Windows ドメインメンバーサーバ Linux(CentOS 5.1) Ver.2 [Server]
現在、Windows 2003 R2以降の全てのWindows
(サーバだけで無く、Vista、Windows 7、XP 64bitも含む)では
下記「NTドメインメンバサーバ設定」では、
接続に失敗するケースがある。
セキュリティ強化がなされている為。
ドメイン連携で使用する場合、
Active Directory連携の security = ads がベストで、
[global] の設定値も下記と違ってきます。
下記設定値で、確実に接続の問題が発生せずに使用出来るOSは、
Windows 2003(上記の様にR2は、失敗するケースがある)までだと
思います。
「Windows ドメインメンバーサーバ Linux(CentOS 5.1) 」の、
現行のActive Directoryサーバ連携samba NTドメインレベルの設定値。
この下のhogehoge.local、hogehoge.abcdef.jp、NTドメイン名は
各自で実際にあわせて使用して下さい。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
少し話しは、ずれるが サーバを windows server 2003 1台のみで、
Active Directory 構成で運用している場合。
DNSを正しく設定しておけば、ネットワーク接続から開く
「インターネット プロトコル(TCP/IP)」プロパティの
「次のDNSサーバーアドレスを使う」を
プライマリ(優先)DNSサーバ、セカンダリ(代替)DNSサーバとも
空欄のままでも構わない。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
Windows 2003 R2 Enterprise Edition
Active Directory フォレスト、ドメインとも、Windows 2003 機能レベル
コンピュータ名 w2003sv
IPアドレス 192.168.0.101
DNS 192.168.0.101
プライマリ(優先)DNSサーバ 192.168.0.101
セカンダリ(代替)DNSサーバ 192.168.0.1
ADドメイン名 hogehoge.local
NTドメイン名 HOGEHOGE
DHCP 範囲 192.168.0.1~192.168.0.254
DHCP 除外 192.168.0.1~192.168.0.49 192.168.0.100~192.168.0.254
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
Linuxサーバ CentOS 5.1
sambaコンピュータ名 samba30
IPアドレス 192.168.0.102
プライマリ DNS 192.168.0.101
セカンダリ DNS 192.168.0.1
サーバ名 hogehoge.abcdef.jp
NTドメイン名 HOGEHOGE
所々消して見にくいので、以下 Linuxコンソールからテキストを抜き出し。
[root@linux ~]# service smb stop
SMB サービスを停止中: [ OK ]
NMB サービスを停止中: [ OK ]
samba.conf設定変更は、sambaサーバの稼動を一旦停止。
ちょっとした設定変更は、稼動のまま変更値を書き込み後、再起動でOK。
しかし、今回の様にワークグループ設定から、NTドメイン連携サーバへ変更するなど
変更が大きい場合、稼動を一旦停止した方が良いかと。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
# NTドメイン連携メンバサーバで運用時に、smb.confに最低設定する値
[global]
dos charset = CP932
workgroup = HOGEHOGE
netbios name = SAMBA30
server string = Samba Server
security = DOMAIN
passdb backend = tdbsam
log file = /var/log/samba/%m.log
max log size = 50
add user script = useradd -g "smbusers" "%u"
# ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
# 「SAMBA30」のマシン名は、好みの名前で。
# 「add user script」パラメータを設定すると、
# Windowsアカウントを作成済み新規ユーザーが、
# sambaサーバへアクセスすると、Linuxユーザーとして設定され
# sambaユーザーとなり、また自動的にホームディレクトリも作成される。
# Linuxグループを Linuxであらかじめ作成しておく。
# その際のグループ名 「smbusers」だが、好みのグループ名で作成。
# winbind より設定が簡単。1行設定すれば済むので。
# ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
dns proxy = No
ldap ssl = no
cups options = raw
[shares]
comment = 共有データ
path = /home/shares
read only = No
[homes]
comment = %U`s Home Directories
read only = No
browseable = No
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
net rpc joinコマンド実行で、
Joined domain HOGEHOGE.となればWindows 2003との連携が成功。
Windows 2003の「Active Directoryユーザーとコンピュータ」の
Computers にアカウントが作成される。
それを確認後、sambaを再度起動。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
[root@linux ~]# net rpc join -U administrator -w HOGEHOGE
Password:
Joined domain HOGEHOGE.
