ネットワークファイルサービスの設定および使用

手順

1. /etc/samba/smb.conf ファイルのコピーを作成します。

   Copy to Clipboard Toggle word wrap

   # cp /etc/samba/smb.conf /etc/samba/samba.conf.copy

2. コピーして作成したファイルを編集し、必要な変更を加えます。

3. /etc/samba/samba.conf.copy ファイルの設定を確認します。

   Copy to Clipboard Toggle word wrap

   # testparm -s /etc/samba/samba.conf.copy

   testparm がエラーを報告した場合は、修正してもう一度コマンドを実行します。

4. /etc/samba/smb.conf ファイルを新しい設定に上書きします。

   Copy to Clipboard Toggle word wrap

   # mv /etc/samba/samba.conf.copy /etc/samba/smb.conf

5. Samba サービスが設定を自動的に再読み込みするか、手動で設定を再読み込みするまで待ちます。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. samba パッケージをインストールします。

   Copy to Clipboard Toggle word wrap

   # dnf install samba

2. /etc/samba/smb.conf ファイルを編集して、以下のパラメーターを設定します。

   Copy to Clipboard Toggle word wrap

   [global]
   	workgroup = Example-WG
   	netbios name = Server
   	security = user
   
   	log file = /var/log/samba/%m.log
   	log level = 1

   この設定では、Example-WG ワークグループに、スタンドアロンサーバー (Server) を定義します。また、この設定により最小レベル (1) でのログ記録が可能になり、ログファイルは /var/log/samba/ ディレクトリーに保存されます。Samba は、log file パラメーターの %m マクロを、接続しているクライアントの NetBIOS 名までデプロイメントします。これにより、クライアントごとに個別のログファイルが有効になります。

3. オプション: ファイルまたはプリンターの共有を設定します。参照:

   • POSIX ACL で共有の設定
   • Windows ACL で共有の設定
   • プリントサーバーとしての Samba の設定

4. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

5. 認証が必要な共有を設定する場合は、ユーザーアカウントを作成します。

   詳細は ローカルユーザーアカウントの作成および有効化 を参照してください。

6. firewall-cmd ユーティリティーを使用して必要なポートを開き、ファイアウォール設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # firewall-cmd --permanent --add-service=samba
   # firewall-cmd --reload

7. smb サービスを有効にして起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl enable --now smb

手順

1. オペレーティングシステムアカウントを作成します。

   Copy to Clipboard Toggle word wrap

   # useradd -M -s /sbin/nologin example

   このコマンドは、ホームディレクトリーを作成せずに、example アカウントを追加します。アカウントが Samba への認証のみに使用される場合は、/sbin/nologin コマンドをシェルとして割り当て、アカウントがローカルでログインしないようにします。

2. オペレーティングシステムのアカウントにパスワードを設定して、これを有効にします。

   Copy to Clipboard Toggle word wrap

   # passwd example
   Enter new UNIX password: password
   Retype new UNIX password: password
   passwd: password updated successfully

   Samba は、オペレーティングシステムのアカウントに設定されたパスワードを使用して認証を行いません。ただし、アカウントを有効にするには、パスワードを設定する必要があります。アカウントが無効になると、そのユーザーが接続した時に Samba がアクセスを拒否します。

3. Samba データベースにユーザーを追加し、そのアカウントにパスワードを設定します。

   Copy to Clipboard Toggle word wrap

   # smbpasswd -a example
   New SMB password: password
   Retype new SMB password: password
   Added user example.

   このアカウントを使用して Samba 共有に接続する場合に、このパスワードを使用して認証を行います。

4. Samba アカウントを有効にします。

   Copy to Clipboard Toggle word wrap

   # smbpasswd -e example
   Enabled user example.

手順

1. /etc/samba/smb.conf ファイルの [global] セクションを編集します。

   1. デフォルトドメイン (*) に ID マッピング設定が存在しない場合は追加します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      idmap config * : backend = tdb
      idmap config * : range = 10000-999999

   2. AD ドメインの ad ID マッピングバックエンドを有効にします。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : backend = ad

   3. AD ドメインのユーザーおよびグループに割り当てられている ID の範囲を設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : range = 2000000-2999999

      重要

      この範囲は、このサーバーの他のドメイン設定と重複させることはできません。また、この範囲には、今後割り当てられる ID がすべて収まる大きさを設定する必要があります。詳細は、Samba ID 範囲の計画 を参照してください。

   4. Samba が AD から属性を読み取る際に RFC 2307 スキーマを使用するように設定します。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : schema_mode = rfc2307

   5. Samba が、対応する AD 属性からログインシェルおよびユーザーホームディレクトリーのパスを読み取るようにする場合は、以下を設定します。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : unix_nss_info = yes

      または、すべてのユーザーに適用される、ドメイン全体のホームディレクトリーのパスおよびログインシェルを統一して設定できます。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      template shell = /bin/bash
      template homedir = /home/%U

   6. デフォルトでは、Samba は、ユーザーオブジェクトの primaryGroupID 属性を、Linux のユーザーのプライマリーグループとして使用します。または、代わりに gidNumber 属性に設定されている値を使用するように Samba を設定できます。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : unix_primary_group = yes

2. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

3. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. /etc/samba/smb.conf ファイルの [global] セクションを編集します。

   1. デフォルトドメイン (*) に ID マッピング設定が存在しない場合は追加します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      idmap config * : backend = tdb
      idmap config * : range = 10000-999999

   2. ドメインの rid ID マッピングバックエンドを有効にします。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : backend = rid

   3. 今後割り当てられるすべての RID が収まる大きさの範囲を設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      idmap config DOMAIN : range = 2000000-2999999

      Samba は、そのドメインの RID がその範囲内にないユーザーおよびグループを無視します。

      重要

      この範囲は、このサーバーの他のドメイン設定と重複させることはできません。また、この範囲には、今後割り当てられる ID がすべて収まる大きさを設定する必要があります。詳細は、Samba ID 範囲の計画 を参照してください。

   4. すべてのマッピングユーザーに割り当てられるシェルおよびホームディレクトリーのパスを設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      template shell = /bin/bash
      template homedir = /home/%U

2. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

3. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. /etc/samba/smb.conf ファイルの [global] セクションを編集します。

