• Ubuntuに関連したハード、ソフトの備忘録サイトです

Windows 2008 R2 ServerにSamba3を参加させてみました

※レイアウトが崩れていたので、訂正しています。記述に誤りがないか、確認中です。

Samba4は超大型システムソフトですが、如何せん、文献が少ない。それに、Win鯖Active Directoryについて精通しないと、業務で使えません。ただし、ADDCを導入した企業内システムでは、コストがものすごくかかるのも確かで、リプレースに成功すれば、膨大なコスト削減になります。

今回はそういうことを念頭に置きながら、UbuntuにVirtual Boxを使ってWindows 2008 Server R2を導入し、dcpromoでActive Directoryを構築して、Samba3を参加させて見ました。

Win2k8R2の体験版は半年間の使用期間がありますが、Windows Loaderを使えば、悪名高きアクティベーションを回避できます。最新バージョンは2.2.1で、着実にバージョンアップがなされているようです。こちらのサイトにdownloadのリンクがありますから、VirtualBoxでインストールしたあと、Google Chromeをインストールし、解凍してインストール、実行すれば良いです。ただし、マイクロソフトのSecurity Essentialでは、マルウェアとして認識されますから、実行したければ自己責任においてやる、ということになります。

企業内では用いるべきではないでしょう。

さて、dcpromoでActive Directoryを構築し、これまたVirtualboxでWin7Proを構築し、ADに参加させます。さて、Samba3の参加のさせ方ですが、これについては高橋元信さんの「Samba実践入門」、「改訂版・Sambaのすべて」を参考にしました。

行うべきことは、

  1. kerberosの設定
  2. Samba3のインストール
  3. smb.confの設定
  4. Samba3サーバーのADへの参加
  5. Win7Proでの動作確認

になります。

(1)kerberosの設定
前提として、Active DirectoryのドメインをADDC.COM、Windowsサーバーの名前をWin2k8svr01とします。そうすると、Ubuntuでは$apt-get install krb5-userでkerberos関連のソフトをインストールできますが、途中でレルム名(ドメイン名のようなもの)とkerberosサーバーの名前を聞かれますが、前者は大文字のADDC.COM, 後者は小文字でWin2k8svr01.addc.comと入れれば良い。その結果、/etc/krb5.confが生成されますが、高橋さんの著書によるとこれを編集して次のようにすれば良いようです。

[libdefaults]
    default_realm = ADDC.COM
    default_tags_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5
    default_tkt_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5
    prefered_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5
# The following libdefaults parameters are only for Heimdal Kerberos.
    v4_instance_resolve = false
    v4_name_convert = {
         host = {
         rcmd = host
         ftp = ftp
    }
    plain = {
        something = something-else
        fcc-mit-ticketflags = true
}

[realms]
     ADDC.COM = {
         kdc = win2k8svr01.addc.com
         admin_server = win2k8svr01.addc.com
     }

[domain_realm]
     .addc.com = ADDC.COM
     addc.com = ADDC.COM

[login]
     krb4_convert = true
     krb4_get_tickets = false

(2)Samba3のインストール
$ sudo apt-get install sambaでインストールすると、設定ファイルは/etc/samba/smb.confとなりますので、これを少しだけ編集します。とりあえず、グローバルセクションを次のようにすれば良い。

[global]
## Browsing/Identification
    workgroup = ADDC
# workgroup = WIN2K8SVR01
    realm = ADDC.COM
# security = user
    security = ads
    ldap ssl = no

[homes]
    browseable = yes
    writeable = yes
    valid users = %S

[public]
    comment Share Folder
    path = /var/public
    guest ok = yes
    read only = no

[printers]
    comment = All Printers
    browseable = no
    path = /var/spool/samba
    printable = yes
    guest ok = no
    read only = yes
    create mask = 0700
    # Windows clients look for this share name as a source of downloadable
    # printer drivers

 [print$]
    comment = Printer Drivers
    path = /var/lib/samba/printers
    browseable = yes
    read only = yes
    guest ok = no

高橋さんの本ではworkgroupとしてWindows Server名が書かれていましたが、NetBios Domain名、つまり、ADDCが正しいようです。

(3)Active DirectoryへのSamba3の参加
これは、Samba3のコマンドを使って、$ sudo net ads join -UAdministratorとします。逆に脱退する場合は、joinがleaveになります。パスワードを聞かれますが、これは、Windows 鯖でActive Directoryを構築した際の管理者のパスワードです。「joined !」と出たら成功です。その後、「DNSの動的アップデートに失敗しました」というようなメッセージが出ますが、これは黙殺する。高橋さんの本には、このメッセージの抑制の仕方を書いてありますが、サイト管理者の環境ではうまく行きませんでした。随分はまりましたので、基本的には黙殺することをオススメします。

(4)Win7Proでの動作確認
次のようになりました。

ad01

ad02

Samba3サーバーには、Active Directoryの管理センターでユーザーを作成した上で、それと同じUNIXユーザーを作成しておけば、Win7Proから認証なしにアクセスできることを確認しました。

なお、Amazonによると英語ではSamba4についての解説本が今年の末に出る予定だそうです。

 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA