認証の設定

In document 管理ガイド (Page 185-188)

第 7 章 RED HAT GLUSTER STORAGE と WINDOWS ACTIVE DIRECTORY の統合

7.2. 統合

7.2.1. 認証の設定

クラスターを Active Directory ドメインに参加させるには、すべてのノードで複数のファイルを手動で 編集する必要があります。

注記 注記

アクティブディレクトリーへの参加前に CTDB が設定されていることを確認し ます。詳細は、『『Red Hat Gluster Storage Administration Guide』の「

『Setting up CTDB for Samba』」を参照してください』。

変更を行う前に、設定と Samba のデータベース(local および ctdb)のバック アップを取ることが推奨されます。

7.2.1.1. Samba の基本的な設定の基本的な設定

Red Hat Gluster Storage 3.4 Batch 4 の更新時点で、新しいデプロイメントに推奨される idmap 設定方 法が推奨されてい autoridます。Red Hat は、などのユーザー ID およびグループ識別子を自動的に計算 する他に tdb、データベーストランザクションと読み取り操作の実行量が少なく、セキュアな ID 履歴

(SID 履歴)をサポートする autorid ための前提条件として推奨されます。

警告 警告

既存のデプロイメントの idmap 設定は変更しないでください。これを行うには、共 有ファイルシステム内のすべてのファイルの権限やアクセス制御リストを変更する など、多数の変更が必要になります。この操作を行うと、ユーザーアクセスの問題 が慎重に作成されない限りです。既存のデプロイメントの idmap 設定設定を変更す る必要がある場合は、Red Hat サポートにお問い合わせください。

Samba 設定ファイルはすべてのノード /etc/samba/smb.conf で同一で、AD の関連するパラメーター が含まれている必要があります。これに加え、ユーザーおよびグループ ID のマッピングをアクティ ベートするには、その他の設定が必要です。

以下の例は、AD 統合の最小 Samba 設定を示しています。

[global]

netbios name = RHS-SMB workgroup = ADDOM

realm = addom.example.com security = ads

clustering = yes

idmap config * : backend = autorid

idmap config * : range = 1000000-19999999 idmap config * : rangesize = 1000000

# ---RHS Options

---#

# The following line includes RHS-specific configuration options. Be careful with this line.

include = /etc/samba/rhs-samba.conf

#=================Share Definitions =====================

警告 警告

上記の例は、smb.conf ファイルに必要な complete global セクションです。この セクションでは、gluster メカニズムが ctdb ロックボリュームの開始または停止時 に設定を変更しないようにするため、このセクションでは表示されていないように してください。

すべてのクラスターノードで同じ名前である必要がある名前のみで netbios name 構成されます。

Windows クライアントは、その名前(この短い形式または FQDN として)からクラスターにのみアク

セスします。個別のノードのホスト名(rhs-srv1、rhs-srv2、…)は、netbios name パラメーターに使 用しないでください。

注記 注記

idmap は、使用可能な最も低い ID 番号および高テストの識別子番号を range 定

義します。で指定したオブジェクト数に対応するのに十分な大きさの範囲を指定 し rangesizeます。

idmap は、各ドメイン範囲で利用可能な識別子の数を rangesize 指定します。

この場合、ドメイン範囲ごとに 100万の識別子があり、range パラメーターは合 計 19 万の識別子があり、これは合計 19 個のドメイン範囲が存在することを示し ています。

個別のホスト名を使用して特定のノードにアクセスできるようにする必要がある 場合は、の netbios aliases パラメーターに追加でき smb.confます。

AD 環境では、通常は実行する必要はありません nmbd。ただし、実行する必要 がある場合には nmbd、cluster addresses smb.conf オプションをクラスター のパブリック IP アドレスの一覧に設定するようにしてください。

7.2.1.2. adバックエンドを使用した代替の設定バックエンドを使用した代替の設定

Active Directory ID を完全に制御する必要がある場合は、モジュールと idmap_ad モジュールを使用し

て、Samba 設定をより詳細に適用でき autoridます。idmap_ad モジュールは、AD の特別な unix 属性 から unix ID を読み取ります。これは、Samba および winbind で使用する前に、AD ドメインの管理者 によって設定する必要があります。

Samba を使用するには idmap_ad、AD ドメイン admin は、so called unix 拡張を使用するために AD ド メインを準備し、Samba サーバーにアクセスできるすべてのユーザーとグループに unix ID を割り当て る必要があります。

たとえば、以下は、ADDOM ドメインの idmap_ad バックエンドを使用する拡張 Samba 設定ファイル です。デフォルトの autorid バックエンドは、ADDOM ドメイン以外のドメインからすべてのオブジェ クトを取得します。

[global]

netbios name = RHS-SMB workgroup = ADDOM

realm = addom.example.com security = ads

clustering = yes

idmap config * : backend = autorid

idmap config * : range = 1000000-1999999 idmap config ADDOM : backend = ad

idmap config ADDOM : range = 3000000-3999999 idmap config ADDOM : schema mode = rfc2307 winbind nss info = rfc2307

# ---RHS Options

---#

# The following line includes RHS-specific configuration options. Be careful with this line.

include = /etc/samba/rhs-samba.conf

#===================Share Definitions =========================

注記 注記

idmap_ad 設定の範囲は、AD 設定で規定されています。これは、AD 管理者が取

得する必要があります。

異なる idmap 設定の範囲は重複しないようにしてください。

スキーマモードと winbind nss info 設定は、同じ値である必要があります。ドメ インがレベル 2003R2 以降の場合、rfc2307 は正しい値になります。古いドメイ ンでは、追加の値 sfu と sfu20 が利用できます。詳細は、idmap_ad および smb.conf の man ページを参照してください。

7.2.1.3. Samba 設定の確認設定の確認

testparm コマンドを使用して、新しい設定ファイルをテストします。例:

# testparm -s

Load smb config files from /etc/samba/smb.conf

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) Loaded services file OK.

Server role: ROLE_DOMAIN_MEMBER

# Global parameters [global]

workgroup = ADDOM

realm = addom.example.com netbios name = RHS-SMB security = ADS

clustering = Yes

winbind nss info = rfc2307

idmap config addom : schema mode = rfc2307 idmap config addom : range = 3000000-3999999 idmap config addom : backend = ad

idmap config * : range = 1000000-1999999 idmap config * : backend = autorid

7.2.1.4. nsswitch 設定設定

Samba 設定が完了したら、Samba が AD からマッピングされたユーザーおよびグループを使用できる

ように有効にする必要があります。これは、winbind を認識させる必要があるローカルの Name Service Switch(NSS)を使用して実行されます。winbind NSS モジュールを使用するには、/etc/nsswitch.conf ファイルを編集します。およびデータベースの winbind エントリーが含まれるファイル passwd が group ある。例:

...

passwd: files winbind group: files winbind ...

これにより、winbind の使用が可能になり、Samba が AD に参加して winbind が起動したら、visible 個々のクラスターノードでユーザーおよびグループが作成されます。

In document 管理ガイド (Page 185-188)