   1. * デフォルトドメインの autorid ID マッピングバックエンドを有効にします。

      Copy to Clipboard Toggle word wrap

      idmap config * : backend = autorid

   2. 既存および将来の全オブジェクトに ID を割り当てられる大きさの範囲を設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      idmap config * : range = 10000-999999

      Samba は、このドメインで計算した ID が範囲内にないユーザーおよびグループを無視します。

      警告

      範囲を設定し、Samba がそれを使用して開始してからは、範囲の上限を小さくすることはできません。範囲にその他の変更を加えると、新しい ID 割り当てが発生し、ファイルの所有権が失われる可能性があります。

   3. オプション: 範囲のサイズを設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      idmap config * : rangesize = 200000

      Samba は、idmap config * : range パラメーターに設定されている範囲からすべての ID を取得するまで、各ドメインのオブジェクトにこの数の連続 ID を割り当てます。

      注記

      rangesize を設定する場合は、適宜範囲を調整する必要があります。この範囲は rangesize の倍数である必要があります。

   4. すべてのマッピングユーザーに割り当てられるシェルおよびホームディレクトリーのパスを設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      template shell = /bin/bash
      template homedir = /home/%U

   5. オプション: ドメイン用の ID マッピング設定を追加します。個別のドメインの設定が利用できない場合、Samba は以前に設定した * デフォルトドメインの autorid バックエンド設定を使用して ID を計算します。

      重要

      この範囲は、このサーバーの他のドメイン設定と重複させることはできません。また、この範囲には、今後割り当てられる ID がすべて収まる大きさを設定する必要があります。詳細は、Samba ID 範囲の計画 を参照してください。

2. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

3. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. AD で Kerberos 認証に非推奨の RC4 暗号化タイプが必要な場合は、RHEL でこの暗号のサポートを有効にします。

   Copy to Clipboard Toggle word wrap

   # update-crypto-policies --set DEFAULT:AD-SUPPORT

2. 以下のパッケージをインストールします。

   Copy to Clipboard Toggle word wrap

   # dnf install realmd oddjob-mkhomedir oddjob samba-winbind-clients \
          samba-winbind samba-common-tools samba-winbind-krb5-locator krb5-workstation

3. ドメインメンバーでディレクトリーまたはプリンターを共有するには、samba パッケージをインストールします。

   Copy to Clipboard Toggle word wrap

   # dnf install samba

4. 既存の Samba 設定ファイル /etc/samba/smb.conf をバックアップします。

   Copy to Clipboard Toggle word wrap

   # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

5. ドメインに参加します。たとえば、ドメイン ad.example.com に参加するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   # realm join --membership-software=samba --client-software=winbind ad.example.com

   上記のコマンドを使用すると、realm ユーティリティーが自動的に以下を実行します。

   • ad.example.com ドメインのメンバーシップに /etc/samba/smb.conf ファイルを作成します。
   • ユーザーおよびグループの検索用の winbind モジュールを、/etc/nsswitch.conf ファイルに追加します。
   • /etc/pam.d/ ディレクトリーの PAM (プラグ可能な認証モジュール) 設定ファイルを更新します。
   • winbind サービスを起動し、システムの起動時にサービスを起動できるようにします。
6. オプション: /etc/samba/smb.conf ファイルで、別の ID マッピングバックエンドまたはカスタマイズした ID マッピング設定を指定します。

1. winbind サービスが稼働していることを確認します。

   Copy to Clipboard Toggle word wrap

   # systemctl status winbind
   ...
      Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago

   重要

   Samba がドメインのユーザーおよびグループの情報をクエリーできるようにするには、smb を起動する前に winbind サービスを実行する必要があります。

2. samba パッケージをインストールしてディレクトリーおよびプリンターを共有している場合は、smb サービスを有効化して開始します。

   Copy to Clipboard Toggle word wrap

   # systemctl enable --now smb

3. Active Directory へのローカルログインを認証する場合は、winbind_krb5_localauth プラグインを有効にします。MIT Kerberos 用のローカル承認プラグインの使用

検証

1. AD ドメインの AD 管理者アカウントなど、AD ユーザーの詳細を表示します。

   Copy to Clipboard Toggle word wrap

   # getent passwd "AD\administrator"
   AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash

2. AD ドメイン内のドメインユーザーグループのメンバーをクエリーします。

   Copy to Clipboard Toggle word wrap

   # getent group "AD\Domain Users"
       AD\domain users:x:10000:user1,user2

3. オプション: ファイルとディレクトリーの権限を設定するときに、ドメインのユーザーおよびグループを使用できることを確認します。たとえば、/srv/samba/example.txt ファイルの所有者を AD\administrator に設定し、グループを AD\Domain Users に設定するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   # chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt

4. Kerberos 認証が期待どおりに機能することを確認します。

   1. AD ドメインメンバーで、administrator@AD.EXAMPLE.COM プリンシパルのチケットを取得します。

      Copy to Clipboard Toggle word wrap

      # kinit administrator@AD.EXAMPLE.COM

   2. キャッシュされた Kerberos チケットを表示します。

      Copy to Clipboard Toggle word wrap

      # klist
      Ticket cache: KCM:0
      Default principal: administrator@AD.EXAMPLE.COM
      
      Valid starting       Expires              Service principal
      01.11.2018 10:00:00  01.11.2018 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
              renew until 08.11.2018 05:00:00

5. 利用可能なドメインの表示:

   Copy to Clipboard Toggle word wrap

   # wbinfo --all-domains
   BUILTIN
   SAMBA-SERVER
   AD

手順

1. samba-gpupdate パッケージをインストールします。

   Copy to Clipboard Toggle word wrap

   # dnf install samba-gpupdate

2. /etc/samba/smb.conf ファイルに次の設定を追加します。

   Copy to Clipboard Toggle word wrap

   kerberos method = secrets and keytab
   sync machine password to keytab = "/etc/krb5.keytab:account_name:sync_spns:spn_prefixes=host:sync_kvno:machine_password", "/etc/samba/cepces.keytab:account_name:machine_password"
   apply group policies = yes

