※レイアウトが崩れていたので、訂正しています。記述に誤りがないか、確認中です。
Samba4は超大型システムソフトですが、如何せん、文献が少ない。それに、Win鯖Active Directoryについて精通しないと、業務で使えません。ただし、ADDCを導入した企業内システムでは、コストがものすごくかかるのも確かで、リプレースに成功すれば、膨大なコスト削減になります。
今回はそういうことを念頭に置きながら、UbuntuにVirtual Boxを使ってWindows 2008 Server R2を導入し、dcpromoでActive Directoryを構築して、Samba3を参加させて見ました。
Win2k8R2の体験版は半年間の使用期間がありますが、Windows Loaderを使えば、悪名高きアクティベーションを回避できます。最新バージョンは2.2.1で、着実にバージョンアップがなされているようです。こちらのサイトにdownloadのリンクがありますから、VirtualBoxでインストールしたあと、Google Chromeをインストールし、解凍してインストール、実行すれば良いです。ただし、マイクロソフトのSecurity Essentialでは、マルウェアとして認識されますから、実行したければ自己責任においてやる、ということになります。
企業内では用いるべきではないでしょう。
さて、dcpromoでActive Directoryを構築し、これまたVirtualboxでWin7Proを構築し、ADに参加させます。さて、Samba3の参加のさせ方ですが、これについては高橋元信さんの「Samba実践入門」、「改訂版・Sambaのすべて」を参考にしました。
行うべきことは、
になります。
(1)kerberosの設定
前提として、Active DirectoryのドメインをADDC.COM、Windowsサーバーの名前をWin2k8svr01とします。そうすると、Ubuntuでは$apt-get install krb5-userでkerberos関連のソフトをインストールできますが、途中でレルム名(ドメイン名のようなもの)とkerberosサーバーの名前を聞かれますが、前者は大文字のADDC.COM, 後者は小文字でWin2k8svr01.addc.comと入れれば良い。その結果、/etc/krb5.confが生成されますが、高橋さんの著書によるとこれを編集して次のようにすれば良いようです。
[libdefaults] default_realm = ADDC.COM default_tags_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5 default_tkt_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5 prefered_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5 # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else fcc-mit-ticketflags = true } [realms] ADDC.COM = { kdc = win2k8svr01.addc.com admin_server = win2k8svr01.addc.com } [domain_realm] .addc.com = ADDC.COM addc.com = ADDC.COM [login] krb4_convert = true krb4_get_tickets = false
(2)Samba3のインストール
$ sudo apt-get install sambaでインストールすると、設定ファイルは/etc/samba/smb.confとなりますので、これを少しだけ編集します。とりあえず、グローバルセクションを次のようにすれば良い。
[global] ## Browsing/Identification workgroup = ADDC # workgroup = WIN2K8SVR01 realm = ADDC.COM # security = user security = ads ldap ssl = no [homes] browseable = yes writeable = yes valid users = %S [public] comment Share Folder path = /var/public guest ok = yes read only = no [printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes guest ok = no read only = yes create mask = 0700 # Windows clients look for this share name as a source of downloadable # printer drivers [print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no
高橋さんの本ではworkgroupとしてWindows Server名が書かれていましたが、NetBios Domain名、つまり、ADDCが正しいようです。
(3)Active DirectoryへのSamba3の参加
これは、Samba3のコマンドを使って、$ sudo net ads join -UAdministratorとします。逆に脱退する場合は、joinがleaveになります。パスワードを聞かれますが、これは、Windows 鯖でActive Directoryを構築した際の管理者のパスワードです。「joined !」と出たら成功です。その後、「DNSの動的アップデートに失敗しました」というようなメッセージが出ますが、これは黙殺する。高橋さんの本には、このメッセージの抑制の仕方を書いてありますが、サイト管理者の環境ではうまく行きませんでした。随分はまりましたので、基本的には黙殺することをオススメします。
(4)Win7Proでの動作確認
次のようになりました。
Samba3サーバーには、Active Directoryの管理センターでユーザーを作成した上で、それと同じUNIXユーザーを作成しておけば、Win7Proから認証なしにアクセスできることを確認しました。
なお、Amazonによると英語ではSamba4についての解説本が今年の末に出る予定だそうです。