3.4. Winbind

Winbind をシステムに ID ストアとして設定する前に、Samba を設定する必要があります。Samba サーバーはユーザーアカウント用にセットアップするか、バックエンドの ID ストアとして Active Directory を使用するように設定する必要があります。
Samba の設定については、 Samba project documentation で説明されています。Samba を Active Directory との統合ポイントとして設定する方法については、『Red Hat Enterprise Linux Windows 統合ガイド』で説明しています。

3.4.1. authconfig GUI での Winbind の有効化

  1. samba-winbind パッケージをインストールします。これは、Samba サービスの Windows 統合機能に必要なものですが、デフォルトではインストールされていません。 
    [root@server ~]# yum install samba-winbind
  2. authconfig UI を開きます。 
    [root2server ~]# authconfig-gtk
  3. 識別と認証 タブの ユーザーアカウントデータベース ドロップダウンメニューで Winbind を選択します。
  4. Microsoft Active Directory ドメインコントローラーへ接続するために必要な情報を設定します。
    • Winbind ドメイン には、接続先の Windows ドメインを入力します。
      これは、DOMAIN のような Windows 2000 形式にします。
    • セキュリティーモデル では、Samba クライアントに使用するセキュリティーモデルを設定します。authconfig は、以下の 4 つのタイプのセキュリティーモデルをサポートしています。
      • ads は、Samba が Active Directory Server (ADS) レルムのドメインメンバーとして機能するよう設定します。このモードで操作するには、krb5-server パッケージがインストールされ、Kerberos が適切に設定されている必要があります。
      • domain では、Windows サーバーと同様に Windows のプライマリーまたはバックアップドメインコントローラーがユーザー名およびパスワードを認証することで、Samba が検証します。
      • server では、別のサーバー (例: Windows Server) で認証することにより、ローカルの Samba サーバーがユーザー名およびパスワードを確認します。サーバー認証に失敗した場合には、システムは user モードで認証を試みます。
      • user では、クライアントが有効なユーザー名とパスワードでログインする必要があります。このモードは暗号化されたパスワードをサポートします。
        ユーザー名の形式は、EXAMPLE\jsmith のように ドメイン\ユーザー とする必要があります。

        注記

        任意のユーザーが Windows ドメイン内に存在することを検証する際は、常に domain\user_name の形式を使用して、バックスラッシュ文字 (\) でエスケープします。以下に例を示します。 
        [root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
        以下はデフォルトのオプションになります。
    • Winbind ADS レルム には、Samba サーバーが参加する Active Directory レルムを入力します。これは ads セキュリティーモデルの場合にのみ、使用されます。
    • Winbind ドメインコントローラー には、システム登録に使用するドメインコントローラーのホスト名または IP アドレスを入力します。
    • テンプレートシェル では、Windows のユーザーアカウント設定に使用するログインシェルを設定します。
    • オフラインログインを許可 は、ローカルキャッシュでの認証情報の保存を許可します。システムがオフラインの時にユーザーがシステムリソースに認証を試みると、キャッシュが参照されます。

3.4.2. コマンドラインでの Winbind の有効化

Windows のドメインには複数の異なるセキュリティーモデルがあり、ドメインで使用されるセキュリティーモデルがローカルシステムの認証設定を決定します。ユーザーとサーバーのセキュリティーモデルでは、Winbind 設定で必要となるのはドメイン (またはワークグループ) の名前とドメインコントローラーのホスト名のみです。
--winbindjoin パラメーターは Active Directory ドメイン接続に使用するユーザーを設定し、--enablelocalauthorize は ローカルの承認操作で /etc/passwd ファイルを確認するよう設定します。
authconfig コマンドの実行後に、Active Directory ドメインに参加します。 
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity=user|server  --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --update --enablelocauthorize --winbindjoin=admin
[root@server ~]# net join ads

注記

ユーザー名の形式は、EXAMPLE\jsmith のように ドメイン\ユーザー とする必要があります。
任意のユーザーが Windows ドメイン内に存在することを検証する際は、常に domain\user の形式を使い、バックスラッシュ文字 (\) でエスケープします。以下に例を示します。 
[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
ads と domain ドメインのセキュリティーモデルでは、Winbind 設定はテンプレートシェルとレルム (ads のみ) の追加設定を許可します。例を示します。 
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity ads  --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --smbrealm EXAMPLE.COM --winbindtemplateshell=/bin/sh --update
Windows ベースの認証と Windows ユーザーアカウント情報の設定では、名前形式、ドメイン名をユーザー名と一緒に要求するかどうか、UID の範囲など、数多くの他のオプションがあります。これらのオプションは authconfig ヘルプ内に記載されています。