   Samba 設定で指定される設定には、次の設定が含まれます。

   kerberos method = secrets and keytab

   最初に /var/lib/samba/private/secrets.tdb ファイルを使用して Kerberos チケットを検証し、次に /etc/krb5.keytab ファイルを使用するように Samba を設定します。

   sync machine password to keytab = <list_of_keytab_files_and_their_principals>

   Samba が管理するキータブファイルへのパスと、これらのファイル内の Kerberos プリンシパルを定義します。示された値を使用すると、Samba は /etc/krb5.keytab システムキータブを維持し、さらに、certmonger の cepces-submit 送信ヘルパーが CA への認証に使用する /etc/samba/cepces.keytab ファイルも維持します。

   apply group policies = yes

   一定間隔で gpupdate コマンドを実行するように winbind サービスを設定します。更新間隔は 90 分で、これに 0 - 30 分の間のランダムオフセットが加算されます。

3. /etc/samba/cepces.keytab ファイルを作成します。

   Copy to Clipboard Toggle word wrap

   # net ads keytab create

4. /etc/cepces/cepces.conf ファイルを編集し、次の変更を加えます。

   1. [global] セクションで、server 変数を CA サービスを実行する Windows サーバーの完全修飾ドメイン名(FQDN)に設定します。

      Copy to Clipboard Toggle word wrap

      [global]
      server=win-server.ad.example.com

   2. [kerberos] セクションで、keytab 変数を /etc/samba/cepces.keytab に設定します。

      Copy to Clipboard Toggle word wrap

      [kerberos]
      keytab=/etc/samba/cepces.keytab

5. certmonger サービスを有効にして起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl enable --now certmonger

   certmonger サービスは CA からの証明書を要求し、有効期限が切れる前に自動的に更新します。

6. samba-gpupdate を手動で実行して、グループポリシーが AD からロードされていることを確認します。

   Copy to Clipboard Toggle word wrap

   # samba-gpupdate

7. certmonger サービスは、キーと証明書を次のディレクトリーに保存します。

   • 秘密鍵: /var/lib/samba/private/certs/

   • 発行された証明書: /var/lib/samba/certs/

     これで、同じホスト上のサービスでキーと証明書の使用を開始できます。

8. オプション: certmonger が管理する証明書を表示します。

   Copy to Clipboard Toggle word wrap

   # getcert list
   Number of certificates and requests being tracked: 1.
   Request ID 'AD-ROOT-CA.Machine':
   	status: MONITORING
   	stuck: no
   	key pair storage: type=FILE,location='/var/lib/samba/private/certs/AD-ROOT-CA.Machine.key'
   	certificate: type=FILE,location='/var/lib/samba/certs/AD-ROOT-CA.Machine.crt'
   	CA: AD-ROOT-CA
   	issuer: CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
   	subject: CN=rhel9.ad.example.com
   	issued: 2025-03-25 14:22:07 CET
   	expires: 2026-03-25 14:22:07 CET
   	dns: rhel9.ad.example.com
   	key usage: digitalSignature,keyEncipherment
   	eku: id-kp-clientAuth,id-kp-serverAuth
   	certificate template/profile: Machine
   	profile: Machine
   	pre-save command:
   	post-save command:
   	track: yes
   	auto-renew: yes

   デフォルトでは、Windows CA は Machine 証明書テンプレートのみを使用して証明書を発行します。Windows CA でこのホストに適用する追加のテンプレートを設定した場合、certmonger はこれらのテンプレートの証明書も要求し、getcert list 出力にはそれらのエントリーも含まれます。

手順

1. 必要なパッケージをインストールします。

   Copy to Clipboard Toggle word wrap

   [root@ipaserver ~]# dnf install ipa-server-trust-ad samba-client

2. IdM 管理ユーザーとして認証します。

   Copy to Clipboard Toggle word wrap

   [root@ipaserver ~]# kinit admin

3. ipa-adtrust-install ユーティリティーを実行します。

   Copy to Clipboard Toggle word wrap

   [root@ipaserver ~]# ipa-adtrust-install

   統合 DNS サーバーとともに IdM がインストールされていると、DNS サービスレコードが自動的に作成されます。

   IdM が統合 DNS サーバーなしで IdM をインストールすると、ipa-adtrust-install は、続行する前に DNS に手動で追加する必要があるサービスレコードのリストを出力します。

4. スクリプトにより、/etc/samba/smb.conf がすでに存在し、書き換えられることが求められます。

   Copy to Clipboard Toggle word wrap

   WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
   
   Do you wish to continue? [no]: yes

5. このスクリプトは、従来の Linux クライアントが信頼できるユーザーと連携できるようにする互換性プラグインである slapi-nis プラグインを設定するように求めるプロンプトを表示します。

   Copy to Clipboard Toggle word wrap

   Do you want to enable support for trusted domains in Schema Compatibility plugin?
   This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
   
   Enable trusted domains support in slapi-nis? [no]: yes

6. SID 生成タスクを実行して、既存ユーザーに SID を作成するように求められます。

   Copy to Clipboard Toggle word wrap

   Do you want to run the ipa-sidgen task? [no]: yes

   これはリソースを集中的に使用するタスクであるため、ユーザー数が多い場合は別のタイミングで実行できます。

7. オプション: Windows Server 2008 以降では、動的 RPC ポート範囲が、デフォルトで 49152-65535 に定義されています。ご使用の環境に異なる動的 RPC ポート範囲を定義する必要がある場合は、Samba が異なるポートを使用するように設定し、ファイアウォール設定でそのポートを開くように設定します。以下の例では、ポート範囲を 55000-65000 に設定します。

   Copy to Clipboard Toggle word wrap

   [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
   [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
   [root@ipaserver ~]# firewall-cmd --runtime-to-permanent

8. ipa サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   [root@ipaserver ~]# ipactl restart

9. smbclient ユーティリティーを使用して、Samba が IdM サイドからの Kerberos 認証に応答することを確認します。

   Copy to Clipboard Toggle word wrap

   [root@ipaserver ~]# smbclient -L ipaserver.idm.example.com -U user_name --use-kerberos=required
   lp_load_ex: changing to config backend registry
       Sharename       Type      Comment
       ---------       ----      -------
       IPC$            IPC       IPC Service (Samba 4.15.2)
   ...

