395.1 SambaのPDCとBDC
主題395:Sambaのドメイン統合
395.1 SambaのPDCとBDC
LinuC300の試験範囲である主題390~397まであるうちの「主題395:Sambaのドメイン統合」から「395.1 SambaのPDCとBDC」についてのまとめ
重要度:3
説明:
プライマリドメインコントローラとバックアップドメインコントローラのセットアップと保守を行えること。
Windows/Linux のクライアントによる NT スタイルのドメインへのアクセスを管理できること。主要な知識範囲:
- ドメインのメンバーシップと信頼関係を理解し設定する
- Samba3とSamba4によるプライマリドメインコントローラの構築と保守を行う
- Samba3とSamba4によるバックアップドメインコントローラの構築と保守を行う
- 既存のドメインにコンピュータを追加する
- ログオンスクリプトを設定する
- 移動(ローミング)プロファイルを設定する
- システムポリシーを設定する重要なファイル、用語、ユーティリティ:
- smb.conf
- セキュリティモード
- サーバロール
- ドメインログオン
- ドメインマスター
- ログオンスクリプト
- ログオンパス
- NTConfig.pol
- net
- プロファイル
- add machine script
- プロファイルのACL
(補足)
~補足1~
「プライマリドメインコントローラー(PDC)」や「バックアップドメインコントローラー(BDC)」は2004年12月にサポートが終了しているWindowsNTによるNTドメインの用語であり、2000年にリリースされたWindows 2000 ServerからはActiveDirectoryドメインになってPDC/BDCという概念がなくなっています。
~補足2~
既存のWindowsNTによるPDCに対して、SambaをBDCにすることはできない。これはWindowsとSambaの機能的な差異によるもので、Sambaでドメインコントローラーを構成したい場合はすべてSambaにする必要がある。
なお、WindowsNTで構成されたドメインにSambaサーバーがメンバーとして参加することはできる。
ドメインのメンバーシップと信頼関係を理解し設定する
~ドメインメンバーシップ~
Sambaは以下のケースでドメインメンバーシップ(=ドメインのメンバー)として動作する。
・Microsoft Windowsドメイン=NTドメイン
・Microsoft Windows Active Directory ドメイン=Active Directoryドメイン
・Sambaで構成されたドメイン=NTドメインまたはActive Directoryドメイン
ドメインメンバーシップの利点
・管理者は中央のドメインデータベースでドメインのメンバーを一括管理できる。
・管理者はポリシー、プロファイル、ログオンスクリプトなどを使ってユーザーを制御できる
・ドメイン内の利用者はシングルサインオンよって利便性が向上する。
~信頼関係~
異なるドメイン同士を結合し、ドメインのメンバーがアクセスできる範囲を拡張する仕組み。
・ドメインA = 信頼元 = 信頼する側
・ドメインB = 信頼先 = 信頼される側
片方向の信頼関係:
ドメインA ⇒ドメインB
・ドメインA が ドメインB を信頼している。
= ドメインA は ドメインB のリソースにアクセスできる。
・ドメインB は ドメインA のことを信頼していない。
= ドメインB は ドメインA のリソースにアクセスできない。
双方向の信頼関係:
ドメインA ⇔ ドメインB
・ドメインAとドメインBはお互いのことを信頼している。
・ドメインAとドメインBはお互いのリソースにアクセスできる。
~関連するコマンド~
net rpc trustdom add
信頼するドメイン用のユーザーを追加する。
Linuxユーザーを事前に作成しておく必要がある。net rpc trustdom del
信頼するドメイン用のユーザーを削除する。net rpc trustdom establish
ドメインの信頼関係を設定する。
このコマンドを実行するSambaサーバーは信頼する側になる。net rpc trustdom revoke
ドメインの信頼関係を解除する。net rpc trustdom list
ドメインの信頼関係を確認する。
~設定例~
既存のwin-domainというドメインに対して信頼関係設定する。
Sambaサーバー側にはLinuxユーザーを作る必要がある。
★ 信頼関係を設定するためのLinuxユーザーを作成 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# useradd -s /dev/false -d /dev/null win-domain$
[root@rocky9-samba32 ~]#
★ 信頼関係を設定するためのユーザーを追加 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net rpc trustdom add win-domain Password123!!
