「Vine2.6 + Samba2.2 + LDAP」でDC

2003/12/30作成 「Sambaを使おう」へ戻る

これは以前も挑戦したのですが、ほんとうに難しかったです。 そこで、このメモは自分でも忘れないように細かく書いておきます。 これを書いている時点では、ネット上にもあまりたくさんの情報はありませんでしたしね。

また、これからチャレンジする方のため、LDAP固有の問題、暗号化とか認証関係はできる限り単純なものにしています (私自身、よく理解できていない部分もありますしね)。

以下では大きな作業ブロック別に書いてあります。
ドメイン構成によっては必要ない部分もありますので、以下のすべてを作業する必要はありません。
自分の構成に該当する部分だけ、作業してください。

それと、ここで使っている各種ソフトウェアのバージョンは以下です。

  • samba-2.2.8a-ja-1.1
  • Convert-ASN1-0.18
  • perl-ldap-0.30
  • openldap-clients-2.1.22-0vl1.1
  • openldap-2.1.22-0vl1.1
  • openldap-devel-2.1.22-0vl1.1
  • openldap-servers-2.1.22-0vl1.1
  • nss_ldap-181-1vl1

また、ここの説明ではLDAPのsuffixを「dc=sg,dc=co,dc=jp」として書いていますので、適宜、読み替えてください。

言葉・基礎知識編

ここはわからないところだけ読んでもらえば結構です。

インストール準備編

ここでは色々なSAMBA+LDAPの構成をする時、 VineLinux2.6では必ず必要となるプログラムのインストールや設定を書いています。 したがって、「構成別インストール編」の、どの構成を取る場合でも、先にこちらを済ませてください。

  1. JXplorerのインストール
  2. 以前のsambaを保管
  3. LDAPサーバーをSAMBAで使えるようにインストール
  4. Perlモジュールのインストール
  5. LDAP対応でSAMBAをインストール
  6. LDAPの基本部分の設定
  7. smbldap-toolsの設定
  8. SWATの設定、smb.confのLDAP部分を設定

「以前のsambaを保管」〜「SWATの設定、smb.confのLDAP部分を設定」までは、すべてのサーバーで行う必要があります。 BDCを複数台設置するときには、それぞれインストール&設定してください。

LDAPの複製を設定

BDCを設置する時だけ、この部分の設定を行います。

  1. PDC側のLDAP設定
  2. BDC側のLDAP設定 (台数分行う)

初期グループと初期ユーザーの設定

これはどんなドメイン構成でも行う必要があります。

  1. 初期グループの登録とLDAPの確認
  2. root,Administrator,adminアカウントの登録
  3. ユーザーの登録

NSS_LDAPのインストールと設定

LDAPを使って、LinuxアカウントとSAMBAアカウントを一元管理したい時に行います。
この設定をすると、/etc/passwdにユーザーが登録されていなくてもLDAPに登録されていればLinuxユーザーとして認識されます。

BDCはLDAPの複製機能を使ってアカウント情報がPDCと同じになりますが、Linuxアカウント (/etc/passwdなど)は複製されません。 したがって、BDCを準備する場合には必ず行う必要があります(この作業を行えばBDCはSAMBAとLinuxのアカウント登録をいっさい行わなくてよくなります)。

この作業は、単独のPDCや普通のファイル・サーバーでは行わなくてもOKです。
NSS_LDAPを使わない、これらの運用形態では、smb.confのunix password sync(UNIX パスワードを同期させる)をYesに設定することで、/etc/passwdとLDAPアカウントの同期を取れます。

  1. NSS_LDAPのインストールと設定

構成別インストール編

ここでは、それぞれの構成について書きます。どれか1つを選択して設定しましょう。

  1. 単純なファイル・サーバー用に設定
  2. PDC用に設定
  3. BDC用に設定

ドメインに参加できないとき

Win2000やWinXP-Proでは、ドメインに参加するときマシン・アカウントが必要です。

ユーザーの登録の中で書いているように、コンピュータ名を登録します。

ドメイン・ログオンできない時

以下にドメイン・ログオンできる条件を書いておきますので、これらをチェックすれば原因はつかめると思います。

  • SAMBAがドメイン・コントローラーとして設定されていること。
    「local master」「domain master」「preferred master」「domain logons」がYesの時、DCとなります。
  • nss_ldapで動作させない場合、ユーザー・アカウントの管理を/etc/passwdとLDAP(または、smbpasswd)の両方で管理しています。どちかが欠けてもつながりません。
  • Win9X以外はマシン・アカウントが存在すること。また、これもユーザー・アカウントの管理と同じ制約があります。
  • nss_ldapを使わないときには、/etc/passwdのユーザーIDとLDAPのuidNumberが同じになっていること。
  • ゲスト・アカウントは規定値のnobodyでなくてもいいが、必ず必要のようです。 最初にドメイン・ログオンするとき、ゲストでつないだ後、ログオンユーザーでつなぐようになっているようです。 LDAPを使う場合はLDAPだけでもOKです。また、LDAPを使わない場合でもsmbpasswdにそのユーザーがないと、うまくつながらないようです。

参考サイト

Samba with LDAP の設定手順

LDAPv3 HOWTO on Debian

@IT:LDAPによるパスワードの一元管理(1/3)
Copyright©2001-2008 釣ったよ! All Right Reserved.    sg@tsuttayo.sytes.net