思考実験とD.I.Y.

D.I.Y and Gedankenexperiment

【FreeBSD13.4/お家でADドメイン】samba4のADドメインに参加する

コンピュータ コンピュータ-FreeBSD コンピュータ-ネットワーク コンピュータ-お家でADドメイン コンピュータ-その他(コンピュータ)

前回[*1]、FreeBSD13.4なサーバーをsambaスタンドアロンサーバーに設定しましたが、
今回は、アクティブドメインコントローラー(AD-DC)にドメインメンバーサーバーとして登録しようと思います。【注*2

1. samba認証設定を変更

 1)smb4.confの修正
まず、samba4を”スタンドアローンサーバー”から”ドメインメンバーサーバー”に変更するために、smb4.confの設定変更をします。
root@freebsd13.4:# cd /usr/local/etc ; ディレクトリ移動。
root@freebsd13.4:# vi smb4.conf ; smb4.confを修正。


下記の黄色字緑字部分を追加・修正します。

修正前 修正後 備考

[global]
        dos charset = CP932
        unix charset = EUC-JP
        workgroup = my-ad
        netbios name = freebsd13.4
        server string = %L : Samba4 server %v
        security = user
     
        preferred master = no
        wins support = no
        map to guest = Bad User
        guest account = nobody
        load printers = no
        follow symlinks = yes

[..]

[global]
        dos charset = CP932
        unix charset = EUC-JP
        workgroup = my-ad
        netbios name = freebsd13.4
        server string = %L : Samba4 server %v
        #security = user
        security = ads
        preferred master = no
        wins support = no
        map to guest = Bad User
        guest account = nobody
        load printers = no
        follow symlinks = yes
#
        realm = MY-AD.MY-SITE.JP
        kerberos method = secrets and keytab
        dedicated keytab file = /usr/local/etc/samba/default.keytab
        client signing = required
        server signing = required
        log level = 1
        log file = /var/log/samba4/log.%m
        max log size = 50
#
        winbind cache time = 300
        winbind enum users = yes
        winbind enum groups = yes
#
        idmap config * : rangesize = 1000000
        idmap config * : range = 1000000-19999999
        idmap config * : backend = autorid

[..]





スタンドアローンサーバー”から
ドメインメンバーサーバー”に変更。






AD-DCの認証を受けるために、” realm名(レルム名)”を設定。
kerberos認証方法を指定。 



エラー時の問題解決のために、
sambaのログ設定を定義。


 winbind を設定。



PCのSIDと
UnixのUID/GIDとの
紐づけ設定。

 

2)testparmで設定を確認

sambaの”testparm”コマンドで、修正したsmb4.confファイルに誤りがないか確認しておきます。

 

root@freebsd13.4:# /usr/local/bin/testparm

;

修正結果の確認。

 

 

 

 修正した内容に、Typeや、設定内容の競合について、”エラー”/”警告”が表示されなければ、次の作業に移ります。”エラー”/”警告”が表示された場合は、”エラー”/”警告”が表示されなくなるまでsmb4.confの内容を確認して修正します。

3)Kerberosの設定

Kerberos 設定ファイルを新規に作成します。

 

root@freebsd13.4:# vi /etc/krb5.conf ; Kerberos 設定ファイルを新規作成


下記の内容で新規に作成します。

[libdefaults]
        default_realm = MY-AD.MY-SITE.JP
        dns_lookup_realm = false
        dns_lookup_kdc = true
[realms]
       MY-AD.MY-SITE.JP = {
                kdc =  ad-dc.my-ad.my-site.jp
                admin_server =  ad-dc.my-ad.my-site.jp
                default_domain = my-ad.my-site.jp
        }
[domain_realm]
        .my-ad.my-site.jp =MY-AD.MY-SITE.JP
        my-ad.my-site.jp =MY-AD.MY-SITE.JP
[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
# smb4.confで設定したレルム名を指定



# smb4.confで設定したレルム名
# マスターKDCに、AD-DCのホスト名を指定。
# マスターKDCと同じサーバーを指定。
# ADドメイン
 
 
# レルム名とADドメイン名の紐づけ
# レルム名とADドメイン名の紐づけ

     

 

4)/etc/hostsファイルの修正

/etc/hostsファイルに自身のFQDNを設定しておきます。

 

root@freebsd13.4:# vi /etc/hosts ; hostsファイルの修正。

 

下記の黄色字部分を追加します。

[..]

#
:1                      localhost localhost.ad-dc.my-ad.my-site.jp
127.0.0.1               localhost localhost.ad-dc.my-ad.my-site.jp

192.168.aaa.xyz          freebsd13.4freebsd13.4.ad-dc.my-ad.my-site.jp
192.168.aaa.xyz         freebsd13.4.ad-dc.my-ad.my-site.jp freebsd13.4

 

 

5)winbind デーモンの有効化
 

/etc/rc.confファイルを修正してwinbind デーモンの有効にします。

 

root@freebsd13.4:# vi /etc/rc.conf ; rc.confファイルの修正。

 

下記の黄色字部分を追加します。

[..]
#
amd_enable="YES"
samba_server_enable="YES"
winbind_enable="YES"



 

 設定を反映させるために、再起動します。

 

root@freebsd13.4:# reboot    

2. ADドメインへの参加と確認

1)ADドメインへの参加

有効な”DominAdmins”メンバーで、メンバーサーバーをAD-DCに登録します。

root@freebsd13.4:# net ads join -U administorator

 

 ここで、”DNS Update for [ホスト名] failed: ERROR_DNS_UPDATE_FAILED.”と”DNS update failed: NT_STATUS_UNSUCCESSFUL”が発生していますが、いずれも”動的DNS”に関するものです。

今回登録してようとしているAD-DCでは、”動的DNS”を無効にしているので、このエラーが出ています

このエラーが出ても、AD-DCへのメンバーサーバの登録は正常に終了します。

また、今回の場合はNISからホスト一覧を別途、DNSに登録済み[*3]のため、現状、実用上の問題はないと判断しています。

2)メンバーサーバー上の”smbclient”で確認

 

root@freebsd13.4:# smbclient -L ad-dc -U administorator

パスワードを要求されるので、ADユーザーのパスワードを入力します。

正常に認証されると、Windowsパソコンで見えている、AD-DCの共有リストが表示されます。

 

ブログランキング・にほんブログ村へにほんブログ村 IT技術ブログへ

出典・引用・備考

*1:

*2:この投稿の内容は、特定の機種並びに特定の環境での確認結果になります。
同等機種や異なる環境での動作他を保証するものではありませんので、ご留意いただけます様お願いいたします。

*3: