Samba + OpenLDAPによるWindows　ドメインコントローラの構築

1

-ミラクル・リナックス株式会社

日本Sambaユーザ会 副代表幹事

小田切 耕司

odagiri@miraclelinux.com

Samba + OpenLDAPによる

による

による

によるWindows

ドメインコントローラ

ドメインコントローラ

ドメインコントローラ

ドメインコントローラの

の

の

の構築

構築

構築

構築

～

～

～

～もう

もう

もうWindowsドメインサーバ

もう

ドメインサーバ

ドメインサーバ

ドメインサーバはいらない

はいらない

はいらない

はいらない？！～

？！～

？！～

？！～

2

-目次

• 講師紹介

• なぜSambaを使うのか？

• Samba 2.2新機能

• Winbind/LDAPSAM機能

• LDAPSAMによるPDC構築

• 既存環境をLDAP環境へ移行

• WinNT/2000ｻｰﾊﾞからの移行

• Samba応用機能およびMIRACLE LINUXのSamba

拡張機能紹介

3

-講師紹介

• 1997199719971997年年年年 「「「「UNIXUNIXUNIXUNIX--Windows--WindowsWindowsWindowsネットワーキングネットワーキングネットワーキングネットワーキング」」」」((((テクノプレステクノプレステクノプレステクノプレス) ) ) ) 日本初

日本初 日本初

日本初ののののSambaSambaSambaSamba本本本本！！！！

• 1998年199819981998年年年 「「「「SAMBA/NFSSAMBA/NFSSAMBA/NFSSAMBA/NFSによるによるによるによるUNIXUNIX-UNIXUNIX---WindowsWindowsWindowsWindowsネットワーキングネットワーキングネットワーキングネットワーキング」」」」 ((((テクノプレステクノプレステクノプレステクノプレス) ) ) ) 売

売 売

売れてれてれてれて増刷増刷増刷増刷！！！！

• 1999199919991999年年年年３３３３月月　月月　　LinuxWorld　LinuxWorldLinuxWorldLinuxWorld Conference JapanConference JapanConference Japan‘99Conference Japan999999 『

『『

『Samba Samba Samba Samba ：：：： LinuxLinuxLinuxLinuxととWindowsととWindowsWindowsWindowsのののの共存環境構築共存環境構築共存環境構築共存環境構築 』』』』 • 199919991999年1999年年年11111111月日本月日本月日本月日本SambaSambaユーザSambaSambaユーザユーザユーザ会設立会設立会設立会設立 　　　　代表幹事代表幹事代表幹事代表幹事 • 2000200020002000年年年年　　　　日経日経日経日経LinuxLinux１０LinuxLinux１０１０１０月号月号月号～月号～６～～６６６回連載回連載回連載回連載

「 「「 「企業企業企業企業/学校学校学校における学校におけるにおけるにおけるSambaサーバーサーバー構築サーバーサーバー構築構築構築/運用運用運用運用テクニックテクニックテクニックテクニック」」」」 • 2001200120012001年年年１年１１１月月月月 三菱電機 三菱電機 三菱電機 三菱電機からからからからミラクルミラクルミラクルミラクル・・・・リナックスリナックス株式会社リナックスリナックス株式会社株式会社株式会社へへへへ転職転職転職転職 • 2001200120012001年年年年　　　　日経日経日経日経Linux Linux ６Linux Linux ６６６月号月号月号月号～～６～～６６６回連載回連載回連載回連載

「 「「

「実践実践実践実践Sambaサーバーサーバーサーバーサーバー構築構築/運用構築構築運用運用運用テクニックテクニックテクニックテクニック」」」」 • 2002200220022002年年年年　　　　日経日経日経日経Linux Linux ３Linux Linux ３３３月号月号月号月号～～６～～６６６回連載回連載回連載回連載

「 「「

「Samba 2.2によるによるによるによるサーバーサーバーサーバーサーバー構築運用構築運用構築運用構築運用テクニックテクニックテクニック」テクニック」」」

• 2002200220022002年年年年3333月月月月 日本日本Webmin日本日本WebminWebminWebminユーザーズグループユーザーズグループユーザーズグループユーザーズグループ設立設立設立設立 副代表幹事副代表幹事副代表幹事副代表幹事 • 200220022002年2002年年10年101010月月 日経月月日経日経日経１１１１１１１１月号月号月号月号

「 「「

「複数複数サーバ複数複数サーバサーバのサーバののユーザのユーザユーザユーザ管理管理管理管理ををLDAPををLDAPLDAPLDAPでででで統合統合統合統合しようしようしようしよう」」」」

4

5

-Sambaとは何か？

• Samba(「サンバ」と呼称します)は、Linux および

UNIXマシンを Windows NT/2000互換のファイル

サーバ/プリント・サーバにするオープン・ソース・

ソフトウェアです。 GPL (GNU General Public

License) の元、自由に利用することができます。

• Windowsﾄﾞﾒｲﾝｺﾝﾄﾛｰﾗ機能をはじめとするさまざ

まな管理機能も搭載

• Windows NT/2000 Serverを置き換えることを可能

にします。

6

-なぜ

なぜ

なぜ

なぜWindowsﾌｧｲﾙｻｰﾊ

ﾌｧｲﾙｻｰﾊ

ﾌｧｲﾙｻｰﾊ

ﾌｧｲﾙｻｰﾊﾞﾞﾞﾞを

を

を

をLinuxで

で構築

で

で

構築

構築

構築するの

するの

するの

するの？

？

？

？

• 圧倒的

圧倒的

圧倒的に

圧倒的

に

に

に安

安い

安

安

い

い

い導入

導入

導入

導入コスト

コスト

コスト

コスト

– Win2000ｻｰﾊﾞではCAL(ｸﾗｲｱﾝﾄｱｸｾｽﾗｲｾﾝｽ)が必概 – ｺｽﾄ比較例） １０台のファイルサーバを１０００人で使用する場合、Windows 2000サーバ の価格を１３万円、１ユーザのクライアントアクセスライセンスを５３００円と すると導入にはサーバライセンス費用だけで６６０６６０６６０６６０万円万円万円万円かかることになりま すが、MIRACLE LINUXでは６０６０６０６０万円万円万円万円、、、１、１／１１／／／１０１０１０１０ののののｺｽﾄｺｽﾄｺｽﾄｺｽﾄで導入できます。

• 高

高

高い

高

い

い

い性能

性能

性能

性能

– 必概なH/WﾘｿｰｽがWin2000より少なく、ｽﾙｰﾌﾟｯﾄも高い

• 高

高

高い

高

い

い

い信頼性

信頼性

信頼性

信頼性

– 連続運転に強い（ﾒﾓﾘ･ﾘｰｸがない） – オープンソースなので障害調査しやすく、修正も可能

• 運用

運用

運用のしやすさ

運用

のしやすさ

のしやすさ

のしやすさ

– UNIXのｼｪﾙｺﾏﾝﾄﾞを活用して運用を効率化可能 ｻｰﾊﾞ台数が増えるほど効果的 – 修正モジュール適用にOSのﾘﾌﾞｰﾄが必概ない • OSｲﾝｽﾄｰﾙも２０分ほどで完了 7

-Windows 2000よりLinux+Sambaは高性能

• http://www.pcmag.com/article/0,2997,s%253D1474%2526a%253D16554,00.asp 8

-１万登録ユーザ、3000同時接続を検証

• MIRACLE LINUX Standard Edition V2.1 の性能検証を

OSDL （オープン・ソース・デベロップメント・ラボ）と共同

で行い、Linux ファイルサーバとして1万ユーザを登録し、

3千の同時ユーザ接続が可能であることを実証しました。

• これにより、MIRACLE LINUX 上で Windows ネットワー

ク用の大規模な Linux ファイルサーバ構築が実現可能

なことが実証されたことになります。

• プレスリリース(2002年10月8日)

