第3章 Samba をサーバーとして使用
Samba は、Red Hat Enterprise Linux にサーバーメッセージブロック (SMB) プロトコルを実装します。SMB プロトコルは、ファイル共有、共有プリンターなど、サーバーのリソースにアクセスするのに使用されます。また、Samba は、Microsoft Windows が使用する分散コンピューティング環境のリモートプロシージャコール (DCE RPC) のプロトコルを実装します。
Samba は以下のように実行できます。
- Active Directory (AD) または NT4 ドメインメンバー
- スタンドアロンサーバー
NT4 プライマリドメインコントローラー (PDC) またはバックアップドメインコントローラー (BDC)
注記Red Hat は、NT4 ドメインに対応する Windows バージョンの既存のインストールでのみ、PDC モードおよび BDC モードをサポートします。Red Hat では、新しい Samba NT4 ドメインを設定しないことを推奨します。これは、Windows 7 および Windows Server 2008 R2 以降の Microsoft オペレーティングシステムが NT4 ドメインに対応していないためです。
Red Hat は、Samba を AD ドメインコントローラー (DC) として実行することはサポートしていません。
インストールモードとは関係なく、必要に応じてディレクトリーやプリンターを共有できます。これにより、Samba がファイルサーバーおよびプリントサーバーとして機能できるようになります。
3.1. さまざまな Samba サービスおよびモードについて
本セクションでは、Samba に含まれる各種サービスと設定可能なさまざまなモードを説明します。
3.1.1. Samba サービス
Samba は以下のサービスを提供します。
smbd
このサービスは、SMB プロトコルを使用してファイル共有およびプリントサービスを提供します。また、サービスは、リソースのロックと、接続ユーザーの認証を担当します。
smb
systemd
サービスが起動し、smbd
デーモンが停止します。smbd
サービスを使用するには、samba
パッケージをインストールします。nmbd
このサービスは、NetBIOS over IPv4 プロトコルを使用してホスト名および IP 解決を提供します。名前解決に加え、
nmbd
サービスで SMB ネットワークを参照して、ドメイン、作業グループ、ホスト、ファイル共有、およびプリンターを探すことができます。このため、サービスはこの情報をブロードキャストクライアントに直接報告するか、ローカルまたはマスターのブラウザーに転送します。nmb
systemd
サービスは、nmbd
デーモンを起動し、停止します。最近の SMB ネットワークは、クライアントおよび IP アドレスの解決に DNS を使用することに注意してください。
nmbd
サービスを使用するには、samba
パッケージをインストールします。winbindd
このサービスは、ローカルシステムの AD または NT4 のドメインユーザーおよびグループを使用する Name Service Switch (NSS) のインターフェースを提供します。これにより、たとえばドメインユーザーを、Samba サーバーにホストされるサービスや他のローカルサービスに認証できます。
winbind
systemd
サービスは、winbindd
デーモンを開始および停止します。Samba をドメインメンバーとして設定する場合は、
smbd
サービスの前にwinbindd
を起動する必要があります。そうしないと、ドメインユーザーおよびグループはローカルシステムで使用できなくなります。winbindd
サービスを使用するには、samba-winbind
パッケージをインストールします。重要Red Hat は、ドメインユーザーおよびグループをローカルシステムに提供するために、Samba を、
winbindd
サービスを使用するサーバーとして実行することのみをサポートします。Windows アクセス制御リスト (ACL) のサポート、NT LAN Manager (NTLM) のフォールバックがないなど、特定の制限により、SSSD に対応しません。
3.1.2. Samba セキュリティーサービス
/etc/samba/smb.conf
ファイルの [global]
セクションの security
パラメーターは、Samba がサービスに接続しているユーザーを認証する方法を管理します。Samba をインストールするモードに応じて、パラメーターは異なる値に設定する必要があります。
- AD ドメインメンバーに、
security = ads
を設定する。 このモードでは、Samba は Kerberos を使用して AD ユーザーを認証します。
Samba をドメインメンバーとして設定する方法は、「Samba を AD ドメインメンバーサーバーとして設定」を参照してください。
- スタンドアロンサーバーで、
security = user
を設定する。 このモードでは、Samba がローカルデータベースを使用して接続ユーザーを認証します。
Samba をスタンドアロンサーバーとして設定する方法は、「Samba をスタンドアロンサーバーとして設定」を参照してください。
- NT4 PDC または BDC に
security = user
を設定する。 - Samba は、このモードでは、ユーザーをローカルまたは LDAP データベースに認証します。
- NT4 ドメインメンバーで、
security = domain
を設定する。 Samba は、このモードでは、NT4 PDC または BDC にユーザーを接続する認証を行います。このモードは、AD ドメインメンバーには使用できません。
Samba をドメインメンバーとして設定する方法は、「Samba を AD ドメインメンバーサーバーとして設定」を参照してください。
関連情報
-
smb.conf(5)
の man ページで、security
パラメーターの説明を参照してください。
3.1.3. Samba サービスおよび Samba クライアントユーティリティーが設定を読み込み、再読み込みするシナリオ
以下は、Samba サービスおよびユーティリティーによる設定の読み込み、再読み込み時について説明します。
Samba サービスは、設定を再読み込みする時:
- 3 分ごとに自動更新
-
手動要求の場合に
smbcontrol all reload-config
コマンドを実行するとします。
- Samba クライアントユーティリティーは、起動時にのみ設定を読み取ります。
security
などの特定のパラメーターの適用には、smb
サービスの再起動が必要です。再読み込みだけでは十分ではないことに注意してください。
関連情報
-
smb.conf(5)
man ページの「How configuration changes are apply
」セクション -
smbd(8)
、nmbd(8)
、およびwinbindd(8)
man ページ
3.1.4. 同じ方法での Samba 設定の編集
Samba サービスは、3 分ごとに設定を自動的に再読み込みします。この手順では、testparm
ユーティリティーでの設定の検証前に、サービスが変更を再読み込みしないように Samba 設定を編集する方法を説明します。
前提条件
- Samba がインストールされている。
手順
/etc/samba/smb.conf
ファイルのコピーを作成します。#
cp /etc/samba/smb.conf /etc/samba/samba.conf.copy
- コピーして作成したファイルを編集し、必要な変更を加えます。
/etc/samba/samba.conf.copy
ファイルの設定を確認します。#
testparm -s /etc/samba/samba.conf.copy
testparm
がエラーを報告した場合は、修正してもう一度コマンドを実行します。/etc/samba/smb.conf
ファイルを新しい設定に上書きします。#
mv /etc/samba/samba.conf.copy
/etc/samba/smb.confSamba サービスが設定を自動的に再読み込みするか、または手動で設定を再読み込みするまで待ちます。
#
smbcontrol all reload-config
3.2. Samba 設定の確認
Red Hat は、/etc/samba/smb.conf
ファイルを更新するたびに Samba 設定を確認することを推奨します。本セクションでは、その詳細を説明します。
3.2.1. testparm ユーティリティーを使用した smb.conf ファイルの検証
testparm
ユーティリティーは、/etc/samba/smb.conf
ファイルの Samba 設定が正しいことを確認します。このユーティリティーは、無効なパラメーターおよび値を検出しますが、ID マッピングなどの間違った設定も検出します。testparm
が問題を報告しないと、Samba サービスは /etc/samba/smb.conf
ファイルを正常に読み込みます。testparm
は、設定されたサービスが利用可能であること、または期待通りに機能するかを確認できないことに注意してください。
Red Hat では、このファイルの変更後に毎回 testparm
を使用して、/etc/samba/smb.conf
ファイルを検証することが推奨されます。
前提条件
- Samba をインストールしている。
-
/etc/samba/smb.conf
ファイルが存在する。
手順
root
ユーザーでtestparm
ユーティリティーを実行します。#
testparm
Load smb config files from /etc/samba/smb.conf rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) Unknown parameter encountered: "log levell" Processing section "[example_share]" Loaded services file OK. ERROR: The idmap range for the domain * (tdb) overlaps with the range of DOMAIN (ad)! Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions # Global parameters [global] ... [example_share] ...上記の出力例では、存在しないパラメーターと間違った ID マッピングの設定が報告されます。
-
testparm
が設定内の間違ったパラメーター、値、またはその他のエラーを報告する場合は、問題を修正してから再度ユーティリティーを実行してください。
3.3. Samba をスタンドアロンサーバーとして設定
Samba は、ドメインのメンバーではないサーバーとして設定できます。このインストールモードでは、Samba はユーザーを中央 DC ではなくローカルデータベースに認証します。また、ゲストアクセスを有効にして、ユーザーが、認証なしで 1 つまたは複数のサービスに接続できるようにすることもできます。
3.3.1. スタンドアロンサーバーのサーバー構成の設定
本セクションでは、Samba スタンドアロンサーバーにサーバー構成を設定する方法を説明します。
手順
samba
パッケージをインストールします。#
yum install samba
/etc/samba/smb.conf
ファイルを編集して、以下のパラメーターを設定します。[global] workgroup = Example-WG netbios name = Server security = user log file = /var/log/samba/%m.log log level = 1
この構成では、
Example-WG
ワークグループに、スタンドアロンサーバー (Server
) を定義します。また、この設定により最小レベル (1
) でのログ記録が可能になり、ログファイルは/var/log/samba/
ディレクトリーに保存されます。Samba は、log file
パラメーターの%m
マクロを、接続しているクライアントの NetBIOS 名まで展開します。これにより、クライアントごとに個別のログファイルが有効になります。オプションで、ファイルまたはプリンターの共有を構成します。以下を参照してください。
/etc/samba/smb.conf
ファイルを検証します。#
testparm
認証が必要な共有を設定する場合は、ユーザーアカウントを作成します。
詳細は 「ローカルユーザーアカウントの作成および有効化」 を参照してください。
firewall-cmd
ユーティリティーを使用して必要なポートを開き、ファイアウォール設定を再読み込みします。#
firewall-cmd --permanent --add-port={139/tcp,445/tcp}
#firewall-cmd --reload
smb
サービスを有効にして起動します。#
systemctl enable --now smb
関連情報
-
この手順で使用するパラメーターの詳細は、
smb.conf(5)
の man ページでパラメーターの説明を参照してください。
3.3.2. ローカルユーザーアカウントの作成および有効化
共有への接続時にユーザーが認証を行えるようにするには、オペレーティングシステムと Samba データベースの両方で Samba ホストにアカウントを作成する必要があります。Samba では、ファイルシステムオブジェクトでアクセス制御リスト (ACL) を検証するオペレーティングシステムアカウントと、接続ユーザーの認証を行う Samba アカウントが必要です。
passdb backend = tdbsam
のデフォルト設定を使用すると、Samba はユーザーアカウントを /var/lib/samba/private/passdb.tdb
データベースに保存します。
このセクションの手順では、ローカル Samba ユーザー (example
) を作成する方法を説明します。
前提条件
- Samba が、スタンドアロンサーバーとしてインストールされている。
手順
オペレーティングシステムアカウントを作成します。
#
useradd -M -s /sbin/nologin example
このコマンドは、ホームディレクトリーを作成せずに、
example
アカウントを追加します。アカウントが Samba への認証のみに使用される場合は、/sbin/nologin
コマンドをシェルとして割り当て、アカウントがローカルでログインしないようにします。オペレーティングシステムのアカウントにパスワードを設定して、これを有効にします。
#
passwd example
Enter new UNIX password:password
Retype new UNIX password:password
passwd: password updated successfullySamba は、オペレーティングシステムのアカウントに設定されたパスワードを使用して認証を行いません。ただし、アカウントを有効にするには、パスワードを設定する必要があります。アカウントが無効になると、そのユーザーが接続した時に Samba がアクセスを拒否します。
Samba データベースにユーザーを追加し、そのアカウントにパスワードを設定します。
#
smbpasswd -a example
New SMB password:password
Retype new SMB password:password
Added user example.このアカウントを使用して Samba 共有に接続する場合に、このパスワードを使用して認証を行います。
Samba アカウントを有効にします。
#
smbpasswd -e example
Enabled user example.
3.4. Samba ID マッピングの理解および設定
Windows ドメインは、ユーザーおよびグループを一意のセキュリティ識別子 (SID) で区別します。ただし、Linux では、ユーザーおよびグループごとに一意の UID と GID が必要です。Samba をドメインメンバーとして実行する場合は、winbindd
サービスが、ドメインユーザーおよびグループに関する情報をオペレーティングシステムに提供します。
winbindd
サービスが、ユーザーおよびグループの一意の ID を Linux に提供するようにするには、/etc/samba/smb.conf
ファイルで ID マッピングを設定する必要があります。
- ローカルデータベース (デフォルトドメイン)
- Samba サーバーがメンバーになっている AD または NT4 のドメイン
- ユーザーがこの Samba サーバーのリソースにアクセスする必要のある信頼ドメイン
Samba は、特定の設定に対して異なる ID マッピングバックエンドを提供します。最も頻繁に使用されるバックエンドは、以下の通りです。
バックエンド | ユースケース |
---|---|
|
|
| AD ドメインのみ |
| AD ドメインおよび NT4 ドメイン |
|
AD、NT4、および |
3.4.1. Samba ID 範囲の計画
Linux の UID および GID を AD に保存するか、Samba がそれを生成するように設定するかに関係なく、各ドメイン設定には、他のドメインと重複しない一意の ID 範囲が必要です。
重複する ID 範囲を設定すると、Samba が正常に機能しなくなります。
例3.1 一意の ID 範囲
以下は、デフォルト (*
)、AD-DOM
、および TRUST-DOM
のドメインの非オーバーランディングの ID マッピング範囲を示しています。
[global] ... idmap config * : backend = tdb idmap config * : range = 10000-999999 idmap config AD-DOM:backend = rid idmap config AD-DOM:range = 2000000-2999999 idmap config TRUST-DOM:backend = rid idmap config TRUST-DOM:range = 4000000-4999999
1 つのドメインに割り当てられるのは 1 つの範囲だけです。したがって、ドメイン範囲間で十分な容量を残しておきます。これにより、ドメインが拡大した場合に、後で範囲を拡張できます。
後で別の範囲をドメインに割り当てると、このユーザーおよびグループが作成したファイルおよびディレクトリーの所有権が失われます。
3.4.2. * デフォルトドメイン
ドメイン環境では、以下の各 ID マッピング設定を追加します。
- Samba サーバーがメンバーとなっているドメイン
- Samba サーバーにアクセスできる信頼された各ドメイン
ただし、Samba が、その他のすべてのオブジェクトに、デフォルトドメインから ID を割り当てます。これには以下が含まれます。
- ローカルの Samba ユーザーおよびグループ
-
Samba の組み込みアカウントおよびグループ (
BUILTIN\Administrators
など)
Samba が正常に機能できるようにするには、このセクションで説明されているデフォルトのドメインを設定する必要があります。
割り当てられた ID を永続的に格納するには、デフォルトのドメインバックエンドを書き込み可能にする必要があります。
デフォルトドメインには、以下のいずれかのバックエンドを使用できます。
tdb
デフォルトのドメインを、
tdb
バックエンドを使用するように設定する場合は、ID 範囲を設定します。この ID 範囲には、将来作成されるオブジェクトや、定義されたドメイン ID マッピング設定には含まれないオブジェクトを追加できます。たとえば、
/etc/samba/smb.conf
ファイルの[global]
セクションで以下を設定します。idmap config * : backend = tdb idmap config * : range = 10000-999999
詳細は 「tdb ID マッピングバックエンドの使用」 を参照してください。
autorid
autorid
バックエンドを使用するように、デフォルトのドメインを設定する場合、ドメイン用の ID マッピング設定を追加するかどうかは任意になります。たとえば、
/etc/samba/smb.conf
ファイルの[global]
セクションで以下を設定します。idmap config * : backend = autorid idmap config * : range = 10000-999999
詳細は 「autorid ID マッピングバックエンドの使用」 を参照してください。
3.4.3. tdb ID マッピングバックエンドの使用
winbindd
サービスは、デフォルトで書き込み可能な tdb
ID マッピングバックエンドを使用して、セキュリティー識別子 (SID)、UID、および GID のマッピングテーブルを格納します。これには、ローカルユーザー、グループ、組み込みプリンシパルが含まれます。
このバックエンドは、*
デフォルトドメインにのみ使用してください。以下に例を示します。
idmap config * : backend = tdb idmap config * : range = 10000-999999
関連情報
3.4.4. ad ID マッピングバックエンドの使用
本セクションでは、ad
ID マッピングバックエンドを使用するように Samba AD メンバーを設定する方法を説明します。
ad
ID マッピングバックエンドは、読み取り専用 API を実装し、AD からアカウントおよびグループの情報を読み取ります。これには、以下の利点があります。
- ユーザーとグループの全設定は、AD に集中的に保存されます。
- ユーザーおよびグループの ID は、このバックエンドを使用するすべての Samba サーバーで一貫しています。
- ID は、破損する可能性のあるローカルデータベースには保存されないため、ファイルの所有権は失われません。
ad
ID マッピングバックエンドは、一方向の信頼を使用する Active Directory ドメインに対応していません。一方向の信頼で Active Directory のドメインメンバーを設定する場合は、tdb
、 rid
、または autorid
のいずれかの ID マッピングバックエンドを使用します。
ad バックエンドは、AD から以下の属性を読み込みます。
AD 属性名 | オブジェクトの種類 | マッピング先 |
---|---|---|
| ユーザーおよびグループ | オブジェクトのユーザー名またはグループ名 |
| ユーザー | ユーザー ID (UID) |
| グループ | グループ ID (GID) |
| ユーザー | ユーザーのシェルのパス |
| ユーザー | ユーザーのホームディレクトリーのパス |
| ユーザー | プライマリグループ ID |
[a]
idmap config DOMAIN:unix_nss_info = yes を設定している場合に限り、Samba がこの属性を読み込みます。
[b]
idmap config DOMAIN:unix_primary_group = yes を設定している場合に限り、Samba がこの属性を読み込みます。
|
前提条件
-
ユーザーおよびグループはいずれも、AD で一意の ID が設定され、ID が、
/etc/samba/smb.conf
ファイルで設定されている範囲内にある。ID が範囲外にあるオブジェクトは、Samba サーバーでは利用できません。 - ユーザーおよびグループには、AD ですべての必須属性が設定されている。必要な属性がないと、ユーザーまたはグループは Samba サーバーで使用できなくなります。必要な属性は、設定によって異なります。前提条件:
- Samba をインストールしている。
-
ID マッピングを除く Samba 設定が
/etc/samba/smb.conf
ファイルにある。
手順
/etc/samba/smb.conf
ファイルの[global]
セクションを編集します。デフォルトドメイン (
*
) に ID マッピング設定が存在しない場合は追加します。以下に例を示します。idmap config * : backend = tdb idmap config * : range = 10000-999999
AD ドメインの
ad
ID マッピングバックエンドを有効にします。idmap config DOMAIN : backend = ad
AD ドメインのユーザーおよびグループに割り当てられている ID の範囲を設定します。以下に例を示します。
idmap config DOMAIN : range = 2000000-2999999
重要この範囲は、このサーバーの他のドメイン構成と重複させることはできません。また、この範囲には、今後割り当てられる ID がすべて収まる大きさを設定する必要があります。詳細は 「Samba ID 範囲の計画」 を参照してください。
Samba が AD から属性を読み取る際に RFC 2307 スキーマを使用するように設定します。
idmap config DOMAIN : schema_mode = rfc2307
Samba が、対応する AD 属性からログインシェルおよびユーザーホームディレクトリーのパスを読み取るようにする場合は、以下を設定します。
idmap config DOMAIN : unix_nss_info = yes
または、すべてのユーザーに適用される、ドメイン全体のホームディレクトリーのパスおよびログインシェルを統一して設定できます。以下に例を示します。
template shell = /bin/bash template homedir = /home/%U
デフォルトでは、Samba は、ユーザーオブジェクトの
primaryGroupID
属性を、Linux のユーザーのプライマリーグループとして使用します。または、代わりにgidNumber
属性に設定されている値を使用するように Samba を設定できます。idmap config DOMAIN : unix_primary_group = yes
/etc/samba/smb.conf
ファイルを検証します。#
testparm
Samba 設定を再読み込みします。
#
smbcontrol all reload-config
関連情報
- 「* デフォルトドメイン」
-
この手順で使用するパラメーターの詳細は、man ページの
smb.conf(5)
およびidmap_ad(8)
を参照してください。 -
変数の置換の詳細は、man ページの
smb.conf(5)
のVARIABLE SUBSTITUTIONS
セクションを参照してください。
3.4.5. rid ID マッピングバックエンドの使用
本セクションでは、rid
ID マッピングバックエンドを使用するように Samba ドメインメンバーを設定する方法を説明します。
Samba は、Windows SID の相対識別子 (RID) を使用して、Red Hat Enterprise Linux で ID を生成できます。
RID は、SID の最後の部分です。たとえば、ユーザーの SID が S-1-5-21-5421822485-1151247151-421485315-30014
の場合、対応する RID は 30014
になります。
rid