[root@linux ~]# service smb start
SMB サービスを起動中: [ OK ]
NMB サービスを起動中: [ OK ]
[root@linux ~]#
- 作者: 武田 保真
- 出版社/メーカー: 技術評論社
- 発売日: 2004/12
- メディア: 単行本
セキュアなSambaサーバーの作り方 (日経BPパソコンベストムック)
- 作者: 日経Linux
- 出版社/メーカー: 日経BP社
- 発売日: 2005/10
- メディア: ムック
Windows ドメインメンバーサーバ Linux(CentOS 5.1) Ver.3 [Server]
Linux のグループとユーザの作成をした事が無い方の為に。
注:smb.conf のadd user script あるいは、
winbind が設定してあれば、以下のLinux、samba の設定は必要なし。
Linuxグループ作成
# /usr/sbin/groupadd [-g gid] グループ名
または、
# groupadd [-g gid] グループ名
Linuxユーザ作成
# /usr/sbin/useradd [-u uid] [-g gid] [-G gid補足グループ]
[-s shell] [-m] ユーザ名
または
# useradd [-u uid] [-g gid] [-G gid補足グループ]
[-s shell] [-m] ユーザ名
頭に /usr/sbin/ を付けるかどうかは、
各ディストリビューションによります。
CentOS 5.0系は、省略しても問題ありません。
同様に、最近のRed Hat系ディストリビューションならば、
省略出来るかと。
もし、エラーになるなら、再度 /usr/sbin/ を
頭に付けて作成し直して下さい。
各コマンドの説明
-u (ユーザID) -g (グループID) -s (ログインシェル)
-m (ユーザのホームディレクトリ作成)
-gオプション
所属するメイングループ名、
もしくはGID(グループid番号の意味)を指定する。
-Gオプション
所属する補足グループの指定、グループ名かGIDを指定する。
補足グループは、複数のグループに所属しないユーザは不要。
-sオプション
ログインシェルの指定。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
例
「sambausers」グループ作成
# groupadd -2000 sambausers
グループid番号 2000番の「sambausers」グループが作成される。
「ageage」ユーザ作成
# useradd -u 1234 -g 2000 -s /sbin/nologin -m ageage
ユーザid番号 1234番の「ageage」ユーザが作成され、
同時に、グループid番号 2000番の「sambausers」グループに所属するよう
作成された。
sambaだけのユーザで、Linuxにアクセスする必要が無いので、
Linuxのログインシェル指定は /sbin/nologin で。
(名前の通り Linuxには、ログイン出来ない。)
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
ADドメイン連携メンバサーバであれば、Linuxユーザー登録だけでOK。
Windows Server 2003 の各ユーザアカウントで、パスワードを聞かれる
事も無く、sambaのホームディレクトリと共有ディレクトリにアクセス可能。
ここまで、書き込みしてきて何なんだけれど、冒頭で話した add user script を
設定した方が簡単だと思う。
グループの作成のみしておけば、ユーザー作成は必要無い。
設定値は、Windows ドメインメンバーサーバ Linux(CentOS 5.1) Ver.2 の
samba.conf 設定を参照に。
たのしいUNIX―UNIXへの招待 (Ascii books)
- 作者: 坂本 文
- 出版社/メーカー: アスキー
- 発売日: 1990/11
- メディア: 単行本(ソフトカバー)
- 作者: 武田 保真
- 出版社/メーカー: 技術評論社
- 発売日: 2004/12
- メディア: 単行本
Windows ドメインメンバーサーバ Linux(CentOS 5.1) [Server]
と、いう訳で、以前Windows SBS 2003で上手く行かなかった、
ドメインメンバーサーバを、今回、Windows 2003 R2 Enterprise Edition で構築。
Windows Server 2003 Standard Editionなどでも同様に出来ます。
このActive Directoryサーバに、CentOS 5.1のsambaサーバをドメインメンバーサーバ
として連携。
「security=DOMAIN」でのNTLM認証なので、
DNSを Windows Server 2003 から取得していない。
Active Directory を、フォレストとドメインの各機能レベルをwindows server 2003
