samba プロジェクトのドキュメント で説明されています。Active Directory との統合ポイントとして Samba を設定する方法は『Windows Integration Guide』のUsing Samba for Active Directory Integrationでも説明されています。
3.4.1. authconfig GUI での Winbind の有効化
samba-winbind
パッケージをインストールします。これは、Samba サービスの Windows 統合機能に必要ですが、デフォルトではインストールされません。[root@server ~]# yum install samba-winbind
- authconfig UI を開きます。
[root2server ~]# authconfig-gtk
- アイデンティティーおよび 認証 タブで、ユーザーアカウントデータベース ドロップダウンメニューで を選択します。
- Microsoft Active Directory ドメインコントローラーへの接続に必要な情報を設定します。
- Winbind ドメイン は、接続する Windows ドメインを提供します。これは、DOMAIN などの Windows 2000 形式である必要があります。
- セキュリティーモデル は、Samba クライアントに使用するセキュリティーモデルを設定します。authconfig は、以下の 4 種類のセキュリティーモデルをサポートします。
- ADS は、 Samba が Active Directory Server レルムのドメインメンバーとして機能するように設定します。このモードで操作するには、
krb5-server
パッケージをインストールし、Kerberos を適切に設定する必要があります。 - ドメイン には、Windows サーバーと同様に、Windows のプライマリーまたはバックアップドメインコントローラーを使用して認証することで、Samba がユーザー名とパスワードを検証します。
- サーバー には、Windows サーバーなどの別のサーバーで認証することで、ローカルの Samba サーバーがユーザー名とパスワードを検証します。サーバーの認証を試みると、システムは ユーザー モードを使用した認証を試行します。
- ユーザー は、有効なユーザー名とパスワードでクライアントにログインする必要があります。このモードは、暗号化されたパスワードに対応します。ユーザー名の形式は domain\user である必要があります(例: EXAMPLE\jsmith )。注記特定のユーザーが Windows ドメインに存在することを確認する場合は、
domain\user_name
形式を使用してバックスラッシュ(\)文字をエスケープしてください。以下に例を示します。[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
以下はデフォルトのオプションになります。
- Winbind ADS レルム は、Samba サーバーが参加する Active Directory レルムを提供します。これは、ads セキュリティーモデルでのみ使用されます。
- Winbind ドメインコントローラー は、システムの登録に使用するドメインコントローラーのホスト名または IP アドレスを提供します。
- Template Shell は、Windows ユーザーアカウント設定に使用するログインシェルを設定します。
- オフラインログインを許可 すると、認証情報をローカルキャッシュに保存できます。システムがオフライン時に、ユーザーがシステムリソースに認証を試みるとキャッシュが参照されます。
3.4.2. コマンドラインでの Winbind の有効化
Windows ドメインには複数のセキュリティーモデルがあり、ドメインで使用されるセキュリティーモデルによってローカルシステムの認証設定が決定します。ユーザーおよびサーバーのセキュリティーモデルの場合、Winbind の設定にはドメイン (またはワークグループ) 名とドメインコントローラーのホスト名のみが必要です。
--winbindjoin
パラメーターは、Active Directory ドメインへの接続に使用するユーザーを設定し、--enablelocalauthorize
はローカルの承認操作を設定して /etc/passwd
ファイルを確認します。
authconfig コマンドの実行後に、Active Directory ドメインに参加します。
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity=user|server --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --update --enablelocauthorize --winbindjoin=admin [root@server ~]# net join ads
注記
ユーザー名の形式は domain\user である必要があります(例: EXAMPLE\jsmith )。
Windows ドメインに特定のユーザーが存在することを確認する場合は、常に domain\user 形式を使用し、バックスラッシュ (\) をエスケープしてください。以下に例を示します。
[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
ads および domain セキュリティーモデルの場合、Winbind は、テンプレートシェルおよびレルム (ads のみ) への追加の設定を可能にします。以下に例を示します。
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --smbrealm EXAMPLE.COM --winbindtemplateshell=/bin/sh --update
Windows ベースの認証と Windows ユーザーアカウントの情報を設定するためのオプションは他にもたくさんあります。たとえば、名前の形式、ユーザー名とともにドメイン名を要求するかどうか、UID の範囲などです。これらのオプションは authconfig ヘルプに一覧表示されます。