ID マッピングバックエンドは、AD ドメインおよび NT4 ドメインのアルゴリズムマッピングスキームに基づいてアカウントおよびグループの情報を計算する読み取り専用 API を実装します。バックエンドを設定する場合は、idmap config DOMAIN : range
パラメーターで、RID の最小値および最大値を設定する必要があります。Samba は、このパラメーターで設定される RID の最小値および最大値を超えるユーザーまたはグループをマッピングしません。
読み取り専用のバックエンドとして、rid
は、BUILTIN
グループなど、新しい ID を割り当てることができません。したがって、*
デフォルトドメインにはこのバックエンドを使用しないでください。
rid バックエンドを使用した利点
- 設定された範囲内の RID があるドメインユーザーとグループはすべて、自動的にドメインメンバーで利用可能になります。
- ID、ホームディレクトリー、およびログインシェルを手動で割り当てる必要はありません。
rid バックエンドを使用した場合の短所
- すべてのドメインユーザーは、割り当てられた同じログインシェルとホームディレクトリーを取得します。ただし、変数を使用できます。
-
同じ ID 範囲設定で
rid
バックエンドを使用している Samba ドメインメンバーでは、ユーザー ID とグループ ID が同じになります。 - ドメインメンバーで個々のユーザーまたはグループを除外して、利用できないようにすることはできません。設定されている範囲外にあるユーザーとグループのみが除外されます。
-
異なるドメインのオブジェクトの RID が同じ場合は、
winbindd
サービスが ID の計算に使用する式に基づき、複数ドメインの環境で重複する ID が発生する場合があります。
前提条件
- Samba をインストールしている。
-
ID マッピングを除く Samba 設定が
/etc/samba/smb.conf
ファイルにある。
手順
/etc/samba/smb.conf
ファイルの[global]
セクションを編集します。デフォルトドメイン (
*
) に ID マッピング設定が存在しない場合は追加します。以下に例を示します。idmap config * : backend = tdb idmap config * : range = 10000-999999
ドメインの
rid
ID マッピングバックエンドを有効にします。idmap config DOMAIN : backend = rid
今後割り当てられるすべての RID が収まる大きさの範囲を設定します。以下に例を示します。
idmap config DOMAIN : range = 2000000-2999999
Samba は、そのドメインの RID がその範囲内にないユーザーおよびグループを無視します。
重要この範囲は、このサーバーの他のドメイン構成と重複させることはできません。詳細は 「Samba ID 範囲の計画」 を参照してください。
すべてのマッピングユーザーに割り当てられるシェルおよびホームディレクトリーのパスを設定します。以下に例を示します。
template shell = /bin/bash template homedir = /home/%U
/etc/samba/smb.conf
ファイルを検証します。#
testparm
Samba 設定を再読み込みします。
#
smbcontrol all reload-config
関連情報
- 「* デフォルトドメイン」
-
変数の置換の詳細は、man ページの
smb.conf(5)
のVARIABLE SUBSTITUTIONS
セクションを参照してください。 -
Samba が RID のローカル ID を計算する方法は、
idmap_rid(8)
の man ページを参照してください。
3.4.6. autorid ID マッピングバックエンドの使用
本セクションでは、Samba ドメインメンバーを設定して、autorid
ID マッピングバックエンドを使用する方法を説明します。
autorid
バックエンドは、rid
ID マッピングバックエンドと同様の動作をしますが、異なるドメインに対して自動的に ID を割り当てることができます。これにより、以下の状況で autorid
バックエンドを使用できます。
-
*
デフォルトドメインのみ -
*
デフォルトドメインと追加のドメインでは、追加のドメインごとに ID マッピング設定を作成する必要はありません。 - 特定のドメインのみ
デフォルトドメインに autorid
を使用する場合は、ドメイン用の ID マッピング設定を追加するかどうかは任意です。
このセクションの一部は、Samba Wiki に公開されているドキュメント「idmap config autorid」に掲載されています。ライセンス:CC BY 4.0作成者およびコントリビューター:Wiki ページの history タブを参照してください。
autorid バックエンドを使用した利点
- 設定された範囲内に計算した UID と GID があるすべてのドメインユーザーおよびグループは、ドメインメンバーで自動的に利用可能になります。
- ID、ホームディレクトリー、およびログインシェルを手動で割り当てる必要はありません。
- 複数ドメイン環境内の複数のオブジェクトが同じ RID を持つ場合でも、重複する ID はありません。
短所
- Samba ドメインメンバー間では、ユーザー ID とグループ ID は同じではありません。
- すべてのドメインユーザーは、割り当てられた同じログインシェルとホームディレクトリーを取得します。ただし、変数を使用できます。
- ドメインメンバーで個々のユーザーまたはグループを除外して、利用できないようにすることはできません。計算された UID または GID が、設定された範囲外にあるユーザーとグループのみが除外されます。
前提条件
- Samba をインストールしている。
-
ID マッピングを除く Samba 設定が
/etc/samba/smb.conf
ファイルにある。
手順
/etc/samba/smb.conf
ファイルの[global]
セクションを編集します。*
デフォルトドメインのautorid
ID マッピングバックエンドを有効にします。idmap config * : backend = autorid
既存および将来の全オブジェクトに ID を割り当てられる大きさの範囲を設定します。以下に例を示します。
idmap config * : range = 10000-999999
Samba は、このドメインで計算した ID が範囲内にないユーザーおよびグループを無視します。
警告範囲を設定し、Samba がそれを使用して開始してからは、範囲の上限を小さくすることはできません。範囲にその他の変更を加えると、新しい ID 割り当てが発生し、ファイルの所有権が失われる可能性があります。
必要に応じて、範囲サイズを設定します。以下に例を示します。
idmap config * : rangesize = 200000
Samba は、
idmap config * : range
パラメーターに設定されている範囲からすべての ID を取得するまで、各ドメインのオブジェクトにこの数の連続 ID を割り当てます。すべてのマッピングユーザーに割り当てられるシェルおよびホームディレクトリーのパスを設定します。以下に例を示します。
template shell = /bin/bash template homedir = /home/%U
必要に応じて、ドメイン用の ID マッピング設定を追加します。個別のドメインの設定が利用できない場合、Samba は以前に設定した
*
デフォルトドメインのautorid
バックエンド設定を使用して ID を計算します。重要各ドメインに追加のバックエンドを設定する場合は、すべての ID マッピング設定の範囲がオーバーラップしないようにしてください。詳細は 「Samba ID 範囲の計画」 を参照してください。
/etc/samba/smb.conf
ファイルを検証します。#
testparm
Samba 設定を再読み込みします。
#
smbcontrol all reload-config
関連情報
-
バックエンドの計算された ID の詳細は、man ページの
idmap_autorid(8)
のTHE MAPPING FORMULAS
セクションを参照してください。 -
idmap config
rangesize
パラメーターの使用方法は、man ページのidmap_autorid(8)
のrangesize
パラメーターの説明を参照してください。 -
変数の置換の詳細は、man ページの
smb.conf(5)
のVARIABLE SUBSTITUTIONS
セクションを参照してください。
3.5. Samba を AD ドメインメンバーサーバーとして設定
AD または NT4 のドメインを実行している場合は、Samba を使用して Red Hat Enterprise Linux サーバーをメンバーとしてドメインに追加し、以下を取得します。
- その他のドメインメンバーのドメインリソースにアクセスする
-
sshd
などのローカルサービスに対してドメインユーザーを認証する - サーバーにホストされているディレクトリーおよびプリンターを共有して、ファイルサーバーおよびプリントサーバーとして動作する
3.5.1. RHEL システムの AD ドメインへの参加
本セクションでは、realmd
を使用して Samba Winbind を設定することで、Red Hat Enterprise Linux システムを AD ドメインに参加させる方法を説明します。
手順
AD で Kerberos 認証に非推奨の RC4 暗号化タイプが必要な場合は、RHEL でこの暗号のサポートを有効にします。
#
update-crypto-policies --set DEFAULT:AD-SUPPORT
以下のパッケージをインストールします。
#
yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator
ドメインメンバーでディレクトリーまたはプリンターを共有するには、
samba
パッケージをインストールします。#
yum install samba
既存の Samba 設定ファイル
/etc/samba/smb.conf
をバックアップします。#
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
ドメインに参加します。たとえば、ドメイン
ad.example.com
に参加するには、以下のコマンドを実行します。#
realm join --membership-software=samba --client-software=winbind ad.example.com
上記のコマンドを使用すると、
realm
ユーティリティーが自動的に以下を実行します。-
ad.example.com
ドメインのメンバーシップに/etc/samba/smb.conf
ファイルを作成します。 -
ユーザーおよびグループの検索用の
winbind
モジュールを、/etc/nsswitch.conf
ファイルに追加します。 -
/etc/pam.d/
ディレクトリーの PAM (プラグ可能な認証モジュール) 設定ファイルを更新します。 -
winbind
サービスを起動し、システムの起動時にサービスを起動できるようにします。
-
-
必要に応じて、
/etc/samba/smb.conf
ファイルの別の ID マッピングバックエンド、またはカスタマイズした ID マッピングを設定します。詳細は、「Samba ID マッピングの理解および設定」 を参照してください。 winbind
サービスが稼働していることを確認します。#