で運用中。
Active Directoryのメンバーサーバ連携で運用が出来れば、より安全に認証統合出来る。
NTドメインよりADドメインの方が、NetBIOSと関係無くなり、セキュリティレベルも
上がる。
しかし、いきなり「security=ADS」で構築するより、「security=DOMAIN」で
一度連携出来るか試行してからの方が確実。
という訳で、現在NTレベルドメイン連携で構築中。
この連携でも管理者が少しは楽が出来る。
Linuxで新規ユーザーを設定時に、Linuxパスワードの設定とsambaユーザーの作成は
必要無い。
NTドメイン連携が出来ているので、windows server 2003のユーザーアカウントで
sambaサーバの共有ディレクトリ、ホームディレクトリに自動的にアクセス出来る。
更に、winbindを使えば、windows server 2003のユーザーアカウントのみで、
sambaサーバで作成したディレクトリファイルにアクセスが可能になる。
Linuxユーザー作成とsambaユーザー作成の両方とも、設定する必要が無くなる。
人数が多い事業所などで、管理者の負担が更に軽減される。
とはいえ、現在winbindでの設定はしていない。
やはり、段階的に導入する方が確実だと思うので。
「Windows ドメインメンバーサーバ Linux(CentOS 5.1) Ver.2」で、現行の設定値を。
- 作者: 村嶋 修一
- 出版社/メーカー: 技術評論社
- 発売日: 2005/09/09
- メディア: 大型本
- 作者: 武田 保真
- 出版社/メーカー: 技術評論社
- 発売日: 2004/12
- メディア: 単行本
Windows メモリ2GBでも足りない! [Server]
Windows サーバは、今やメモリ2GB搭載では足りない!
(特に、Windows SBS 2003 R2 Premium Editionが、といった方が良いかも)
Windows Small Business Server 2003 R2 Premium Editionでは
タスクマネージャで確認すると、ページファイル使用量が2.41GBにもなっている時がある。
SQL Server 2005 Workgroup Editionがメモリ喰いなのか、
あるいは、それ以外で入っているソフトもメモリを喰うのか。
一緒に導入したソフトは、
・ Windows SharePoint Services
・ Exchange Server 2003 SP2
・ Windows Server Update Services
・ Shared Fax Service
・ Internet and Security Acceleration (ISA) Server 2004
・ Office Outlook Standard 2003
・ R2 Technology
以上は、Premium Editionで導入した物、
それにSQL版の販売管理ソフトが入ってくらいなのだが。
ちなみに、Windows Server 2003 SP2 Standard Edition はというと、
843MB
まあ~、普通はこんなものでしょう。
メモリ1GB搭載で今のところなんとか間にあってる。
導入しているソフトは
・ SQL Server 2000 Standard Edition
やはりSQL 2000の方が軽いと思う。
それほど高機能を使うわけじゃないから、2000で十分かも。
Windows 2000 Serverでも使えると言う事は、メモリ使用量も少なくて済むし。
・ Windows SharePoint Services 3.0
・ インターネット インフォメーション サービス (IIS) 6.0
・ GroupBoard Workspace 2007(最近導入してみた、情報管理ソフト)
・ SQL版の販売管理ソフト
今のところこの位かな。
ついこの間までは、
(僕の中で、Windows 2000が出てきた時期あたり、ってPCの間隔では十分古いかなぁ)
256MBや512MBくらいで十分かと思っていたら、あっという間に大容量のメモリが
必要(と、いうか必須?)になってしまった。
こうなってくると、必然的に64ビットOSが必要って事になるよな。
64ビットなら、メモリ4GBの壁は関係ないから。
ちなみに、OSの64ビット版と32ビット版のメモリ認識比較
64ビット版は、16TB!
32ビット版が、4GBまで。
最近、LinuxのRHEL 5、CentOS 5.0などの32ビットOSで、
4GB以上でも使えるように出来る方法がある様だが。
しかし、元々が4GBに壁(といっても実際の認識は、3.2~3.6GBまでとハードにより差が
ある様だが、いずれにしても、4GB全てを認識出来ないのは変わらない。)がある物を、
認識出来る設定にするとしても、けっして効率が良いとは思わない。
ただ、使えるというだけでは。。。
やはり、4GB以上必要になるなら、64ビットOSを使うのがベストでしょう。
って、どこまで肥大化するんだよ!