http://www.miraclelinux.com/pressroom/details/2002100801.html

• Linux Conference 2002の発表資料

http://www.miraclelinux.com/technet/lc2002_samba/

9

-Sambaの機能

• Windows NT/2000互換のファイルサーバ

– ファイル共有、プリンタ共有

– DFS（分散ファイルシステム）機能

（ルートにもメンバにもなれる）

• Windows NT/2000互換のクライアント管理機能

– ドメインコントローラ（ドメイン・ログオンが可能）

– ユーザアカウントの統合管理（PDCだけでユーザ管理可能）

– WINSサーバ機能（Windowsマシンの名前解決）

– マスタブラウザ機能（ネットワークコンピュータ一覧の提供）

– プリンタドライバ自動配布機能（簡単プリンタ設定）

– 移動プロファイル（複数ユーザ/マシンでの共有利用）

– ユーザポリシーの配布（利用者の操作制限）

– ユーザホーム機能（ユーザ専用共有）

– QUOTA:容量制限機能（ユーザ、グループ毎の使用量制限）

10

-Samba 2.2の新機能

• ドメイン・メンバ機能→Winbind機能

機能

機能

機能

– Windowsサーバに登録されたユーザ情報をLinux

で利用可能になった。

• ドメイン・コントローラ機能→LDAPSAM機能

機能

機能

機能

– LDAPSAM機能によりユーザ情報をすべてLDAP

のみで統一管理でき、BDCも設置可能になった。

• MS-DFS機能

• プリンタドライバ配布機能

複数サーバの管理機能の充実

11

-Samba Winbind機能

• Windows NT/2000サーバ

サーバ

サーバ

サーバが

が

が

がPDCとして

として

として

としてドメイン

ドメイン

ドメイン

ドメインが

が

が

が

構成

構成

構成

構成されている

されている

されている

されている場合

場合

場合

場合にのみ

にのみ

にのみ

にのみ採用可能

採用可能

採用可能

採用可能。

。

。

。

• Windows 2000サーバ

サーバ

サーバ

サーバの

の

の

のActive Directoryを

を

を

を使用

使用

使用

使用すれ

すれ

すれ

すれ

ば

ば

ば

ばユーザ

ユーザ

ユーザ

ユーザ管理

管理

管理

管理ドメイン

ドメイン

ドメイン

ドメインを

を

をツリー

を

ツリー構造

ツリー

ツリー

構造

構造

構造にでき

にでき

にでき

にでき、

、

、

、ある

ある

ある

ある

程度

程度

程度

程度の

の

の

の大規模

大規模

大規模ユーザシステム

大規模

ユーザシステム

ユーザシステム

ユーザシステムを

を構築

を

を

構築

構築

構築できる

できる

できる

できる。

。

。

。

• Sambaサーバ

サーバ

サーバ

サーバが

が

が

が複数台

複数台

複数台になっても

複数台

になってもユーザ

になっても

になっても

ユーザ

ユーザ

ユーザ管理

管理

管理

管理は

は

は

は１

１

１

１

台

台

台

台の

の

の

のWindowsの

の

のPDCで

の

で

で

で操作

操作すれば

操作

操作

すれば

すれば良

すれば

良

良

良い

い

い

い。

。

。

。

ユーザ管理を既存の

WindowsＮＴ/2000サーバに統合

12

-Winbindによるユーザ管理機能

Linux + Samba

WinNT/2000 Win95/98 Linux / Solaris telnet/ftpﾛｸﾛｸﾛｸﾞﾞﾞﾞｵﾝﾛｸｵﾝｵﾝｵﾝ SMB認証認証認証認証 (暗号暗号暗号暗号ﾊﾊﾊﾊﾟﾟﾟﾟｽﾜｰﾄｽﾜｰﾄｽﾜｰﾄﾞﾞﾞﾞ）ｽﾜｰﾄ））） PAM認証認証認証認証 (uid,gid) Windowsﾛｸﾛｸﾛｸﾛｸﾞﾞﾞﾞｵﾝｵﾝｵﾝｵﾝ 認証 認証 認証 認証ととととuid,gidのののの変換変換変換変換 Windows NT/2000 Server