systemctl status winbind
... Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago重要Samba がドメインのユーザーおよびグループの情報をクエリーできるようにするには、
smb
を起動する前にwinbind
サービスを実行する必要があります。samba
パッケージをインストールしてディレクトリーおよびプリンターを共有している場合は、smb
サービスを有効化して開始します。#
systemctl enable --now smb
-
必要に応じて、Active Directory へのローカルログインを認証する場合は、
winbind_krb5_localauth
プラグインを有効にします。「MIT Kerberos 用のローカル承認プラグインの使用」を参照してください。
検証手順
AD ドメインの AD 管理者アカウントなど、AD ユーザーの詳細を表示します。
#
getent passwd "AD\administrator"
AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bashAD ドメイン内のドメインユーザーグループのメンバーをクエリーします。
#
getent group "AD\Domain Users"
AD\domain users:x:10000:user1,user2オプションで、ファイルやディレクトリーに権限を設定する際に、ドメインのユーザーおよびグループを使用できることを確認します。たとえば、
/srv/samba/example.txt
ファイルの所有者をAD\administrator
に設定し、グループをAD\Domain Users
に設定するには、以下のコマンドを実行します。#
chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
Kerberos 認証が期待どおりに機能することを確認します。
AD ドメインメンバーで、
administrator@AD.EXAMPLE.COM
プリンシパルのチケットを取得します。#
kinit administrator@AD.EXAMPLE.COM
キャッシュされた Kerberos チケットを表示します。
#
klist
Ticket cache: KCM:0 Default principal: administrator@AD.EXAMPLE.COM Valid starting Expires Service principal 01.11.2018 10:00:00 01.11.2018 20:00:00 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM renew until 08.11.2018 05:00:00
利用可能なドメインの表示:
#
wbinfo --all-domains
BUILTIN SAMBA-SERVER AD
関連情報
- 非推奨の RC4 暗号化を使用しない場合は、AD で AES 暗号化タイプを有効にすることができます。「GPO を使用した Active Directory で AES 暗号化タイプの有効化」 を参照してください。これは、AD の他のサービスに影響を及ぼす可能性があることに注意してください。
-
realm
ユーティリティーの詳細は、realm(8)
の man ページを参照してください。
3.5.2. MIT Kerberos 用のローカル承認プラグインの使用
winbind
サービスは、Active Directory ユーザーをドメインメンバーに提供します。特定の状況では、管理者が、ドメインメンバーで実行している SSH サーバーなどのローカルサービスに対して、ドメインユーザーが認証を行えるようにします。Kerberos を使用してドメインユーザーを認証している場合は、winbind
サービスを介して、winbind_krb5_localauth
プラグインが Kerberos プリンシパルを Active Directory アカウントに正しくマッピングできるようにします。
たとえば、Active Directory ユーザーの sAMAccountName
属性を EXAMPLE
に設定し、小文字のユーザー名でユーザーがログインしようとすると、Kerberos はユーザー名を大文字で返します。その結果、エントリーは認証の失敗に一致しません。
winbind_krb5_localauth
プラグインを使用すると、アカウント名が正しくマッピングされます。これは GSSAPI 認証にのみ適用され、初期のチケット付与チケット (TGT) の取得には該当しません。
前提条件
- Samba が Active Directory のメンバーとして設定されている。
- Red Hat Enterprise Linux が、Active Directory に対してログイン試行を認証している。
-
winbind
サービスが実行している。
手順
/etc/krb5.conf
ファイルを編集し、以下のセクションを追加します。
[plugins] localauth = { module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so enable_only = winbind }
関連情報
-
winbind_krb5_localauth(8)
の man ページを参照してください。
3.6. IdM ドメインメンバーでの Samba の設定
本セクションでは、Red Hat Identity Management (IdM) ドメインに参加しているホストで Samba を設定する方法を説明します。IdM のユーザー、および可能であれば、信頼された Active Directory (AD) ドメインのユーザーは、Samba が提供する共有およびプリンターサービスにアクセスできます。
IdM ドメインメンバーで Samba を使用する機能は、テクノロジープレビュー機能で、特定の制限が含まれています。たとえば、IdM 信頼コントローラーが Global Catalog Service をサポートしないため、AD が登録した Windows ホストは Windows で IdM ユーザーおよびグループを見つけることができません。さらに、IdM 信頼コントローラーは、Distributed Computing Environment / Remote Procedure Calls (DCE/RPC) プロトコルを使用する IdM グループの解決をサポートしません。これにより、AD ユーザーは、IdM クライアントから Samba の共有およびプリンターにしかアクセスできません。
IdM ドメインメンバーに Samba をデプロイしているお客様は、ぜひ Red Hat にフィードバックをお寄せください。
前提条件
- ホストは、クライアントとして IdM ドメインに参加している。
- IdM サーバーとクライアントの両方が RHEL 8.1 以降で実行されている必要がある。
3.6.1. Samba をドメインメンバーにインストールするための IdM ドメインの準備
AD との信頼を確立し、IdM クライアントに Samba を設定する場合は、IdM サーバーの ipa-adtrust-install
ユーティリティーを使用して IdM ドメインを準備する必要があります。ただし、両方の状況が適用される場合でも、ipa-adtrust-install
は IdM マスターで 1 回のみ実行する必要があります。
前提条件
- PCP がインストールされている。
手順
必要なパッケージをインストールします。
[root@ipaserver ~]#
yum install ipa-server ipa-server-trust-ad samba-client
IdM 管理ユーザーとして認証します。
[root@ipaserver ~]#
kinit admin
ipa-adtrust-install
ユーティリティーを実行します。[root@ipaserver ~]#
ipa-adtrust-install
統合 DNS サーバーとともに IdM がインストールされていると、DNS サービスレコードが自動的に作成されます。
IdM が統合 DNS サーバーなしでインストールされると、
ipa-adtrust-install
は、続行する前に DNS に手動で追加する必要があるサービスレコードのリストを出力します。スクリプトにより、
/etc/samba/smb.conf
がすでに存在し、書き換えられることが求められます。WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration. Do you wish to continue? [no]:
yes
このスクリプトは、従来の Linux クライアントが信頼できるユーザーと連携できるようにする互換性プラグインである
slapi-nis
プラグインを設定するように求めるプロンプトを表示します。Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]:
yes
プロンプトが表示されたら、IdM ドメインの NetBIOS 名を入力するか、Enter を押して提案された名前を使用します。
Trust is configured but no NetBIOS domain name found, setting it now. Enter the NetBIOS name for the IPA domain. Only up to 15 uppercase ASCII letters, digits and dashes are allowed. Example: EXAMPLE. NetBIOS domain name [IDM]:
SID 生成タスクを実行して、既存ユーザーに SID を作成するように求められます。
Do you want to run the ipa-sidgen task? [no]:
yes
ディレクトリーを初めてインストールする際に、少なくとも 1 人のユーザー (IdM 管理者) が存在します。これはリソースを集中的に使用するタスクであるため、ユーザー数が多い場合は別のタイミングで実行できます。
(必要に応じて) デフォルトでは、Windows Server 2008 以降での動的 RPC ポートの範囲は
49152-65535
として定義されます。ご使用の環境に異なる動的 RPC ポート範囲を定義する必要がある場合は、Samba が異なるポートを使用するように設定し、ファイアウォール設定でそのポートを開くように設定します。以下の例では、ポート範囲を55000-65000
に設定します。[root@ipaserver ~]#
net conf setparm global 'rpc server dynamic port range' 55000-65000
[root@ipaserver ~]#firewall-cmd --add-port=55000-65000/tcp
[root@ipaserver ~]#firewall-cmd --runtime-to-permanent
ipa
サービスを再起動します。[root@ipaserver ~]#
ipactl restart
smbclient
ユーティリティーを使用して、Samba が IdM からの Kerberos 認証に応答することを確認します。[root@ipaserver ~]#
smbclient -L server.idm.example.com -k
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.12.3) ...