[root@rocky9-samba32 ~]#
★ 信頼関係を設定する ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net rpc trustdom establish win-domain
[root@rocky9-samba32 ~]#Samba3とSamba4によるプライマリドメインコントローラの構築と保守を行う
~SambaでPDCを構成する~
Sambaでプライマリドメインコントローラー(PDC)を構成するためにはグローバルセクション[global]で設定する。
security = USER
Sambaサーバーのセキュリティモードを設定する。
USER:Sambaサーバーでユーザー認証が必要な場合に使用する。
DOMAIN:NTドメインに参加する場合に使用する。
ADS:ActiveDirectoryドメインに参加する場合に使用する。
SHARE:(Samba4で廃止)ユーザーごとの認証情報を必要としない。
SERVER:(Samba4で廃止)他のSMBサーバーに認証を委任する。server role = AUTO(Samba4のみ)
Sambaサーバーのサーバーロールを設定する。
AUTO:security設定によって自動的に選択される。
STANDALONE:ファイルサーバーをとして使う場合に指定する。securityが指定されていない場合の既定値。
MEMBER SERVER:NTドメインのメンバーサーバーにする場合に指定する。
CLASSIC PRIMARY DOMAIN CONTROLLER:NTドメインのPDCにする場合に指定する。
NETBIOS BACKUP DOMAIN CONTROLLER:NTドメインのBDCにする場合に指定する。
ACTIVE DIRECTORY DOMAIN CONTROLLER:ActiveDirectoryドメインのドメインコントローラーにする場合に指定する。
※Samba3ではserver roleの設定はできないがtestparmコマンドで確認できる。workgroup = WORKGROUP
ワークグループとしてドメイン名を指定する。domain logons = No
Yesにするとworkgroupで設定したドメインに所属するクライアントに対していドメインログオン機能を提供し、(ActiveDirectoryドメインではなく)NTドメインのドメインコントローラーとして機能する。domain master = Auto
workgroupで設定したドメインのマスターブラウザとなる。
domain logons = yes の場合に有効となり、domain master = YesとなってPDCとして動作する。 バックアップドメインコントローラー(BDC)を構成する場合にはNoとする。encrypt passwords = Yes
クライアントとのパスワードのやり取りを暗号化する。
NTドメインに参加する場合やPDC/BDCを構成する場合はYesが必須となる。
~WindowsNTのドメイン管理ツールで設定できるようにする~
Sambaのドメインコントローラーに対してWindowsNTのドメイン管理ツールで操作したときにSmabaサーバーで実行されるLinuxコマンドを定義する。
add user script =
ユーザーを追加する際に実行されるLinuxのコマンドを指定する。add group script =
グループを追加する際に実行されるLinuxのコマンドを指定する。add machine script =
コンピューターを追加する際に実行されるLinuxのコマンドを指定する。delete user script =
ユーザーを削除する際に実行されるLinuxのコマンドを指定する。delete user from group script =
グループからユーザーを削除する際に実行されるLinuxのコマンドを指定する。delete group script =
グループを削除する際に実行されるLinuxのコマンドを指定する。add user to group script =
グループにユーザーを追加する際に実行されるLinuxのコマンドを指定する。set primary group script =
ユーザーのプライマリグループを設定する際に実行されるLinuxのコマンドを指定する。
~関連するコマンド~
net getlocalsid
指定したドメインのSIDを確認する。net rpc info
ドメインに関する情報を表示する。net groupmap
グローバルグループを管理する。グローバルグループに対応するLinuxグループを事前に作成しておく必要がある。
add, modify, delete, list
addmem, delmem, listmem ・・・ コマンドはあるがマニュアルにはない
~設定例~
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# vi /usr/local/samba/lib/smb.conf
:
[global]
:
workgroup = EXAMPLE
:
domain logons = yes
domain master = yes
:
add user script = /usr/sbin/useradd %u
add group script = /usr/sbin/groupadd %g
add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
delete user script = /usr/sbin/userdel %u
delete user from group script = /usr/sbin/deluser %u %g
delete group script = /usr/sbin/groupdel %g
:
admin users = administrator
server schannel = yes
:
[root@rocky9-samba32 ~]#
[root@rocky9-samba33 ~]# testparm -sv | grep role
:
Server role: ROLE_DOMAIN_PDC <--- PDCとして設定されている
:
[root@rocky9-samba33 ~]#
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# systemctl start smb
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net rpc info EXAMPLE -U administrator%Password123!
Domain Name: EXAMPLE
Domain SID: S-1-5-21-2275089565-1657100172-2541359826
Sequence number: 1689347834
Num users: 2
Num domain groups: 3
Num local groups: 0
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net getlocalsid EXAMPLE
SID for domain EXAMPLE is: S-1-5-21-2275089565-1657100172-2541359826
[root@rocky9-samba32 ~]#ユーザー追加
Linuxユーザーを作ってからSambaユーザーを作る
★ Linuxユーザーを作成する ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# useradd -u 10001 user01
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# id user01
uid=10001(user01) gid=10001(user01) groups=10001(user01)
[root@rocky9-samba32 ~]#
★ NTドメインのユーザーを作成する ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit -a -U S-1-5-21-2275089565-1657100172-2541359826-10001 user01
new password: ********
retype new password: ********
Forcing Primary Group to 'Domain Users' for user01
Forcing Primary Group to 'Domain Users' for user01
Forcing Primary Group to 'Domain Users' for user01
Forcing Primary Group to 'Domain Users' for user01
Unix username: user01
NT username:
Account Flags: [U ]
User SID: S-1-5-21-2275089565-1657100172-2541359826-10001
Primary Group SID: S-1-5-21-2275089565-1657100172-2541359826-513
Full Name:
Home Directory: \\rocky9-samba32\user01
HomeDir Drive:
Logon Script:
Profile Path: \\rocky9-samba32\user01\profile
Domain: EXAMPLE
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: 木, 07 2月 2036 00:06:39 JST
Kickoff time: 木, 07 2月 2036 00:06:39 JST
Password last set: 土, 15 7月 2023 00:44:14 JST
Password can change: 土, 15 7月 2023 00:44:14 JST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
[root@rocky9-samba32 ~]#グループ追加
Windowsドメインのビルトイングループに相当するグループを作成する。
net groupmapコマンドで指定するグループID(RID)はWindowsで使用されている既定値で設定する。
グループへのユーザー追加はLinuxコマンドで行う。
★ Linuxグループを作成する ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# groupadd -g 512 domainadmins
[root@rocky9-samba32 ~]# groupadd -g 513 domainusers
[root@rocky9-samba32 ~]# groupadd -g 514 domainguests
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# grep domain /etc/group
domainadmins:x:512:
domainusers:x:513:
domainguests:x:514:
[root@rocky9-samba32 ~]#
★ NTドメインのグループを作成する ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net groupmap add ntgroup="Domain Admins" unixgroup=domainadmins rid=512 type=domain
[root@rocky9-samba32 ~]# net groupmap add ntgroup="Domain Users" unixgroup=domainusers rid=513 type=domain
[root@rocky9-samba32 ~]# net groupmap add ntgroup="Domain Guests" unixgroup=domainguests rid=514 type=domain
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net groupmap list
Domain Admins (S-1-5-21-2275089565-1657100172-2541359826-512) -> domainadmins
Domain Guests (S-1-5-21-2275089565-1657100172-2541359826-514) -> domainguests
Domain Users (S-1-5-21-2275089565-1657100172-2541359826-513) -> domainusers
[root@rocky9-samba32 ~]#Samba3とSamba4によるバックアップドメインコントローラの構築と保守を行う
(注意)
SambaでPDC/BDCを構成する場合は何らかの方法でユーザーデータベースをPDCからBDCにコピーする必要がある。
一番確実な方法はユーザーデータベースにldapsamとしPDC/BDCともに同じLDAPサーバーを参照する構成にすれば良い。
(この記事ではそこまでの解説はしない)
機能と利便性
:
Samba BDC を LDAP でないバックエンドで運用することは不可能なので、 バックエンドが何らかの形で「双方向の」伝達を許容し、BDC 側からマスター への変更が可能であるようにしなければならない。現段階でこれをできるのは LDAP のみである。PDC が、そのプライマリとして LDAP マスターサーバーを使うことが 好ましい間、BDC はスレーブ LDAP サーバーを使うことが出来る。
:
~SambaでBDCを構成する~
SambaサーバーでBDCを構成するためにはグローバルセクション[global]で設定する。
domain master = Auto
workgroupで設定したドメインのマスターブラウザとなる。domain logons = yes の場合に有効となり、domain master = YesとなってPDCとして動作する。 バックアップドメインコントローラー(BDC)を構成する場合にはdomain master = Noとする。
~コマンド~
net rpc getsid
PDCからドメインSIDを取得し自分自身のデータベース(secrets.tdb)に保存する(同期する)。net setlocalsid
自分自身のドメインSIDを設定する。net rpc join