smbﾃﾞｰﾓﾝ

winbindﾃﾞｰﾓﾝ

smb認証認証認証認証 NSSWITCHによる uid,gid取得

13

-Samba

LDAPSAM機能

•

ユーザ

ユーザ情報

ユーザ

ユーザ

情報

情報

情報を

をLDAPサーバ

を

を

サーバ

サーバ

サーバで

で

で

で管理

管理

管理

管理

• Sambaサーバ

サーバ

サーバ

サーバを

を

を

をPDC/BDCとして

として

として

としてドメイン

ドメイン

ドメイン

ドメイン構成可能

構成可能

構成可能

構成可能

– Windowsドメイン

ドメイン

ドメイン

ドメインの

の

の

のユーザ

ユーザ

ユーザも

ユーザ

もLDAPサーバ

も

も

サーバ

サーバ

サーバで

で

で

で管理可能

管理可能

管理可能

管理可能に

に

に

に

•

ユーザ

ユーザ管理

ユーザ

ユーザ

管理

管理

管理ドメイン

ドメイン

ドメイン

ドメインを

を

を

をツリー

ツリー構造

ツリー

ツリー

構造

構造

構造にでき

にでき

にでき

にでき、

、

、

、大規模

大規模

大規模

大規模

ユーザシステム

ユーザシステム

ユーザシステム

ユーザシステムを

を

を構築

を

構築

構築

構築できる

できる

できる

できる。

。

。

。

•

専用

専用の

専用

専用

の

の

のｵﾌ

ｵﾌﾟ

ｵﾌ

ｵﾌ

ﾟ

ﾟ

ﾟｼｮﾝ

ｼｮﾝ

ｼｮﾝ

ｼｮﾝ(--with-ldapsam)で

でｺﾝﾊ

で

で

ｺﾝﾊ

ｺﾝﾊ

ｺﾝﾊﾟ

ﾟ

ﾟ

ﾟｲﾙ

ｲﾙする

ｲﾙ

ｲﾙ

する

する必要

する

必要

必要

必要が

が

が

が

ある

ある

ある

ある。

。

。

。MIRACLE LINUXより

より

より

よりパッケージ

パッケージ

パッケージ

パッケージ提供

提供

提供

提供。

。

。

。

ユーザ管理をLDAPに統合

14

-Samba LDAP機能

Samba

(PDC/BDC) Win2000/XP Win98/Me Linux / Solaris

Linux/Solaris

telnet/ftpﾛｸﾛｸﾛｸﾛｸﾞﾞﾞﾞｵﾝｵﾝｵﾝｵﾝ

LDAPｻｰﾊﾞ

が動作する

UNIX/Linux/

Winﾏｼﾝﾞ

sambaAccount

• WindowsWindowsWindowsﾄﾄﾄﾄﾞﾞﾞﾞﾒｲﾝWindows ﾒｲﾝﾒｲﾝ認証ﾒｲﾝ認証や認証認証やややUNIXUNIXUNIXUNIXのの認証のの認証認証認証がすべてがすべてがすべてがすべてLDAPLDAPでLDAPLDAPでで統合可能で統合可能統合可能統合可能になるになるになるになる