3.6.2. GPO を使用した Active Directory で AES 暗号化タイプの有効化
本セクションでは、グループポリシーオブジェクト (GPO) を使用して、Active Directory (AD) で AES 暗号化タイプを有効にする方法を説明します。IdM クライアントで Samba サーバーを実行するなど、RHEL 8 の機能によっては、この暗号化タイプが必要です。
RHEL 8 は、セキュリティーの弱い DES および RC4 の暗号化タイプに対応していないことに注意してください。
前提条件
- グループポリシーを編集できるユーザーとして AD にログインしている。
-
Group Policy Management Console
がコンピューターにインストールされている。
手順
-
Group Policy Management Console
を開きます。 -
デフォルトドメインポリシー
を右クリックして、編集
を選択します。Group Policy Management Editor
を閉じます。 -
コンピューターの設定
→ポリシー
→Windows の設定
→セキュリティの設定
→ローカルポリシー
→セキュリティーオプション
に移動します。 -
ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する
ポリシーをダブルクリックします。 -
AES256_HMAC_SHA1
を選択し、必要に応じて、将来の暗号化タイプ
を選択します。 - をクリックします。
-
Group Policy Management Editor
を閉じます。 -
既定のドメインコントローラーポリシー
に対して手順を繰り返します。 Windows ドメインコントローラー (DC) がグループポリシーを自動的に適用するまで待ちます。または、GPO を DC に手動で適用するには、管理者権限を持つアカウントを使用して次のコマンドを入力します。
C:\>
gpupdate /force /target:computer
3.6.3. IdM クライアントでの Samba サーバーのインストールおよび設定
本セクションでは、IdM ドメインに登録されたクライアントに Samba をインストールおよび設定する方法を説明します。
前提条件
- IdM サーバーとクライアントの両方が RHEL 8.1 以降で実行されている必要がある。
- IdM ドメインは、「Samba をドメインメンバーにインストールするための IdM ドメインの準備」で説明されているように準備されます。
- IdM に AD で設定された信頼がある場合は、Kerberos の AES 暗号化タイプを有効にします。たとえば、グループポリシーオブジェクト (GPO) を使用して、AES 暗号化の種類を有効にします。詳細は「GPO を使用した Active Directory で AES 暗号化タイプの有効化」を参照してください。
手順
ipa-client-samba
パッケージをインストールします。[root@idm_client]#
yum install ipa-client-samba
ipa-client-samba
ユーティリティーを使用して、クライアントを準備し、初期 Samba 構成を作成します。[root@idm_client]#
ipa-client-samba
Searching for IPA server... IPA server: DNS discovery Chosen IPA master: idm_server.idm.example.com SMB principal to be created: cifs/idm_client.idm.example.com@IDM.EXAMPLE.COM NetBIOS name to be used: IDM_CLIENT Discovered domains to use: Domain name: idm.example.com NetBIOS name: IDM SID: S-1-5-21-525930803-952335037-206501584 ID range: 212000000 - 212199999 Domain name: ad.example.com NetBIOS name: AD SID: None ID range: 1918400000 - 1918599999 Continue to configure the system with these values? [no]: yes Samba domain member is configured. Please check configuration at /etc/samba/smb.conf and start smb and winbind servicesデフォルトでは、
ipa-client-samba
は、ユーザーが接続したときにそのユーザーのホームディレクトリーを動的に共有するために、/etc/samba/smb.conf
ファイルに[homes]
セクションが自動的に追加されます。ユーザーがこのサーバーにホームディレクトリーがない場合、または共有したくない場合は、/etc/samba/smb.conf
から次の行を削除します。[homes] read only = no
ディレクトリーとプリンターを共有します。詳細は、次を参照してください。
ローカルファイアウォールで Samba クライアントに必要なポートを開きます。
[root@idm_client]#
firewall-cmd --permanent --add-service=samba-client
[root@idm_client]#firewall-cmd --reload
smb
サービスおよびwinbind
サービスを有効にして開始します。[root@idm_client]#
systemctl enable --now smb winbind
検証手順
samba-client
パッケージがインストールされている別の IdM ドメインメンバーで次の検証手順を実行します。
Kerberos チケット保証チケットの認証および取得
$
kinit example_user
Kerberos 認証を使用して、Samba サーバー上の共有を一覧表示します。
$
smbclient -L idm_client.idm.example.com
-k lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.12.3) ...
関連情報
-
設定中に
ipa-client-samba
が実行する手順の詳細は、man ページipa-client-samba(1)
を参照してください。
3.6.4. IdM が新しいドメインを信頼する場合は、IDマッピング構成を手動で追加
Samba では、ユーザーがリソースにアクセスする各ドメインの ID マッピング設定が必要です。IdM クライアントで実行している既存の Samba サーバーでは、管理者が Active Directory (AD) ドメインに新しい信頼を追加した後、ID マッピング設定を手動で追加する必要があります。
前提条件
- IdM クライアントで Samba を設定している。その後、IdM に新しい信頼が追加されている。
- Kerberos の暗号化タイプ DES および RC4 は、信頼できる AD ドメインで無効にしている。セキュリティー上の理由から、RHEL 8 はこのような弱い暗号化タイプに対応していません。
手順
ホストのキータブを使用して認証します。
[root@idm_client]#
kinit -k
ipa idrange-find
コマンドを使用して、新しいドメインのベース ID と ID 範囲のサイズの両方を表示します。たとえば、次のコマンドはad.example.com
ドメインの値を表示します。[root@idm_client]#
ipa idrange-find --name="AD.EXAMPLE.COM
_id_range" --raw --------------- 1 range matched --------------- cn: AD.EXAMPLE.COM_id_range ipabaseid: 1918400000 ipaidrangesize: 200000 ipabaserid: 0 ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271 iparangetype: ipa-ad-trust ---------------------------- Number of entries returned 1 ----------------------------次の手順で、
ipabaseid
属性およびipaidrangesize
属性の値が必要です。使用可能な最高の ID を計算するには、次の式を使用します。
maximum_range = ipabaseid + ipaidrangesize - 1
前の手順の値を使用すると、
ad.example.com
ドメインで使用可能な最大 ID は1918599999
(1918400000 + 200000 - 1) です。/etc/samba/smb.conf
ファイルを編集し、ドメインの ID マッピング構成を[global]
セクションに追加します。idmap config AD : range = 1918400000 - 1918599999 idmap config AD : backend = sss
ipabaseid
属性の値を最小値として指定し、前の手順で計算された値を範囲の最大値として指定します。smb
サービスおよびwinbind
サービスを再起動します。[root@idm_client]#
systemctl restart smb winbind
検証手順
新しいドメインからユーザーとして認証し、Kerberos チケット保証チケットを取得します。
$
kinit example_user
Kerberos 認証を使用して、Samba サーバー上の共有を一覧表示します。
$
smbclient -L idm_client.idm.example.com
-k lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.12.3) ...
3.6.5. 関連情報
-
RHEL 8 を IdM ドメインに参加させる方法の詳細は、
『Identity Management のインストール』
の「Identity Management クライアントのインストール」
を参照してください。
3.13. MacOS クライアント向けの Samba の設定
fruit
仮想ファイルシステム (VFS) の Samba モジュールは、Apple サーバーメッセージブロック (SMB) クライアントとの互換性を強化します。
3.15. プリントサーバーとしての Samba の設定
Samba をプリントサーバーとして設定すると、ネットワーク上のクライアントが Samba を使用して印刷できます。さらに、Windows クライアントは、(Samba サーバーが設定されている場合は) Samba サーバーからドライバーをダウンロードすることもできます。
このセクションの一部は、Samba Wiki に公開されているドキュメント「Setting up Samba as a Print Server」に掲載されています。ライセンス:CC BY 4.0作成者およびコントリビューター:Wiki ページの history タブを参照してください。
前提条件
Samba が、以下のいずれかのモードで設定されている。
3.15.1. Samba の spoolssd サービス
Samba の spoolssd
は、smbd
サービスに統合されるサービスです。Samba 設定の spoolssd
を有効にすると、大量のジョブまたはプリンターがあるプリントサーバーのパフォーマンスが大幅に向上します。
spoolssd
がないと、Samba は smbd
プロセスをフォークし、各プリントジョブの printcap
キャッシュを初期化します。プリンターが多数あると、キャッシュの初期化中に smbd
サービスが数秒間応答しなくなることがあります。spoolssd
サービスを使用すると、遅延なしでプリントジョブを処理している、プレフォークされた smbd
プロセスを開始することができます。主な spoolssd
smbd
プロセスは、少ないメモリーを使用し、子プロセスをフォークして終了します。
以下の手順では、spoolssd
サービスを有効にする方法を説明します。
手順
/etc/samba/smb.conf
ファイルの[global]
セクションを編集します。以下のパラメーターを追加します。
rpc_server:spoolss = external rpc_daemon:spoolssd = fork
必要に応じて、以下のパラメーターを設定できます。
パラメーター デフォルト 説明 spoolssd:prefork_min_children
5
子プロセスの最小数
spoolssd:prefork_max_children
25
子プロセスの最大数
spoolssd:prefork_spawn_rate
5
新しい接続が確立されると、Samba は、このパラメーターに設定した新しい子プロセスの数を、
spoolssd:prefork_max_children
に設定された値までフォークします。spoolssd:prefork_max_allowed_clients
100
子プロセスが処理するクライアントの数
spoolssd:prefork_child_min_life
60
子プロセスの最小有効期間 (秒単位)。最小は 60 秒です。
/etc/samba/smb.conf
ファイルを検証します。#
testparm
smb
サービスを再起動します。#
systemctl restart smb
サービスを再起動すると、Samba が自動的に
smbd
子プロセスを開始します。#
ps axf
... 30903 smbd 30912 \_ smbd 30913 \_ smbd 30914 \_ smbd 30915 \_ smbd ...