手順

1. ipa-client-samba パッケージをインストールします。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# dnf install ipa-client-samba

2. ipa-client-samba ユーティリティーを使用して、クライアントを準備し、初期 Samba 設定を作成します。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# ipa-client-samba
   Searching for IPA server...
   IPA server: DNS discovery
   Chosen IPA master: idm_server.idm.example.com
   SMB principal to be created: cifs/idm_client.idm.example.com@IDM.EXAMPLE.COM
   NetBIOS name to be used: IDM_CLIENT
   Discovered domains to use:
   
    Domain name: idm.example.com
   NetBIOS name: IDM
            SID: S-1-5-21-525930803-952335037-206501584
       ID range: 212000000 - 212199999
   
    Domain name: ad.example.com
   NetBIOS name: AD
            SID: None
       ID range: 1918400000 - 1918599999
   
   Continue to configure the system with these values? [no]: yes
   Samba domain member is configured. Please check configuration at /etc/samba/smb.conf and start smb and winbind services

3. デフォルトでは、ipa-client-samba は、ユーザーが接続したときにそのユーザーのホームディレクトリーを動的に共有するために、/etc/samba/smb.conf ファイルに [homes] セクションが自動的に追加されます。ユーザーがこのサーバーにホームディレクトリーがない場合、または共有したくない場合は、/etc/samba/smb.conf から次の行を削除します。

   Copy to Clipboard Toggle word wrap

   [homes]
       read only = no

4. ディレクトリーとプリンターを共有します。詳細は、以下を参照してください。

   • POSIX ACL を使用した Samba ファイル共有の設定
   • Windows ACL で共有の設定
   • プリントサーバーとしての Samba の設定

5. ローカルファイアウォールで Samba クライアントに必要なポートを開きます。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# firewall-cmd --permanent --add-service=samba-client
   [root@idm_client]# firewall-cmd --reload

6. smb サービスおよび winbind サービスを有効にして開始します。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# systemctl enable --now smb winbind

手順

1. ホストのキータブを使用して認証します。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# kinit -k

2. ipa idrange-find コマンドを使用して、新しいドメインのベース ID と ID 範囲のサイズの両方を表示します。たとえば、次のコマンドは ad.example.com ドメインの値を表示します。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
   ---------------
   1 range matched
   ---------------
     cn: AD.EXAMPLE.COM_id_range
     ipabaseid: 1918400000
     ipaidrangesize: 200000
     ipabaserid: 0
     ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271
     iparangetype: ipa-ad-trust
   ----------------------------
   Number of entries returned 1
   ----------------------------

   次の手順で、ipabaseid 属性および ipaidrangesize 属性の値が必要です。

3. 使用可能な最高の ID を計算するには、次の式を使用します。

   Copy to Clipboard Toggle word wrap

   maximum_range = ipabaseid + ipaidrangesize - 1

   前の手順の値を使用すると、ad.example.com ドメインで使用可能な最大 ID は 1918599999 (1918400000 + 200000 - 1) です。

4. /etc/samba/smb.conf ファイルを編集し、ドメインの ID マッピング設定を [global] セクションに追加します。

   Copy to Clipboard Toggle word wrap

   idmap config AD : range = 1918400000 - 1918599999
   idmap config AD : backend = sss

   ipabaseid 属性の値を最小値として指定し、前の手順で計算された値を範囲の最大値として指定します。

5. smb サービスおよび winbind サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   [root@idm_client]# systemctl restart smb winbind

手順

1. ディレクトリーが存在しない場合は作成します。以下に例を示します。

   Copy to Clipboard Toggle word wrap

   # mkdir -p /srv/samba/example/

2. SELinux を、enforcing モードで実行する場合は、そのディレクトリーに samba_share_t コンテキストを設定します。

   Copy to Clipboard Toggle word wrap

   # semanage fcontext -a -t samba_share_t "/srv/samba/example(/.*)?"
   # restorecon -Rv /srv/samba/example/

3. ディレクトリーにファイルシステムの ACL を設定します。詳細は、以下を参照してください。

   • POSIX ACL を使用する Samba 共有での標準的な ACL の設定
   • POSIX ACL を使用する共有で拡張 ACL の設定

4. /etc/samba/smb.conf ファイルにサンプル共有を追加します。たとえば、共有の write-enabled を追加するには、次のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   [example]
   	path = /srv/samba/example/
   	read only = no

   注記

   ファイルシステムの ACL に関係なく、read only = no を設定しないと、Samba がディレクトリーを読み取り専用モードで共有します。

5. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

6. firewall-cmd ユーティリティーを使用して必要なポートを開き、ファイアウォール設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # firewall-cmd --permanent --add-service=samba
   # firewall-cmd --reload

7. smb サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl restart smb

手順

1. /etc/samba/smb.conf ファイルの共有セクションで以下のパラメーターを有効にして、拡張 ACL の ACL 継承を有効にします。

   Copy to Clipboard Toggle word wrap

   inherit acls = yes

   詳細は、man ページの smb.conf(5) のパラメーターの説明を参照してください。

2. smb サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl restart smb

3. ディレクトリーの ACL を設定します。以下に例を示します。

   例1.2 拡張 ACL の設定

   以下の手順は、/srv/samba/example/ ディレクトリーに対して、Domain Admins グループに読み取り、書き込み、および実行の権限、Domain Users グループに対する読み取りおよび実行の権限を設定し、その他の全員のアクセスを拒否します。

   1. ユーザーアカウントのプライマリーグループへの自動許可権限を無効にします。

      Copy to Clipboard Toggle word wrap

      # setfacl -m group::--- /srv/samba/example/
      # setfacl -m default:group::--- /srv/samba/example/

      ディレクトリーのプライマリーグループは、さらに動的な CREATOR GROUP プリンシパルにマッピングされます。Samba 共有で拡張 POSIX ACL を使用すると、このプリンシパルは自動的に追加され、削除できません。

   2. ディレクトリーに権限を設定します。

      1. Domain Admins グループに読み取り、書き込み、および実行の権限を付与します。

         Copy to Clipboard Toggle word wrap

         # setfacl -m group:"DOMAIN\Domain Admins":rwx /srv/samba/example/

      2. Domain Users グループに読み取りおよび実行の権限を付与します。

         Copy to Clipboard Toggle word wrap

         # setfacl -m group:"DOMAIN\Domain Users":r-x /srv/samba/example/

      3. その他 の ACL エントリーに権限を設定し、その他の ACL エントリーに一致しないユーザーへのアクセスを拒否します。

         Copy to Clipboard Toggle word wrap

         # setfacl -R -m other::--- /srv/samba/example/

      この設定は、このディレクトリーにのみ適用されます。Windows では、これらの ACL は このフォルダーのみ のモードにマッピングされます。

   3. 前の手順で設定した権限を、このディレクトリーに作成した新規ファイルシステムのオブジェクトから継承できるようにするには、以下のコマンドを実行します。

      Copy to Clipboard Toggle word wrap

      # setfacl -m default:group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
      # setfacl -m default:group:"DOMAIN\Domain Users":r-x /srv/samba/example/
      # setfacl -m default:other::--- /srv/samba/example/

      この設定では、プリンシパルの このフォルダーのみ モードが、このフォルダー、サブフォルダー、およびファイル に設定されます。

   Samba は、手順に設定されている権限を、以下の Windows ACL にマッピングします。

   プリンシパル	アクセス	適用先
   Domain\Domain Admins	完全な制御	このフォルダー、サブフォルダー、およびファイル
   Domain\Domain Users	読み取りおよび実行	このフォルダー、サブフォルダー、およびファイル
   Everyone [a]	なし	このフォルダー、サブフォルダー、およびファイル
   owner (Unix User\owner) [b]	完全な制御	このフォルダーのみ
   primary_group (Unix User\primary_group) [c]	なし	このフォルダーのみ
   CREATOR OWNER [d] [e]	完全な制御	サブフォルダーおよびファイルのみ
   CREATOR GROUP [e] [f]	なし	サブフォルダーおよびファイルのみ
   [a] Samba は、このプリンシパルの権限を その他 の ACL エントリーからマッピングします。 [b] Samba は、ディレクトリーの所有者をこのエントリーにマッピングします。 [c] Samba は、ディレクトリーのプライマリーグループをこのエントリーにマッピングします。 [d] 新規ファイルシステムオブジェクトでは、作成者はこのプリンシパルの権限を自動的に継承します。 [e] POSIX ACL を使用する共有では、このプリンシパルの設定または削除には対応していません。 [f] 新規ファイルシステムオブジェクトの場合、作成者のプライマリーグループは、自動的にこのプリンシパルの権限を継承します。

手順

1. たとえば、Domain Users グループの全メンバーが、ユーザー アカウントのアクセスが拒否されている時に共有にアクセスできるようにするには、共有の設定に以下のパラメーターを追加します。

   Copy to Clipboard Toggle word wrap

   valid users = +DOMAIN\"Domain Users"
   invalid users = DOMAIN\user

   無効なユーザー パラメーターの優先度は、有効なユーザー パラメーターよりも高くなります。たとえば、ユーザー アカウントが Domain Users グループのメンバーである場合に上述の例を使用すると、このアカウントへのアクセスは拒否されます。

2. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. 以下のパラメーターを、/etc/samba/smb.conf ファイルの共有の設定に追加します。

   Copy to Clipboard Toggle word wrap

   hosts allow = 127.0.0.1 192.0.2.0/24 client1.example.com
   hosts deny = client2.example.com

   hosts deny パラメーターは、hosts allow よりも優先順位が高くなります。たとえば、client1.example.com が hosts allow パラメーターにリスト表示されている IP アドレスに解決すると、このホストへのアクセスは拒否されます。

2. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. たとえば、SeDiskOperatorPrivilege 特権を DOMAIN\Domain Admins グループに付与するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   # net rpc rights grant "DOMAIN\Domain Admins" SeDiskOperatorPrivilege -U "DOMAIN\administrator"
   Enter DOMAIN\administrator's password:
   Successfully granted rights.

   注記

   ドメイン環境では、SeDiskOperatorPrivilege をドメイングループに付与します。これにより、ユーザーのグループメンバーシップを更新し、権限を集中的に管理できます。

2. SeDiskOperatorPrivilege が付与されているすべてのユーザーおよびグループをリスト表示するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   # net rpc rights list privileges SeDiskOperatorPrivilege -U "DOMAIN\administrator"
   Enter administrator's password:
   SeDiskOperatorPrivilege:
     BUILTIN\Administrators
     DOMAIN\Domain Admins

手順

1. すべての共有に対してグローバルに有効にするには、次の設定を /etc/samba/smb.conf ファイルの [global] セクションに追加します。

   Copy to Clipboard Toggle word wrap

   vfs objects = acl_xattr
   map acl inherit = yes
   store dos attributes = yes

   または、共有のセクションに同じパラメーターを追加して、個別の共有に対して Windows ACL サポートを有効にできます。

2. smb サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl restart smb

手順

1. ディレクトリーが存在しない場合は作成します。以下に例を示します。

   Copy to Clipboard Toggle word wrap

   # mkdir -p /srv/samba/example/

2. SELinux を、enforcing モードで実行する場合は、そのディレクトリーに samba_share_t コンテキストを設定します。

   Copy to Clipboard Toggle word wrap

   # semanage fcontext -a -t samba_share_t "/srv/samba/example(/.)?"*
   # restorecon -Rv /srv/samba/example/

3. /etc/samba/smb.conf ファイルにサンプル共有を追加します。たとえば、共有の write-enabled を追加するには、次のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   [example]
   	path = /srv/samba/example/
   	read only = no

   注記

   ファイルシステムの ACL に関係なく、read only = no を設定しないと、Samba がディレクトリーを読み取り専用モードで共有します。

4. すべての共有の [global] セクションで Windows ACL サポートを有効にしていない場合は、以下のパラメーターを [example] セクションに追加して、この共有に対してこの機能を有効にします。

   Copy to Clipboard Toggle word wrap

   vfs objects = acl_xattr
   map acl inherit = yes
   store dos attributes = yes

5. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

6. firewall-cmd ユーティリティーを使用して必要なポートを開き、ファイアウォール設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # firewall-cmd --permanent --add-service=samba
   # firewall-cmd --reload

7. smb サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl restart smb

手順

1. ローカルの example グループが存在しない場合は作成します。

   Copy to Clipboard Toggle word wrap

   # groupadd example

2. ユーザー共有の定義を保存し、その権限を正しく設定するために、Samba 用のディレクトリーを準備します。以下に例を示します。

   1. ディレクトリーを作成します。

      Copy to Clipboard Toggle word wrap

      # mkdir -p /var/lib/samba/usershares/

   2. example グループの書き込み権限を設定します。

      Copy to Clipboard Toggle word wrap

      # chgrp example /var/lib/samba/usershares/
      # chmod 1770 /var/lib/samba/usershares/

   3. このディレクトリーの他のユーザーが保存したファイルの名前変更や削除を禁止するように sticky ビットを設定します。

3. /etc/samba/smb.conf ファイルを編集し、以下を [global] セクションに追加します。

   1. ユーザー共有の定義を保存するように設定したディレクトリーのパスを設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      usershare path = /var/lib/samba/usershares/

   2. このサーバーで Samba を作成できるユーザー共有の数を設定します。以下に例を示します。

      Copy to Clipboard Toggle word wrap

      usershare max shares = 100

      usershare max shares パラメーターにデフォルトの 0 を使用すると、ユーザー共有が無効になります。

   3. オプション: ディレクトリーの絶対パスのリストを設定します。たとえば、Samba が /data ディレクトリーおよび /srv ディレクトリーのサブディレクトリーの共有のみを許可するように設定するには、以下を設定します。

      Copy to Clipboard Toggle word wrap

      usershare prefix allow list = /data /srv

   設定可能なユーザー共有関連のパラメーターのリストは、システム上の smb.conf(5) man ページの USERSHARES セクションを参照してください。

4. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

5. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

   これで、ユーザーが、ユーザー共有を作成できるようになりました。

手順

1. 任意のユーザーが作成したすべてのユーザー共有を表示するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   $ net usershare info -l
   [share_1]
   path=/srv/samba/
   comment=
   usershare_acl=Everyone:R,host_name\user:F,
   guest_ok=y
   ...

   コマンドを実行するユーザーが作成した共有のみをリスト表示するには、-l パラメーターを省略します。

2. 特定の共有に関する情報のみを表示するには、共有名またはワイルドカードをコマンドに渡します。たとえば、名前が share_ で始まる共有の情報を表示する場合は、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   $ net usershare info -l share_* 

手順

1. 任意のユーザーが作成した共有をリスト表示するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   $ net usershare list -l
   share_1
   share_2
   ...

   コマンドを実行するユーザーが作成した共有のみをリスト表示するには、-l パラメーターを省略します。

2. 特定の共有のみをリスト表示するには、共有名またはワイルドカードをコマンドに渡します。たとえば、名前が share_ で始まる共有のみをリスト表示するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   $ net usershare list -l share_* 

手順

1. /etc/samba/smb.conf ファイルを編集します。

   1. これが、このサーバーで設定した最初のゲスト共有である場合は、以下を行います。

      1. [global] セクションに map to guest = Bad User を設定します。

         Copy to Clipboard Toggle word wrap

         [global]
                 ...
                 map to guest = Bad User

         この設定により、ユーザー名が存在しない限り、Samba は間違ったパスワードを使用したログイン試行を拒否します。指定したユーザー名がなく、ゲストアクセスが共有で有効になっている場合、Samba は接続をゲストのログインとして処理します。

      2. デフォルトでは、Samba は、Red Hat Enterprise Linux の nobody アカウントにゲストアカウントをマッピングします。または、別のアカウントを設定することもできます。以下に例を示します。

         Copy to Clipboard Toggle word wrap

         [global]
                 ...
                 guest account = user_name

         このパラメーターに設定するアカウントは、Samba サーバーにローカルに存在する必要があります。セキュリティー上の理由から、Red Hat は有効なシェルを割り当てていないアカウントを使用することを推奨しています。

   2. guest ok = yes の設定を、[example] 共有セクションに追加します。

      Copy to Clipboard Toggle word wrap

      [example]
              ...
              guest ok = yes

2. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

3. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. /etc/samba/smb.conf ファイルを編集し、[global] セクションの VFS モジュール fruit および streams_xattr を有効にします。

   Copy to Clipboard Toggle word wrap

   vfs objects = fruit streams_xattr

   重要

   streams_xattr を有効にする前に、fruit モジュールを有効にする必要があります。fruit モジュールは、別のデータストリーム (ADS) を使用します。このため、streams_xattr モジュールも有効にする必要があります。

2. オプション：共有で macOS Time Machine のサポートを提供するには、/etc/samba/smb.conf ファイルの共有設定に次の設定を追加します。

   Copy to Clipboard Toggle word wrap

   fruit:time machine = yes

3. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

4. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. 共有に接続します。

   Copy to Clipboard Toggle word wrap

   # smbclient -U "DOMAIN\user_name" //server_name/share_name

2. /example/ ディレクトリーに移動します。

   Copy to Clipboard Toggle word wrap

   smb: \> d /example/

3. ディレクトリー内のファイルをリスト表示します。

   Copy to Clipboard Toggle word wrap

   smb: \example\> ls
     .                    D         0  Thu Nov 1 10:00:00 2018
     ..                   D         0  Thu Nov 1 10:00:00 2018
     example.txt          N   1048576  Thu Nov 1 10:00:00 2018
   
            9950208 blocks of size 1024. 8247144 blocks available

4. example.txt ファイルをダウンロードします。

   Copy to Clipboard Toggle word wrap

   smb: \example\> get example.txt
   getting file \directory\subdirectory\example.txt of size 1048576 as example.txt (511975,0 KiloBytes/sec) (average 170666,7 KiloBytes/sec)

5. 共有から切断します。

   Copy to Clipboard Toggle word wrap

   smb: \example\> exit

手順

1. /etc/samba/smb.conf ファイルを編集します。

   1. [printers] セクションを追加して、Samba で印刷バックエンドを有効にします。

      Copy to Clipboard Toggle word wrap

      [printers]
              comment = All Printers
              path = /var/tmp/
              printable = yes
              create mask = 0600

