Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.4. winbind

Samba は、Winbind をシステムのアイデンティティーストアとして設定する前に設定する必要があります。Samba サーバーは、ユーザーアカウント用に設定し、使用する必要があり、Samba が Active Directory をバックエンドアイデンティティーストアとして使用するように設定する必要があります。

3.4.1. authconfig GUI で Winbind の有効化

  1. samba-winbind パッケージをインストールします。これは、Samba サービスの Windows 統合機能に必要ですが、デフォルトではインストールされていません。
    [root@server ~]# yum install samba-winbind
  2. authconfig UI を開きます。
    [root2server ~]# authconfig-gtk
  3. Identity & Authentication タブで、ユーザーアカウントの Database ドロップダウンメニューで Winbind を選択します。
  4. Microsoft Active Directory ドメインコントローラーへの接続に必要な情報を設定します。
    • winbind ドメインは、接続する Windows ドメインを提供します。
      これは、DOMAIN などの Windows 2000 形式である必要があります。
    • セキュリティーモデル は、Samba クライアントに使用するセキュリティーモデルを設定しますauthconfig は、4 種類のセキュリティーモデルをサポートします。
      • ads は、Samba が Active Directory Server レルムでドメインメンバーとして機能するように設定します。このモードで操作するには、krb5-server パッケージがインストールされ、Kerberos を適切に設定する必要があります。
      • ドメインには、Windows サーバーと同様に Windows のプライマリーまたはバックアップドメインコントローラーで認証することで、Samba がユーザー名とパスワードを検証します。
      • サーバーに、Windows サーバーなどの別のサーバーで認証することで、ローカルの Samba サーバーによってユーザー名とパスワードを検証します。サーバー認証を試みると、システムはユーザーモードを使用した認証を試行します
      • ユーザーは、有効なユーザー名とパスワードでログインする必要があります。このモードは、暗号化されたパスワードに対応します。
        ユーザー名の形式は domain\user (例: EXAMPLE\jsmith )である必要があります。
        注記
        指定したユーザーが Windows ドメインに存在することを確認する場合は、必ず domain\user_name 形式を使用し、バックスラッシュ(\)文字をエスケープします。以下に例を示します。
        [root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
        これはデフォルトのオプションです。
    • winbind ADS レルムは、Samba サーバーが参加する Active Directory レルムを提供します。これは ads セキュリティーモデルとのみ使用されます。
    • winbind ドメインコントローラーは、システムの登録に使用するドメインコントローラーのホスト名または IP アドレスを提供します。
    • Template Shell は、Windows ユーザーアカウント設定に使用するログインシェルを設定します。
    • オフラインログインを使用すると、認証情報をローカルキャッシュに格納できます。このキャッシュは、システムがオフライン時にシステムリソースへの認証を試みると参照されます。

3.4.2. コマンドラインで Winbind の有効化

Windows ドメインには複数の異なるセキュリティーモデルがあり、ドメインで使用されるセキュリティーモデルにより、ローカルシステムの認証設定が決まります。ユーザーおよびサーバーのセキュリティーモデルの場合、Winbind 設定には、ドメイン名(またはワークグループ)のホスト名とドメインコントローラーのホスト名のみが必要になります。
--winbindjoin パラメーターは、Active Directory ドメインへの接続に使用するユーザーを設定します。また、--enablelocalauthorize は、/etc/passwd ファイルを確認するローカル認証操作を設定します。
authconfig コマンドを実行すると、Active Directory ドメインに参加します。
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity=user|server  --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --update --enablelocauthorize --winbindjoin=admin
[root@server ~]# net join ads
注記
ユーザー名の形式は domain\user (例: EXAMPLE\jsmith )である必要があります。
指定のユーザーが Windows ドメインに存在することを確認する場合は、必ず domain\user 形式を使用し、バックスラッシュ(\)をエスケープしてください。以下に例を示します。
[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash
ads および domain セキュリティーモデルの場合、Winbind 設定により、テンプレートシェルおよびレルムの追加設定(ads のみ)が可能になります。以下に例を示します。
[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity ads  --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --smbrealm EXAMPLE.COM --winbindtemplateshell=/bin/sh --update
Windows ベースの認証や Windows ユーザーアカウントの情報(ユーザー名、ユーザー名、UID 範囲でドメイン名を必要とするかどうかなど)には、多数あります。これらのオプションは authconfig のヘルプに一覧表示されます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。