3.15.2. Samba でのプリントサーバーのサポートの有効化
本セクションでは、Samba でプリントサーバーのサポートを有効にする方法を説明します。
手順
Samba サーバーで CUPS を設定し、そのプリンターを CUPS バックエンドに追加します。CUPS でプリンターを設定する方法は、プリントサーバーの CUPS Web コンソール (https://print_server_host_name:631/help) で提供されているドキュメントを参照してください。
注記Samba は、CUPS が Samba プリントサーバーにローカルにインストールされている場合に限り、CUPS に印刷ジョブを転送できます。
/etc/samba/smb.conf
ファイルを編集します。spoolssd
サービスを有効にする場合は、以下のパラメーターを[global]
セクションに追加します。rpc_server:spoolss = external rpc_daemon:spoolssd = fork
印刷バックエンドを設定するには、
[printers]
セクションを追加します。[printers] comment = All Printers path = /var/tmp/ printable = yes create mask = 0600
重要[printers]
共有名はハードコーディングされており、変更はできません。
/etc/samba/smb.conf
ファイルを検証します。#
testparm
firewall-cmd
ユーティリティーを使用して必要なポートを開き、ファイアウォール設定を再読み込みします。#
firewall-cmd --permanent --add-service=samba
#firewall-cmd --reload
smb
サービスを再起動します。#
systemctl restart smb
サービスを再起動すると、Samba は CUPS バックエンドに設定したすべてのプリンターを自動的に共有します。特定のプリンターのみを手動で共有する場合は、「特定のプリンターの手動共有」を参照してください。
3.15.3. 特定のプリンターの手動共有
Samba をプリントサーバーとして設定している場合、Samba は、デフォルトで CUPS バックエンドで設定されたプリンターをすべて共有します。以下の手順では、特定のプリンターのみを共有する方法を説明します。
前提条件
- Samba がプリントサーバーとして設定されている。
手順
/etc/samba/smb.conf
ファイルを編集します。[global]
セクションで、以下の設定で自動プリンター共有を無効にします。load printers = no
共有するプリンターごとにセクションを追加します。たとえば、Samba で CUPS バックエンドで
example
という名前のプリンターをExample-Printer
として共有するには、以下のセクションを追加します。[Example-Printer] path = /var/tmp/ printable = yes printer name = example
各プリンターに個別のスプールディレクトリーは必要ありません。
[printers]
セクションに設定したのと同じ spool ディレクトリーを、プリンターのpath
パラメーターに設定できます。
/etc/samba/smb.conf
ファイルを検証します。#
testparm
Samba 設定を再読み込みします。
#
smbcontrol all reload-config
3.16. Samba プリントサーバーでの Windows クライアント用の自動プリンタードライバーダウンロードの設定
Windows クライアント用に Samba プリントサーバーを実行している場合は、ドライバーをアップロードし、プリンターを事前設定できます。ユーザーがプリンターに接続すると、Windows により、ドライバーが自動的にクライアントにダウンロードされ、インストールされます。ユーザーがインストールするのに、ローカル管理者の権限を必要としません。また、Windows は、トレイの数などの事前設定済みのドライバー設定を適用します。
このセクションの一部は、Samba Wiki で公開されているドキュメント「Setting up Automatic Printer Driver Downloads for Windows Clients」に掲載されています。ライセンス:CC BY 4.0作成者およびコントリビューター:Wiki ページの history タブを参照してください。
前提条件
- Samba がプリントサーバーとして設定されている。
3.16.1. プリンタードライバーに関する基本情報
本セクションでは、プリンタードライバーに関する一般的な情報を説明します。
対応しているドライバーモデルのバージョン
Samba は、Windows 2000 以降および Windows Server 2000 以降でサポートされているプリンタードライバーのモデルバージョン 3 のみに対応します。Samba は、Windows 8 および Windows Server 2012 で導入されたドライバーモデルのバージョン 4 には対応していません。ただし、これ以降の Windows バージョンは、バージョン 3 のドライバーにも対応しています。
パッケージ対応ドライバー
Samba は、パッケージ対応ドライバーに対応していません。
アップロードするプリンタードライバーの準備
Samba プリントサーバーにドライバーをアップロードする場合は、以下を行います。
- ドライバーが圧縮形式で提供されている場合は、ドライバーを展開します。
一部のドライバーでは、Windows ホストにドライバーをローカルにインストールするセットアップアプリケーションを起動する必要があります。特定の状況では、インストーラーはセットアップの実行中にオペレーティングシステムの一時フォルダーに個別のファイルを抽出します。アップロードにドライバーファイルを使用するには、以下のコマンドを実行します。
- インストーラーを起動します。
- 一時フォルダーから新しい場所にファイルをコピーします。
- インストールをキャンセルします。
プリントサーバーへのアップロードをサポートするドライバーは、プリンターの製造元にお問い合わせください。
クライアントに 32 ビットおよび 64 ビットのプリンター用ドライバーを提供
32 ビットと 64 ビットの両方の Windows クライアントのプリンターにドライバーを提供するには、両方のアーキテクチャーに対して、同じ名前のドライバーをアップロードする必要があります。たとえば、32 ビットのドライバー Example PostScript
および 64 ビットのドライバー Example PostScript (v1.0)
をアップロードする場合は、その名前が一致しません。その結果、ドライバーのいずれかをプリンターに割り当てることしかできなくなり、両方のアーキテクチャーでそのドライバーが使用できなくなります。
3.16.2. ユーザーがドライバーをアップロードおよび事前設定できるようにする
プリンタードライバーをアップロードおよび事前設定できるようにするには、ユーザーまたはグループに SePrintOperatorPrivilege
特権が付与されている必要があります。printadmin
グループにユーザーを追加する必要があります。Red Hat Enterprise Linux に samba
パッケージをインストールすると、このグループが自動的に作成されます。printadmin
グループには、1000 未満で利用可能な一番小さい動的システムの GID が割り当てられます。
手順
たとえば、
SePrintOperatorPrivilege
権限をprintadmin
グループに付与するには、以下のコマンドを 実行します。#
net rpc rights grant "printadmin" SePrintOperatorPrivilege -U "DOMAIN
\administrator" Enter DOMAIN\administrator's password: Successfully granted rights.注記ドメイン環境では、
SePrintOperatorPrivilege
をドメイングループに付与します。これにより、ユーザーのグループメンバーシップを更新し、権限を集中的に管理できます。SePrintOperatorPrivilege
が付与されているユーザーとグループの一覧を表示するには、以下を実行します。#
net rpc rights list privileges SePrintOperatorPrivilege -U "DOMAIN
\administrator" Enter administrator's password: SePrintOperatorPrivilege: BUILTIN\Administrators DOMAIN\printadmin
3.16.4. クライアントが Samba プリントサーバーを信頼できるようにする GPO の作成
セキュリティー上の理由から、最新の Windows オペレーティングシステムでは、クライアントが、信頼できないサーバーから、パッケージ対応ではないプリンタードライバーをダウンロードできないようにします。プリントサーバーが AD のメンバーである場合は、Samba サーバーを信頼するために、ドメインに Group Policy Object (GPO) を作成できます。
前提条件
- Samba プリントサーバーが、AD ドメインのメンバーである。
- GPO の作成に使用する Windows コンピューターに、RSAT (Windows Remote Server Administration Tools) がインストールされている。詳細は、Windows のドキュメントを参照してください。
手順
-
AD ドメインの
管理者
ユーザーなど、グループポリシーの編集が可能なアカウントを使用して、Windows コンピューターにログインします。 -
Group Policy Management Console
を開きます。 AD ドメインを右クリックし、
Create a GPO in this domain, and Link it here
を選択します。-
Legacy Printer Driver Policy
などの GPO の名前を入力して、OK
をクリックします。新しい GPO がドメインエントリーの下に表示されます。 -
新たに作成した GPO を右クリックして
Edit
を選択し、Group Policy Management Editor
を開きます。 ウィンドウの右側で、
Point and Print Restriction
をダブルクリックして、ポリシーを編集します。ポリシーを有効にし、以下のオプションを設定します。
-
Users can only point and print to these servers
を選択し、このオプションの横にあるフィールドに、Samba プリントサーバーの完全修飾ドメイン名 (FQDN) を入力します。 Security Prompts
の両チェックボックスで、Do not show warning or elevation prompt
を選択します。
-
- OK をクリックします。
Package Point and Print - Approved servers
をダブルクリックして、ポリシーを編集します。-
ポリシーを有効にして、
Show