      重要

      [printers] 共有名はハードコーディングされており、変更はできません。

   2. CUPS サーバーが別のホストまたはポートで実行されている場合は、[printers] セクションで設定を指定します。

      Copy to Clipboard Toggle word wrap

      cups server = printserver.example.com:631

   3. 多数のプリンターがある場合は、待機秒数を CUPS に接続されているプリンターの数よりも大きい値に設定します。たとえば、100 台のプリンターがある場合は、[global] セクションに次のように設定します。

      Copy to Clipboard Toggle word wrap

      rpcd_spoolss:idle_seconds = 200

      この設定が環境内でスケーリングされない場合は、[global] セクションで rpcd_spoolss ワーカーの数も増やします。

      Copy to Clipboard Toggle word wrap

      rpcd_spoolss:num_workers = 10

      デフォルトでは、rpcd_spoolss は 5 つのワーカーを開始します。

2. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

3. firewall-cmd ユーティリティーを使用して必要なポートを開き、ファイアウォール設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # firewall-cmd --permanent --add-service=samba
   # firewall-cmd --reload

4. smb サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl restart smb

   サービスを再起動すると、Samba は CUPS バックエンドに設定したすべてのプリンターを自動的に共有します。特定のプリンターのみを手動で共有する場合は、特定のプリンターの手動共有 を参照してください。

手順

1. /etc/samba/smb.conf ファイルを編集します。

   1. [global] セクションで、以下の設定で自動プリンター共有を無効にします。

      Copy to Clipboard Toggle word wrap

      load printers = no

   2. 共有するプリンターごとにセクションを追加します。たとえば、Samba で CUPS バックエンドで example という名前のプリンターを Example-Printer として共有するには、以下のセクションを追加します。

      Copy to Clipboard Toggle word wrap

      [Example-Printer]
              path = /var/tmp/
              printable = yes
              printer name = example

      各プリンターに個別のスプールディレクトリーは必要ありません。[printers] セクションに設定したのと同じ spool ディレクトリーを、プリンターの path パラメーターに設定できます。

2. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

3. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. たとえば、SePrintOperatorPrivilege 権限を printadmin グループに付与するには、以下のコマンドを実行します。

   Copy to Clipboard Toggle word wrap

   # net rpc rights grant "printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
   Enter DOMAIN\administrator's password:
   Successfully granted rights.

   注記

   ドメイン環境では、SePrintOperatorPrivilege をドメイングループに付与します。これにより、ユーザーのグループメンバーシップを更新し、権限を集中的に管理できます。

2. SePrintOperatorPrivilege が付与されているユーザーとグループのリストを表示するには、以下を実行します。

   Copy to Clipboard Toggle word wrap

   # net rpc rights list privileges SePrintOperatorPrivilege -U "DOMAIN\administrator"
   Enter administrator's password:
   SePrintOperatorPrivilege:
     BUILTIN\Administrators
     DOMAIN\printadmin

手順

1. [print$] セクションを /etc/samba/smb.conf ファイルに追加します。

   Copy to Clipboard Toggle word wrap

   [print$]
           path = /var/lib/samba/drivers/
           read only = no
           write list = @printadmin
           force group = @printadmin
           create mask = 0664
           directory mask = 2775

   以下の設定を使用します。

   • printadmin グループのメンバーだけがプリンタードライバーを共有にアップロードできます。
   • 新規に作成されたファイルおよびディレクトリーのグループは printadmin に設定されます。
   • 新規ファイルの権限は 664 に設定されます。
   • 新しいディレクトリーの権限は、2775 に設定されます。

2. 全プリンター向けに 64 ビットドライバーのみをアップロードするには、/etc/samba/smb.conf ファイルの [global] セクションに以下の設定を含めます。

   Copy to Clipboard Toggle word wrap

   spoolss: architecture = Windows x64

   この設定がないと、少なくとも 32 ビットバージョンでアップロードしたドライバーのみが表示されます。

3. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

4. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

5. printadmin グループが存在しない場合は作成します。

   Copy to Clipboard Toggle word wrap

   # groupadd printadmin

6. SePrintOperatorPrivilege 権限を、printadmin グループに付与します。

   Copy to Clipboard Toggle word wrap

   # net rpc rights grant "printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
   Enter DOMAIN\administrator's password:
   Successfully granted rights.

7. SELinux を、enforcing モードで実行する場合は、そのディレクトリーに samba_share_t コンテキストを設定します。

   Copy to Clipboard Toggle word wrap

   # semanage fcontext -a -t samba_share_t "/var/lib/samba/drivers(/.*)?"
   
   # restorecon -Rv /var/lib/samba/drivers/

8. /var/lib/samba/drivers/ ディレクトリーに権限を設定します。

   • POSIX ACL を使用する場合は、以下を設定します。

     Copy to Clipboard Toggle word wrap

     # chgrp -R "printadmin" /var/lib/samba/drivers/
     # chmod -R 2775 /var/lib/samba/drivers/

   • Windows ACL を使用する場合は、以下を設定します。

     プリンシパル	アクセス	適用先
     CREATOR OWNER	完全な制御	サブフォルダーおよびファイルのみ
     認証されたユーザー	読み取りおよび実行、フォルダーのコンテンツのリスト表示、読み取り	このフォルダー、サブフォルダー、およびファイル
     printadmin	完全な制御	このフォルダー、サブフォルダー、およびファイル

     Windows での ACL の設定に関する詳細は、Windows のドキュメントを参照してください。

手順

1. AD ドメインの 管理者 ユーザーなど、グループポリシーの編集が可能なアカウントを使用して、Windows コンピューターにログインします。
2. Group Policy Management Console を開きます。

3. AD ドメインを右クリックし、Create a GPO in this domain, and Link it here を選択します。

   
4. Legacy Printer Driver Policy などの GPO の名前を入力して、OK をクリックします。新しい GPO がドメインエントリーの下に表示されます。
5. 新たに作成した GPO を右クリックして Edit を選択し、Group Policy Management Editor を開きます。

6. Computer Configuration → Policies → Administrative Templates → Printers の順にクリックします。

   