複数ｻｰﾊﾞの

ユーザを

一元管理

posixAccount ﾄﾄﾄﾄﾞﾞﾞﾞﾒｲﾝﾒｲﾝﾒｲﾝﾒｲﾝ ﾛｸﾛｸﾛｸﾛｸﾞﾞﾞﾞｵﾝｵﾝｵﾝｵﾝ ﾏｽﾀｰｻｰﾊ ﾏｽﾀｰｻｰﾊ ﾏｽﾀｰｻｰﾊ ﾏｽﾀｰｻｰﾊﾞﾞﾞﾞ ｽﾚｰﾌ ｽﾚｰﾌ ｽﾚｰﾌ ｽﾚｰﾌﾞﾞﾞﾞｻｰﾊｻｰﾊｻｰﾊｻｰﾊﾞﾞﾞﾞ 複製 複製 複製 複製 ﾌｧｲﾙ ﾌｧｲﾙ ﾌｧｲﾙ ﾌｧｲﾙ共有共有共有共有 ﾄﾄﾄﾄﾞﾞﾞﾞﾒｲﾝﾒﾝﾊﾒｲﾝﾒﾝﾊﾒｲﾝﾒﾝﾊﾞﾞﾞﾞなﾒｲﾝﾒﾝﾊななな Samba/Win 障害時 障害時 障害時 障害時にににに切切切切りりり替り替替替ええええ ﾄﾄﾄﾄﾞﾞﾞﾞﾒｲﾝﾒｲﾝﾒｲﾝﾒｲﾝ認証認証認証認証 15

-Part 2.