ボタンをクリックします。 Samba プリントサーバーの FQDN を入力します。
-
OK
をクリックして、Show Contents
ウィンドウとポリシーのプロパティーウィンドウの両方を閉じます。
-
ポリシーを有効にして、
-
Group Policy Management Editor
を閉じます。 -
Group Policy Management Console
を閉じます。
Windows ドメインメンバーがこのグループポリシーを適用すると、ユーザーがプリンターに接続する際に、プリンタードライバーが Samba サーバーから自動的にダウンロードされます。
関連情報
- グループポリシーの使用方法の詳細は、Windows のドキュメントを参照してください。
3.16.5. ドライバーのアップロードおよびプリンターの事前設定
Windows クライアントで Print Management
アプリケーションを使用してドライバーをアップロードし、Samba プリントサーバーでホストされるプリンターを事前設定します。詳細は、Windows のドキュメントを参照してください。
3.17. Samba サーバーのパフォーマンスチューニング
本章では、特定の状況で Samba のパフォーマンスを改善できる設定と、パフォーマンスが低下する可能性のある設定を説明します。
このセクションの一部は、Samba Wiki に公開されているドキュメント「Performance Tuning」に掲載されています。ライセンス:CC BY 4.0作成者およびコントリビューター:Wiki ページの history タブを参照してください。
前提条件
- Samba が、ファイルサーバーまたはプリントサーバーとして設定されている。
3.17.1. SMB プロトコルバージョンの設定
新しい SMB バージョンごとに機能が追加され、プロトコルのパフォーマンスが向上します。最新の Windows および Windows Server オペレーティングシステムは、常に最新のプロトコルバージョンに対応しています。Samba がプロトコルの最新バージョンも使用している場合は、Samba に接続する Windows クライアントで、このパフォーマンス改善を活用できます。Samba では、server max protocol のデフォルト値が、対応している安定した SMB プロトコルの最新バージョンに設定されます。
常に最新の安定した SMB プロトコルバージョンを有効にするには、server max protocol
パラメーターを設定しないでください。このパラメーターを手動で設定する場合は、最新のプロトコルバージョンを有効にするために、それぞれ新しいバージョンの SMB プロトコルで設定を変更する必要があります。
次の手順では、server max protocol
パラメーターでデフォルト値を使用する方法を説明します。
手順
-
/etc/samba/smb.conf
ファイルの[global]
セクションから、server max protocol
パラメーターを削除します。 Samba 設定を再読み込みします。
#
smbcontrol all reload-config
3.17.3. パフォーマンスが低下する可能性のある設定
デフォルトでは、Red Hat Enterprise Linux のカーネルは、ネットワークパフォーマンスが高くなるように調整されています。たとえば、カーネルはバッファーサイズに自動チューニングメカニズムを使用しています。/etc/samba/smb.conf
ファイルに socket options
パラメーターを設定すると、このカーネル設定が上書きされます。その結果、このパラメーターの設定により、ほとんどの場合は、Samba ネットワークのパフォーマンスが低下します。
カーネルの最適化された設定を使用するには、/etc/samba/smb.conf
の [global]
セクションから socket options
パラメーターを削除します。
3.18. Samba がデフォルトの SMB バージョンよりも前のバージョンのクライアントと互換対応するような設定
Samba は、サポート対象の最小サーバーメッセージブロック (SMB) バージョンに妥当で安全なデフォルト値を使用します。ただし、以前の SMB バージョンを必要とするクライアントがある場合は、Samba を設定してサポートできます。
3.18.1. Samba サーバーで対応している最小 SMB プロトコルバージョンの設定
Samba では、/etc/samba/smb.conf
ファイルの server min protocol
パラメーターは、Samba サーバーが対応する SMB (server message block) プロトコルの最小バージョンを定義します。本セクションでは、SMB プロトコルの最小バージョンを変更する方法を説明します。
デフォルトでは、RHEL 8.2 以降の Samba では、SMB2 以降のプロトコルバージョンのみに対応します。Red Hat は、非推奨の SMB1 プロトコルを使用することは推奨されません。ただし、お使いの環境で SMB1 が必要な場合は、server min protocol
パラメーターを手動で NT1
に設定して、SMB1 を再度有効にできます。
前提条件
- Samba がインストールされ、設定されている。
手順
/etc/samba/smb.conf
ファイルを編集し、server min protocol
パラメーターを追加して、そのサーバーが対応する最小 SMB プロトコルバージョンに設定できます。たとえば、最小の SMB プロトコルバージョンをSMB3
に設定するには、以下を追加します。server min protocol = SMB3
smb
サービスを再起動します。#
systemctl restart smb
関連情報
-
server min protocol
パラメーターに設定できるプロトコルバージョンの一覧は、man ページのsmb.conf(5)
のserver max protocol
パラメーターの説明を参照してください。
3.19. 頻繁に使用される Samba コマンドラインユーティリティー
本章では、Samba サーバーで作業する場合によく使用されるコマンドを説明します。
3.19.1. net ads join コマンドおよび net rpc join コマンドの使用
net
ユーティリティーの join
サブコマンドを使用すると、Samba を AD ドメインまたは NT4 ドメインに参加させることができます。ドメインに参加するには、/etc/samba/smb.conf
ファイルを手動で作成し、必要に応じて PAM などの追加設定を更新する必要があります。
Red Hat は、realm
ユーティリティーを使用してドメインに参加させることを推奨します。realm
ユーティリティーは、関連するすべての設定ファイルを自動的に更新します。
手順
以下の設定で
/etc/samba/smb.conf
ファイルを手動で作成します。AD ドメインメンバーの場合:
[global] workgroup = domain_name security = ads passdb backend = tdbsam realm = AD_REALM
NT4 ドメインメンバーの場合:
[global] workgroup = domain_name security = user passdb backend = tdbsam
-
/etc/samba/smb.conf
ファイルの[global]
セクションに、*
デフォルトドメインおよび参加するドメイン用の ID マッピング設定を追加します。 /etc/samba/smb.conf
ファイルを検証します。#
testparm
ドメイン管理者としてドメインに参加します。
AD ドメインに参加するには、以下のコマンドを実行します。
#
net ads join -U "DOMAIN\administrator"
NT4 ドメインに参加するには、以下のコマンドを実行します。
#
net rpc join -U "DOMAIN\administrator"
/etc/nsswitch.conf
ファイルのデータベースエントリーpasswd
およびgroup
にwinbind
ソースを追加します。passwd: files
winbind
group: fileswinbind
winbind
サービスを有効にして起動します。#
systemctl enable --now winbind
必要に応じて、
authselect
ユーティリティーを使用して PAM を設定します。詳細は、man ページの
authselect(8)
を参照してください。AD 環境では、必要に応じて Kerberos クライアントを設定します。
詳細は、Kerberos クライアントのドキュメントを参照してください。
3.19.2. net rpc rights コマンドの使用
Windows では、アカウントおよびグループに特権を割り当て、共有での ACL の設定やプリンタードライバーのアップロードなどの特別な操作を実行できます。Samba サーバーでは、net rpc rights
コマンドを使用して権限を管理できます。
設定可能な権限の一覧表示
利用可能な特権とその所有者をすべて表示するには、net rpc rights list
コマンドを使用します。以下に例を示します。
# net rpc rights list -U "DOMAIN
\administrator"
Enter DOMAIN\administrator's password:
SeMachineAccountPrivilege Add machines to domain
SeTakeOwnershipPrivilege Take ownership of files or other objects
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeRemoteShutdownPrivilege Force shutdown from a remote system
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeDiskOperatorPrivilege Manage disk shares
SeSecurityPrivilege System security
特権の付与
アカウントまたはグループへの特権を付与するには、net rpc rights grant
コマンドを使用します。
たとえば、SePrintOperatorPrivilege
権限を、DOMAIN\printadmin
グループに付与します。
# net rpc rights grant "DOMAIN
\printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
Successfully granted rights.
特権の取り消し
アカウントまたはグループから特権を取り消すには、net rpc rights revoke
コマンドを使用します。
たとえば、DOMAIN\printadmin
グループから SePrintOperatorPrivilege
権限を取り消すには、以下のコマンドを実行します。
# net rpc rights remoke "DOMAIN
\printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
Successfully revoked rights.