7. ウィンドウの右側で、Point and Print Restriction をダブルクリックして、ポリシーを編集します。

   1. ポリシーを有効にし、以下のオプションを設定します。

      1. Users can only point and print to these servers を選択し、このオプションの横にあるフィールドに、Samba プリントサーバーの完全修飾ドメイン名 (FQDN) を入力します。

      2. Security Prompts の両チェックボックスで、Do not show warning or elevation prompt を選択します。

         
   2. OK をクリックします。

8. Package Point and Print - Approved servers をダブルクリックして、ポリシーを編集します。

   1. ポリシーを有効にして、Show ボタンをクリックします。

   2. Samba プリントサーバーの FQDN を入力します。

      
   3. OK をクリックして、Show Contents ウィンドウとポリシーのプロパティーウィンドウの両方を閉じます。
9. Group Policy Management Editor を閉じます。
10. Group Policy Management Console を閉じます。

手順

1. RHEL で FIPS モードを有効にします。

   Copy to Clipboard Toggle word wrap

   # fips-mode-setup --enable

2. サーバーを再起動します。

   Copy to Clipboard Toggle word wrap

   # reboot

3. testparm ユーティリティーを使用して、設定を確認します。

   Copy to Clipboard Toggle word wrap

   # testparm -s

   コマンドがエラーや非互換性を表示する場合は、Samba が正常に機能するように修正してください。

手順

1. /etc/samba/smb.conf ファイルの [global] セクションから、server max protocol パラメーターを削除します。

2. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. 共有の全ファイルの名前を小文字に変更します。

   注記

   この手順の設定を使用すると、小文字以外の名前が付けられたファイルは表示されなくなります。

2. 共有のセクションに、以下のパラメーターを設定します。

   Copy to Clipboard Toggle word wrap

   case sensitive = true
   default case = lower
   preserve case = no
   short preserve case = no

   パラメーターの詳細は、システム上の smb.conf(5) man ページの説明を参照してください。

3. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

4. Samba 設定を再読み込みします。

   Copy to Clipboard Toggle word wrap

   # smbcontrol all reload-config

手順

1. /etc/samba/smb.conf ファイルを編集し、server min protocol パラメーターを追加して、そのサーバーが対応する最小 SMB プロトコルバージョンに設定できます。たとえば、最小の SMB プロトコルバージョンを SMB3 に設定するには、以下を追加します。

   Copy to Clipboard Toggle word wrap

   server min protocol = SMB3

2. smb サービスを再起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl restart smb

手順

1. 以下の設定で /etc/samba/smb.conf ファイルを手動で作成します。

   • AD ドメインメンバーの場合:

     Copy to Clipboard Toggle word wrap

     [global]
     workgroup = domain_name
     security = ads
     passdb backend = tdbsam
     realm = AD_REALM

   • NT4 ドメインメンバーの場合:

     Copy to Clipboard Toggle word wrap

     [global]
     workgroup = domain_name
     security = user
     passdb backend = tdbsam

2. /etc/samba/smb.conf ファイルの [global] セクションに、* デフォルトドメインおよび参加するドメイン用の ID マッピング設定を追加します。

3. /etc/samba/smb.conf ファイルを検証します。

   Copy to Clipboard Toggle word wrap

   # testparm

4. ドメイン管理者としてドメインに参加します。

   • AD ドメインに参加するには、以下のコマンドを実行します。

     Copy to Clipboard Toggle word wrap

     # net ads join -U "DOMAIN\administrator"

   • NT4 ドメインに参加するには、以下のコマンドを実行します。

     Copy to Clipboard Toggle word wrap

     # net rpc join -U "DOMAIN\administrator"

5. /etc/nsswitch.conf ファイルのデータベースエントリー passwd および group に winbind ソースを追加します。

   Copy to Clipboard Toggle word wrap

   passwd:     files winbind
   group:      files winbind

6. winbind サービスを有効にして起動します。

   Copy to Clipboard Toggle word wrap

   # systemctl enable --now winbind

7. オプション: authselect ユーティリティーを使用して PAM を設定します。

   詳細は、システム上の authselect(8) man ページを参照してください。

8. オプション: AD 環境では、必要に応じて Kerberos クライアントを設定します。

   詳細は、Kerberos クライアントのドキュメントを参照してください。

1. 以下のアカウントを追加します。

   Copy to Clipboard Toggle word wrap

   # net user add user password -U "DOMAIN\administrator"
   User user added

2. オプション: リモートプロシージャコール (RPC) シェルを使用して、AD DC または NT4 PDC でアカウントを有効にします。以下に例を示します。

   Copy to Clipboard Toggle word wrap

   # net rpc shell -U DOMAIN\administrator -S DC_or_PDC_name
   Talking to domain DOMAIN (S-1-5-21-1424831554-512457234-5642315751)
   
   net rpc> user edit disabled user: no
   Set user's disabled flag from [yes] to [no]
   
   net rpc> exit

手順

1. ユーザーとしてコマンドを実行すると、smbpasswd はコマンドを実行するユーザーの Samba パスワードを変更します。以下に例を示します。

   Copy to Clipboard Toggle word wrap

   [user@server ~]$ smbpasswd
   New SMB password: password
   Retype new SMB password: password

2. root で smbpasswd を実行すると、たとえば以下のようにユーティリティーを使用できます。

   • 新しいユーザーを作成します。

     Copy to Clipboard Toggle word wrap

     [root@server ~]# smbpasswd -a user_name
     New SMB password: password
     Retype new SMB password: password
     Added user user_name.

     注記

     Samba データベースにユーザーを追加する前に、ローカルのオペレーティングシステムにアカウントを作成する必要があります。基本的なシステム設定の設定の コマンドラインでの新規ユーザーの追加 セクションを参照してください。

   • Samba ユーザーを有効にします。

     Copy to Clipboard Toggle word wrap

     [root@server ~]# smbpasswd -e user_name
     Enabled user user_name.

   • Samba ユーザーを無効にします。

     Copy to Clipboard Toggle word wrap

     [root@server ~]# smbpasswd -x user_name
     Disabled user user_name

   • ユーザーを削除します。

     Copy to Clipboard Toggle word wrap

     [root@server ~]# smbpasswd -x user_name
     Deleted user user_name.