既存のNTドメインに参加する。net rpc testjoin
既存のNTドメインに参加できるか確認をする。net rpc vampire
PDCからユーザー情報を取得し同期させる。
~設定例~
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]# vi /usr/local/samba/lib/smb.conf
:
[global]
:
workgroup = EXAMPLE
:
domain logons = yes
domain master = no
:
admin users = administrator
:
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]# net rpc getsid
Storing SID S-1-5-21-2275089565-1657100172-2541359826 for Domain EXAMPLE in secrets.tdb
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]# net getlocalsid EXAMPLE
SID for domain EXAMPLE is: S-1-5-21-2275089565-1657100172-2541359826 <--- PDCと同じSIDになる
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]# net rpc join -U administrator%Password123! BDC
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]# systemctl start smb
[root@rocky9-samba33 ~]#
[root@rocky9-samba33 ~]# testparm -sv | grep role
:
Server role: ROLE_DOMAIN_BDC <--- BDCとして設定されている
:
[root@rocky9-samba33 ~]#(補足) Samba3で構成したNTドメインに参加する
[root@rocky9-samba34 ~]#
[root@rocky9-samba34 ~]# vi /usr/local/samba/lib/smb.conf
:
[global]
:
workgroup = EXAMPLE
:
security = domain
:
[root@rocky9-samba34 ~]#
[root@rocky9-samba34 ~]# testparm -s
Load smb config files from /usr/local/samba/lib/smb.conf
Processing section "[homes]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER <--- DOMAIN_MEMBERとして設定されている
[global]
workgroup = EXAMPLE
server string = Samba Server
security = DOMAIN
log file = /usr/local/samba/var/log.%m
max log size = 50
dns proxy = No
idmap config * : backend = tdb
[homes]
comment = Home Directories
read only = No
browseable = No
[root@rocky9-samba34 ~]#
[root@rocky9-samba34 ~]#
[root@rocky9-samba34 ~]# net rpc join -U administrator%Password123! MEMBER
[root@rocky9-samba34 ~]#既存のドメインにコンピュータを追加する
NTドメインに参加するには、ユーザーやグループ以外に参加するコンピューターについてもアカウントが必要になる。
コンピューターアカウントはユーザーと同じくLinuxユーザーとして存在している必要があるので、事前に作成しておくかadd machine scriptでコマンドを設定しておく必要がある。
~パラメータ~
add machine script =
コンピューターを追加する際に実行されるコマンド
~設定例~
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# useradd -s /dev/false -d /dev/null client-pc01$
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit -a -m client-pc01
Unix username: client-pc01$
NT username:
Account Flags: [W ]
User SID: S-1-5-21-2275089565-1657100172-2541359826-1002
Primary Group SID: S-1-5-21-2275089565-1657100172-2541359826-513
Full Name:
Home Directory: \\rocky9-samba32\client-pc01_
HomeDir Drive:
Logon Script:
Profile Path: \\rocky9-samba32\client-pc01_\profile
Domain: EXAMPLE
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: 木, 07 2月 2036 00:06:39 JST
Kickoff time: 木, 07 2月 2036 00:06:39 JST
Password last set: 月, 10 7月 2023 22:43:40 JST
Password can change: 月, 10 7月 2023 22:43:40 JST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]#ログオンスクリプトを設定する
ユーザーがドメインにログインした時に実行されるスクリプトで、スクリプト自体は共有リソースの[netlogon]で定義したディレクトリに配置する。
ログオンスクリプトはドメインにログインしたクライアントが読み取るものなので文字コードや改行コードはクライアントの環境に合わせる必要がある。
~パラメータ~
logon script =
ユーザーのログインが成功した際にダウンロードして実行されるバッチファイル (.bat) や Windows NT のコマンドファイル (.cmd) を指定する
logon pathで指定したパスからの相対パスで指定する。
~コマンド~
pdbedit [-S|--script STRING] ユーザー名
指定したユーザーのログオンスクリプトを設定する。
ログオンスクリプトは共有リソースの[netlogon]に配置し、相対パスで指定する。
~設定例~
[netlogon]
comment = Network Logon Service
path = /usr/local/samba/lib/netlogon
guest ok = yes
writable = no移動(ローミング)プロファイルを設定する
~パラメータ~
logon home = \\%N\%U
クライアントのホームディレクトリの位置を指定する。
Windows9x系クライアントの移動プロファイルが格納されるディレクトリにもなる。
logon home = "" とすれば、移動プロファイルを無効にすることができるlogon drive =
ホームディレクトリとして接続されるパスを指定する。logon path = \\%N\%U\profile
WindowsNT系クライアントの移動プロファイル(Desktop、NTuser.datなど)が格納されるディレクトリが指定される。