ハードの密度が上がり、大容量メモリが安く製造出来る様になったからか、
ソフトが肥大化し、大容量が必要になったからなのか。
ニワトリが先かタマゴが先か、のような話しだけれど。
- 作者: 村嶋 修一
- 出版社/メーカー: 技術評論社
- 発売日: 2005/09/09
- メディア: 大型本
Active Directory導入と運用の基本 (Windowsサーバ構築ガイドシリーズ)
- 作者: 井上 孝司
- 出版社/メーカー: 毎日コミュニケーションズ
- 発売日: 2007/01
- メディア: 単行本
Windows Small Business Server 2003とsamba [Server]
Linux sambaサーバを、Windows Small Business Server 2003 R2
Active Directory連携ドメインメンバーサーバに加えようと設定したが、
まだ連携が出来ていない。
この6月26日にアップデートした、最新ソース版「Samba 3.0.25b」をコンパイルし
設定してみた。
やはり、「winbind enable local accounts」の設定が無いようだ。
それなら、パッケージ版の3.0.23cでも良いかと、再度パッケージ版に戻し
「add user script」 で、ユーザーアカウント作成をする設定にした。
Windows Small Business Server 2003 の
「Active Directory ユーザーとコンピュータ」にエントリが出現したが。。。
kerberos認証チケット取得が、上手く行っていないようで、
「DNS名」取得出来ないので、windows serverから sambaへアクセス出来ない。
何か、設定のパラメータが不足しているのかも。
やはり Windows Small Business Server 2003 は、1台で全てをこなす
サーバ構成を想定しているようだから、出来ないのかもしれない。。。
しかし、ドメインコントローラーになっていないサーバなら、メンバーサーバに出来るようなので、
ワークグループサーバPCとしてしかエントリ出来ないのかもしれない。
で、Active Directory連携は、Windows Server 2003 でないと無理なのかも。
う~む、もう少しあがいてみるか。。。
- 作者: 村嶋 修一
- 出版社/メーカー: 技術評論社
- 発売日: 2005/09/09
- メディア: 大型本
Active Directory導入と運用の基本 (Windowsサーバ構築ガイドシリーズ)
- 作者: 井上 孝司
- 出版社/メーカー: 毎日コミュニケーションズ
- 発売日: 2007/01
- メディア: 単行本
- 作者: 武田 保真
- 出版社/メーカー: 技術評論社
- 発売日: 2004/12
- メディア: 単行本
Win SBS 2003とsamba [Server]
現在、自宅で Windows Small Business Server 2003 R2 Premium Edition
(以後、SBS 2003)評価版を、クライアントPC Win XP Pro 環境で使用している。
SQL Server 2005 Workgroup Edition は、販売管理ソフトで稼働中。
と、いった様に安定稼動している。
その環境に、Linux sambaサーバをActive Directory連携メンバーサーバとして設定
しようとしているが上手く行かない。
原因として 「Windows Server 2003 ドメインレベル」 に上げている事が、
あるいは関係しているのかもしれない。
「Windows 2000 混在」か、「Windows 2000 ネイティブ」ならば上手く行くかも。。。
といっても、ドメインレベルは一度上げてしまうと降格が出来ない。
たとえば、Windows Server 2003 R2ならば、Active Directoryを削除し、
ワークグループ環境へ降格出来るが、
SBS 2003はActive Directoryが前提で、ワークグループ環境には戻せそうにない様だ。
CentOS 5.0 パッケージ版 samba-3.0.23c-2.el5.2.0.2 だが、
どうも、このパッケージ版には「winbind enable local accounts」の設定が無いみたいだが。
このパラメータで、winbindデータベースにユーザーアカウントを自動作成させる事が
出来るのだが。
「add user script」 で、ユーザーアカウント作成をする設定にしなけば駄目なのかも。
で、何だかんだで kerberos認証チケット取得が出来ず、Active Directoryドメイン連携が
未だに出来ない。
という事で、今また sambaをワークグループ環境設定へ戻し
Active Directory環境の このWin XP Proは、Microsoft Windows Networkから
sambaサーバへアクセス中。
で、Active Directory連携が、パッケージ版で上手く行かないようならsambaを削除して、
最新ソース版samba 3.0.25a をコンパイルしてみる予定。
- 作者: 村嶋 修一
- 出版社/メーカー: 技術評論社
- 発売日: 2005/09/09
- メディア: 大型本
セキュアなSambaサーバーの作り方 (日経BPパソコンベストムック)
- 作者: 日経Linux
- 出版社/メーカー: 日経BP社
- 発売日: 2005/10
- メディア: ムック
- 作者: 高橋 基信
- 出版社/メーカー: 翔泳社
- 発売日: 2005/06/30
- メディア: 大型本