3.19.4. net user コマンドの使用
net user
コマンドを使用すると、AD DC または NT4 PDC で以下の操作を実行できます。
- すべてのユーザーアカウントの一覧を表示
- ユーザーの追加
- ユーザーの削除
AD ドメイン用の ads
、NT4 ドメイン用の rpc
などの接続方法の指定は、ドメインユーザーアカウントを一覧表示する場合にのみ必要です。その他のユーザー関連のサブコマンドは、接続メソッドを自動検出できます。
-U user_name
パラメーターをコマンドに渡して、要求されたアクションを実行できるユーザーを指定します。
ドメインユーザーアカウントの一覧表示
AD ドメイン内のユーザーを一覧表示するには、以下を実行します。
# net ads user -U "DOMAIN
\administrator"
NT4 ドメインのユーザーを一覧表示するには、以下を実行します。
# net rpc user -U "DOMAIN
\administrator"
ユーザーアカウントのドメインへの追加
Samba ドメインメンバーの場合は、net user add
コマンドを使用して、ユーザーアカウントをドメインに追加できます。
たとえば、user
アカウントをドメインに追加します。
以下のアカウントを追加します。
#
net user add user
password -U "DOMAIN\administrator" User user added必要に応じて、リモートプロシージャコール (RPC) シェルを使用して、AD DC または NT4 PDC でアカウントを有効にします。以下に例を示します。
#
net rpc shell -U DOMAIN
\administrator -S DC_or_PDC_name Talking to domain DOMAIN (S-1-5-21-1424831554-512457234-5642315751) net rpc>user edit disabled user
: no Set user's disabled flag from [yes] to [no] net rpc>exit
ドメインからのユーザーアカウントの削除
Samba ドメインメンバーの場合は、net user delete
コマンドを使用して、ドメインからユーザーアカウントを削除できます。
たとえば、ドメインから user
アカウントを削除するには、以下のコマンドを実行します。
# net user delete user
-U "DOMAIN\administrator"
User user deleted
3.19.5. rpcclient ユーティリティーの使用
rpcclient
ユーティリティーを使用すると、ローカルまたはリモートの SMB サーバーでクライアント側の Microsoft Remote Procedure Call (MS-RPC) 機能を手動で実行できます。ただし、ほとんどの機能は、Samba が提供する個別のユーティリティーに統合されています。rpcclient
は、MS-PRC 関数のテストにのみ使用します。
前提条件
-
samba-client
パッケージがインストールされている。
例
たとえば、rpcclient
ユーティリティーを使用して以下を行うことができます。
プリンターのスプールサブシステム (SPOOLSS) を管理します。
例3.7 プリンターへのドライバーの割り当て
#
rpcclient server_name
-U "DOMAIN\administrator" -c 'setdriver "printer_name" "driver_name"' Enter DOMAIN\administrators password: Successfully set printer_name to driver driver_name.SMB サーバーに関する情報を取得します。
例3.8 すべてのファイル共有および共有プリンターの一覧表示
#
rpcclient server_name
-U "DOMAIN\administrator" -c 'netshareenum' Enter DOMAIN\administrators password: netname: Example_Share remark: path: C:\srv\samba\example_share\ password: netname: Example_Printer remark: path: C:\var\spool\samba\ password:Security Account Manager Remote (SAMR) プロトコルを使用して操作を実行します。
例3.9 SMB サーバー上のユーザーの一覧表示
#
rpcclient server_name
-U "DOMAIN\administrator" -c 'enumdomusers' Enter DOMAIN\administrators password: user:[user1] rid:[0x3e8] user:[user2] rid:[0x3e9]スタンドアロンサーバーまたはドメインメンバーに対してコマンドを実行すると、ローカルデータベースのユーザーの一覧が表示されます。ADDC または NT4 PDC に対してコマンドを実行すると、ドメインユーザーの一覧が表示されます。
関連情報
サポートされるサブコマンドの一覧は、man ページの rpcclient(1)
の COMMANDS
セクションを参照してください。
3.19.6. samba-regedit アプリケーションの使用
プリンター設定などの特定の設定は、Samba サーバーのレジストリーに保存されます。ncurses ベースの samba-regedit
アプリケーションを使用して、Samba サーバーのレジストリーを編集できます。
前提条件
-
samba-client
パッケージがインストールされている。
手順
アプリケーションを起動するには、次のコマンドを入力します。
# samba-regedit
次のキーを使用します。
- カーソルを上下に移動させます。レジストリーツリーと値の間を移動します。
- Enter:キーを開くか、値を編集します。
-
Tab:
Key
ペインとValue
ペインを切り替えます。 - Ctrl+C:アプリケーションを終了します。
3.19.7. smbcontrol ユーティリティーの使用
smbcontrol
ユーティリティーを使用すると、smbd
、nmbd
、winbindd
、またはこのすべてのサービスにコマンドメッセージを送信できます。この制御メッセージは、設定の再読み込みなどのサービスを指示します。
本セクションの手順では、reload-config
メッセージタイプを すべて
の宛先に送信することで、smbd
、nmbd
、winbindd
のサービスの設定を再読み込みする方法を示します。
前提条件
-
samba-common-tools
パッケージがインストールされている。
手順
# smbcontrol all reload-config
関連情報
詳細情報および利用可能なコマンドメッセージタイプの一覧は、man ページの smbcontrol(1)
を参照してください。
3.19.8. smbpasswd ユーティリティーの使用
smbpasswd
ユーティリティーは、ローカルの Samba データベースでユーザーアカウントおよびパスワードを管理します。
前提条件
-
samba-common-tools
パッケージがインストールされている。
手順
ユーザーとしてコマンドを実行すると、
smbpasswd
はコマンドを実行するユーザーの Samba パスワードを変更します。以下に例を示します。[user@server ~]$
smbpasswd
New SMB password: password Retype new SMB password: passwordroot
でsmbpasswd
を実行すると、たとえば以下のようにユーティリティーを使用できます。新しいユーザーを作成します。
[root@server ~]#
smbpasswd -a user_name
New SMB password:password
` Retype new SMB password: [command]password` Added user user_name.注記Samba データベースにユーザーを追加する前に、ローカルのオペレーティングシステムにアカウントを作成する必要があります。『基本的なシステム設定の構成』の「コマンドラインでの新規ユーザーの追加」セクションを参照してください。
Samba ユーザーを有効にします。
[root@server ~]#
smbpasswd -e user_name
Enabled user user_name.Samba ユーザーを無効にします。
[root@server ~]#
smbpasswd -x user_name
Disabled user ser_nameユーザーを削除します。
[root@server ~]#
smbpasswd -x user_name
Deleted user user_name.
関連情報
詳細は、man ページの smbpasswd(8)
を参照してください。
3.19.9. smbstatus ユーティリティーの使用
smbstatus
ユーティリティーは以下について報告します。
-
各
smbd
デーモンの PID ごとの接続を Samba サーバーに接続します。このレポートには、ユーザー名、プライマリグループ、SMB プロトコルのバージョン、暗号、および署名の情報が含まれます。 -
Samba 共有ごとの接続このレポートには、
smbd
デーモンの PID、接続しているマシンの IP、接続が確立された時点のタイムスタンプ、暗号、および署名情報が含まれます。 - ロックされたファイルの一覧。レポートエントリーには、日和見ロック (oplock) タイプなどの詳細が含まれます。
前提条件
-
samba
パッケージがインストールされている。 -
smbd
サービスが実行している。
手順
# smbstatus
Samba version 4.12.3
PID Username Group Machine Protocol Version Encryption Signing
....-------------------------------------------------------------------------------------------------------------------------
963 DOMAIN\administrator DOMAIN\domain users client-pc (ipv4:192.0.2.1:57786) SMB3_02 - AES-128-CMAC
Service pid Machine Connected at Encryption Signing:
....---------------------------------------------------------------------------
example 969 192.0.2.1 Thu Nov 1 10:00:00 2018 CEST - AES-128-CMAC
Locked files:
Pid Uid DenyMode Access R/W Oplock SharePath Name Time
....--------------------------------------------------------------------------------------------------------
969 10000 DENY_WRITE 0x120089 RDONLY LEASE(RWH) /srv/samba/example file.txt Thu Nov 1 10:00:00 2018
関連情報
詳細は、man ページの smbstatus(1)
を参照してください。
3.19.10. smbtar ユーティリティーの使用
smbtar
ユーティリティーは、SMB 共有またはそのサブディレクトリーのコンテンツのバックアップを作成し、そのコンテンツを tar
アーカイブに保存します。または、コンテンツをテープデバイスに書き込むこともできます。
前提条件
-
samba-client
パッケージがインストールされている。
手順
以下のコマンドを使用して、
//server/example/
共有上のdemo
ディレクトリーのコンテンツをバックアップして、/root/example.tar
アーカイブにコンテンツを保存するには、以下を実行します。#
smbtar -s server
-x example -u user_name -p password -t /root/example.tar
関連情報
詳細は、smbtar(1)
の man ページを参照してください。
3.19.11. wbinfo ユーティリティーの使用
wbinfo
ユーティリティーは、winbindd
サービスが作成および使用する情報をクエリーし、返します。
前提条件
-
samba-winbind-clients
パッケージがインストールされている。
手順
たとえば、以下のように、wbinfo
を使用できます。
ドメインユーザーの一覧を表示します。
#
wbinfo -u
AD\administrator AD\guest ...ドメイングループの一覧を表示します。
#
wbinfo -g
AD\domain computers AD\domain admins AD\domain users ...ユーザーの SID を表示します。
#
wbinfo --name-to-sid="AD\administrator"
S-1-5-21-1762709870-351891212-3141221786-500 SID_USER (1)ドメインおよび信頼に関する情報を表示します。
#
wbinfo --trusted-domains --verbose
Domain Name DNS Domain Trust Type Transitive In Out BUILTIN None Yes Yes Yes server None Yes Yes Yes DOMAIN1 domain1.example.com None Yes Yes Yes DOMAIN2 domain2.example.com External No Yes Yes
関連情報
詳細は、man ページの wbinfo(1)
を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。