logon path = "" とすれば、移動プロファイルを無効にすることができる
~コマンド~
pdbedit [-h|--homedir STRING] ユーザー名
指定したユーザーのホームディレクトリを設定する。
また、Windows9x系クライアントの移動プロファイルの格納先ディレクトリを設定する。pdbedit [-p|--profile STRING] ユーザー名
指定したユーザーのWindowsNT系クライアントの移動プロファイルの格納先ディレクトリを設定する。profiles
移動プロファイルの表示や変更をする。WindowsNTのみサポート。
~設定例~
[Profiles]
path = /usr/local/samba/profiles
browseable = no
guest ok = yesシステムポリシーを設定する
~システムポリシー~
システムポリシーとは、ドメインに参加しているPCを一括でコントロールする仕組みである。
WindowsNTサーバーでは「システムポリシーエディター」というツールで作成することができる。 ポリシーファイルはNTConfig.POLもしくはConfig.POLというバイナリファイルで、共有セクション[netlogon]に配置することでドメインにログインしたクライアントに対してポリシーを適用することができる。
~アカウントポリシー~
アカウントごとのセキュリティ設定をすることができるアカウントポリシーがある。アカウントポリシーはpdbeditコマンドやnetコマンドで確認変更ができる。
◆ pdbeditコマンド ◆
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit --help
Usage: [OPTION...]
:
--policies-reset restore default policies
-P, --account-policy=STRING value of an account policy (like maximum
-C, --value=LONG set the account policy to this value
:
[root@rocky9-samba32 ~]#
★ min password length(最小パスワード長)を確認 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit -P "min password length"
account policy "min password length" description: Minimal password length (default: 5)
account policy "min password length" value is: 5
[root@rocky9-samba32 ~]#
★ min password length(最小パスワード長)を5文字から8文字に変更 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit -P "min password length" -C 8
account policy "min password length" description: Minimal password length (default: 5)
account policy "min password length" value was: 5
account policy "min password length" value is now: 8
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit -P "min password length"
account policy "min password length" description: Minimal password length (default: 5)
account policy "min password length" value is: 8
[root@rocky9-samba32 ~]
★ 設定したポリシーをリセットする ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit --policies-reset
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# pdbedit -P "min password length"
account policy "min password length" description: Minimal password length (default: 5)
account policy "min password length" value is: 5
[root@rocky9-samba32 ~]#◆ netコマンド ◆
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net help sam policy
Usage:
net sam policy list
List account policies
net sam policy show
Show account policies
net sam policy set
Change account policies
[root@rocky9-samba32 ~]#
★ net sam policyで変更できるポリシーを確認 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net sam policy list
Valid account policies are:
min password length
password history
user must logon to change password
maximum password age
minimum password age
lockout duration
reset count minutes
bad lockout attempt
disconnect time
refuse machine password change
[root@rocky9-samba32 ~]#
★ min password length(最小パスワード長)を確認 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net sam policy show "min password length"
Account policy "min password length" description: Minimal password length (default: 5)
Account policy "min password length" value is: 5
[root@rocky9-samba32 ~]#
★ min password length(最小パスワード長)を5文字から8文字に変更 ★
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net sam policy set "min password length" 8
Account policy "min password length" value was: 5
Account policy "min password length" value is now: 8
[root@rocky9-samba32 ~]#
[root@rocky9-samba32 ~]# net sam policy show "min password length"
Account policy "min password length" description: Minimal password length (default: 5)
Account policy "min password length" value is: 8
[root@rocky9-samba32 ~]#参考文献
この記事が気に入ったらサポートをしてみませんか?