7.2. Integration

Red Hat Gluster Storage サーバーを Active Directory ドメインに統合するには、以下の一連の手順を実行します。
  1. 認証の設定
  2. Active Directory ドメインへの参加
  3. Active Directory およびサービスの検証/テスト

7.2.1. 認証の設定

クラスターを Active Directory ドメインに参加させるには、すべてのノードでいくつかのファイルを手動で編集する必要があります。
注記
  • アクティブなディレクトリーに参加する前に、CTDB が設定されていることを確認してください。詳細は、『Red Hat Gluster Storage Administration Guide』 の 『Section 6.3.1 Setting up CTDB for Samba』 を参照してください。
  • 変更を行う前に、設定および Samba のデータベース (ローカルおよび ctdb) のバックアップを取得することが推奨されます。

7.2.1.1. Samba の基本設定

Red Hat Gluster Storage 3.4 Batch 4 Update の時点で、新規デプロイメントに推奨される idmap 設定方法は autorid です。tdb などのユーザーおよびグループ ID を自動的に計算する他に、データベーストランザクションおよび読み取り操作の実行は少なくなり、セキュアな ID 履歴 (SID 履歴) をサポートするのに必要な要件であるため、Red Hat では、autorid を推奨しています。
警告
既存のデプロイメントでは idmap 設定を変更しないでください。これを実行するには、共有ファイルシステム内の全ファイルのパーミッションおよびアクセス制御リストの変更など、多数の変更が必要になります。これにより、ユーザーアクセスの問題が作成されない限り、多くの変更が必要になります。既存のデプロイメントの idmap 設定を変更する必要がある場合は、Red Hat サポートにお問い合わせください。
Samba 設定ファイル /etc/samba/smb.conf はすべてのノードで同一であり、AD に関連するパラメーターを含める必要があります。その他に、ユーザーおよびグループ ID とグループ ID のマッピングをアクティブにするために、いくつかの設定が必要になります。
以下の例は、AD 統合の最小 Samba 設定を示しています。
[global]
netbios name = RHS-SMB
workgroup = ADDOM
realm = addom.example.com
security = ads
clustering = yes
idmap config * : backend = autorid
idmap config * : range = 1000000-19999999
idmap config * : rangesize = 1000000

# -----------------RHS Options -------------------------
#
# The following line includes RHS-specific configuration options. Be careful with this line.

       include = /etc/samba/rhs-samba.conf

#=================Share Definitions =====================
警告
上記の例は、smb.conf ファイルで必要な完全な global セクションです。ctdb ロックボリュームの開始または停止時に gluster メカニズムが設定を変更できないようにするため、本セクションに何も表示されないようにします。
netbios name は、すべてのクラスターノードで同じ名前を持つ必要がある 1 つのみで構成されます。Windows クライアントはその名前からのみクラスターにアクセスします (この短い形式または FQDN のいずれか)。個別ノードのホスト名(rhs-srv1、rhs-srv2、…)は netbios name パラメーターに使用することはできません。
注記
  • idmap range は使用可能な ID 番号および高テストの ID 番号を定義します。rangesize で指定されるオブジェクト数に対応するのに十分な大きさの範囲を指定します。
  • idmap rangesize は、各ドメイン範囲で利用可能な ID の数を指定します。この場合、ドメイン範囲ごとに 100 万の識別子があり、range パラメーターで合計 1,900 万の識別子があります。つまり、可能なドメイン範囲の合計は 1,900 万です。
  • 各ホスト名を使用して特定のノードにもアクセスできるようにするには、それらを smb.confnetbios aliases パラメーターに追加できます。
  • AD 環境では、通常 nmbd を実行する必要はありません。ただし、nmbd を実行する必要がある場合は、cluster addresses smb.conf オプションをクラスターのパブリック IP アドレスの一覧に設定するようにしてください。

7.2.1.2. ad バックエンドを使用した代替設定

Active Directory ID を完全に制御する必要がある場合は、autorid に加えて idmap_ad モジュールを使用して、Samba 設定をさらに調整できます。idmap_ad モジュールは、AD の特別な unix 属性から unix ID を読み取ります。これは、Samba および winbind が使用可能になる前に、AD ドメインの管理者が設定する必要があります。
Samba が idmap_ad を使用できるようにするには、AD ドメイン管理者がこのような unix 拡張を使用するための AD ドメインを準備し、Samba サーバーにアクセスできるすべてのユーザーおよびグループに unix ID を割り当てる必要があります。
たとえば、以下は、ADDOM ドメインの idmap_ad バックエンドを使用する拡張 Samba 設定ファイルです。デフォルトの autorid バックエンドは、ADDOM ドメイン以外のドメインからすべてのオブジェクトを取得します。
[global]
netbios name = RHS-SMB
workgroup = ADDOM
realm = addom.example.com
security = ads
clustering = yes
idmap config * : backend = autorid
idmap config * : range = 1000000-1999999
idmap config ADDOM : backend = ad
idmap config ADDOM : range = 3000000-3999999
idmap config ADDOM : schema mode = rfc2307
winbind nss info = rfc2307

# -------------------RHS Options -------------------------------
#
# The following line includes RHS-specific configuration options. Be careful with this line.

       include = /etc/samba/rhs-samba.conf

#===================Share Definitions =========================
注記
  • idmap_ad 設定の範囲は、AD 設定により規定されています。これは、AD 管理者が取得する必要があります。
  • 異なる idmap 設定の範囲は重複しないようにしてください。
  • スキーマモードと winbind nss info 設定は同じ値である必要があります。ドメインがレベル 2003R2 以降である場合、rfc2307 は正しい値になります。古いドメインでは、sfu と sfu20 の値が追加されています。詳細は、idmap_ad および smb.conf の man ページを参照してください。

7.2.1.3. Samba 設定の確認

testparm コマンドを使用して、新しい設定ファイルをテストします。以下に例を示します。
# testparm -s
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Loaded services file OK.

Server role: ROLE_DOMAIN_MEMBER

# Global parameters
[global]
    workgroup = ADDOM
    realm = addom.example.com
    netbios name = RHS-SMB
    security = ADS
    clustering = Yes
    winbind nss info = rfc2307
    idmap config addom : schema mode = rfc2307
    idmap config addom : range = 3000000-3999999
    idmap config addom : backend = ad
    idmap config * : range = 1000000-1999999
    idmap config * : backend = autorid

7.2.1.4. nsswitch の設定

Samba 設定が完了したら、AD からマッピングユーザーおよびグループを使用するように Samba を有効にする必要があります。これは、winbind が認識しなければならないローカルの Name Service Switch (NSS) を介して実行されます。winbind NSS モジュールを使用するには、/etc/nsswitch.conf ファイルを編集します。ファイルに passwd データベースおよび group データベースの winbind エントリーが含まれていることを確認してください。以下に例を示します。
...
passwd: files winbind
group: files winbind
...
これにより、winbind の使用が有効になり、Samba が AD に参加し、winbind が開始されたら、各クラスターノードでユーザーとグループを visible にする必要があります。