複数

複数

複数

複数サーバ

サーバ

サーバ

サーバの

の

の

のユーザ

ユーザ

ユーザ

ユーザ管理

管理

管理

管理を

を

を

を

LDAP

LDAP

LDAP

LDAPで

で

で

で統合

統合

統合しよう

統合

しよう

しよう

しよう

16

-複数

複数

複数

複数サーバ

サーバ

サーバ

サーバの

の

の

のユーザ

ユーザ

ユーザ管理問題点

ユーザ

管理問題点

管理問題点

管理問題点

• Linux/UNIX

Linux/UNIX

Linux/UNIX

Linux/UNIX マシン

マシン

マシン

マシンを

を

を

を使用

使用

使用

使用するには

するにはユーザー

するには

するには

ユーザー

ユーザー

ユーザー登録

登録

登録

登録が

が必概

が

が

必概

必概

必概であ

であ

であ

であ

り

り

り

り，

，

，

，一

一

一

一つひとつの

つひとつの

つひとつの

つひとつのマシン

マシンにそれぞれ

マシン

マシン

にそれぞれ

にそれぞれ

にそれぞれユーザー

ユーザー

ユーザー登録

ユーザー

登録

登録

登録していくの

していくの

していくの

していくの

は

は

は

は面倒

面倒

面倒

面倒

• L

L

L

Liiiinux/UNIX

nux/UNIX

nux/UNIX

nux/UNIX の

の

の

の場合

場合，

場合

場合

，

，NFS

，

NFS

NFS

NFS や

や

や

やファイル

ファイル・

ファイル

ファイル

・・

・コピー

コピー

コピー

コピーの

の

の

の関係

関係で

関係

関係

で

で

で同

同

同じ

同

じ

じ

じユー

ユー

ユー

ユー

ザー

ザー

ザー

ザーの

の

の

のuid

uid

uid

uid ，

，

，

，gid

gid

gid

gid はすべての

はすべてのマシン

はすべての

はすべての

マシン

マシン

マシン間

間

間

間で

で同一

で

で

同一

同一

同一にしなければなら

にしなければなら

にしなければなら

にしなければなら

ないのだが

ないのだが

ないのだが

ないのだが，

，

，

，統合管理

統合管理

統合管理

統合管理が

が

が

が容易

容易

容易

容易ではない

ではない

ではない

ではない

• Windows NT/2000/XP

Windows NT/2000/XP

Windows NT/2000/XP マシン

Windows NT/2000/XP

マシン

マシン

マシンにも

にも

にも

にも同様

同様

同様

同様に

にユーザー

に

に

ユーザー

ユーザー登録

ユーザー

登録

登録

登録，

，

，

，パス

パス

パス

パス

ワード

ワード

ワード

ワード設定

設定

設定が

設定

が

が

が必概

必概。

必概

必概

。

。

。特

特

特

特に

にサーバー

に

に

サーバー

サーバー

サーバーや

や

や

や共有

共有

共有

共有マシン

マシン

マシン

マシンがあると

があると

があると

があると

Linux/UNIX

Linux/UNIX

Linux/UNIX

Linux/UNIX のように

のように

のように

のようにコマンド

コマンド

コマンド

コマンドで

で

で

で一括登録

一括登録するのが

一括登録

一括登録

するのが

するのが

するのが容易

容易

容易でなく

容易

でなく

でなく

でなく

面倒

面倒

面倒

面倒

管理コストの増大

17

-従来

従来

従来

従来の

の

の

の方式

方式

方式

方式と

と

と

と問題点

問題点

問題点

問題点

• NIS

NIS

NIS

NIS （

（（

（Network Information

Network Information System

Network Information

Network Information

System

System

System ）

））

）とは

とは

とは

とは

– 米米米米Sun Microsystems Sun Microsystems Sun Microsystems Sun Microsystems 社社社社がががが開発開発開発開発、、/etc/passwd 、、/etc/passwd /etc/passwd /etc/passwd ，，，，group group ，group group ，，hosts ，hosts hosts hosts ファイルファイルファイルファイル を

を を

をネットワークネットワークネットワークネットワーク上上上上でででで集中管理集中管理する集中管理集中管理するするする仕組仕組仕組仕組みみみみ

• NIS

NIS

NIS

NIS や

や

やNIS+

や

NIS+

NIS+

NIS+が

が最近使

が

が

最近使

最近使

最近使われない

われない

われない

われない理由

理由

理由

理由

– アクセスアクセスアクセスアクセス制御機能制御機能制御機能制御機能がががが乏乏乏乏しいためしいためしいためしいため，，セキュリティ，，セキュリティセキュリティセキュリティのののの面面で面面ででで問題問題問題がある問題があるがあるがある – 拡張性拡張性拡張性拡張性やややや性能性能に性能性能ににに問題問題問題問題がありがありがありがあり，，大規模，，大規模大規模大規模システムシステムシステムシステムでのでのでのでの使用使用に使用使用にに適に適適適さないさないさないさない – 運用運用運用運用やややや設定設定が設定設定ががが難難難難しいしいしいしい

– Windows Windows Windows Windows ややややSamba Samba Samba Samba とのとの連携とのとの連携連携連携がががが容易容易容易容易でないでないでないでない

– SUN Solaris SUN Solaris ではSUN Solaris SUN Solaris ではではでは今後今後今後今後NIS/NIS+NIS/NIS+NIS/NIS+NIS/NIS+ははははサポートサポートをサポートサポートををを縮小縮小縮小縮小するするするする予定予定予定予定。。。。 LDAP LDAP LDAP LDAP にににに移行移行移行移行するようにするようにするようにするように推奨推奨推奨推奨しているしているしているしている

現在のサーバ管理には機能不足

18

-LDAP

LDAP

LDAP

LDAPを

を

を

を使

使

使うことの

使

うことの

うことの

うことの利点

利点

利点

利点

• 機能拡張性機能拡張性機能拡張性機能拡張性がががが高高高高いいいい ユーザー ユーザー ユーザー ユーザー管理管理管理管理だけでなくだけでなくだけでなくだけでなく，，，，組織情報組織情報組織情報組織情報のののの管理管理，管理管理，，，コンピュータコンピュータコンピュータコンピュータのの管理のの管理管理管理，，，，アアアア プリケーション プリケーション プリケーション プリケーションのののの管理管理管理管理，，，，メールメールメール・メール・・・アドレスアドレス帳アドレスアドレス帳帳帳，，，電話帳，電話帳電話帳電話帳などいろいろななどいろいろななどいろいろななどいろいろな用用用用 途 途 途 途でででで自由自由自由自由にににに拡張拡張して拡張拡張してしてして使用使用使用使用できるできるできるできる

• UNIX/Linux UNIX/Linux UNIX/Linux UNIX/Linux だけでなくだけでなくだけでなくだけでなくSamba Samba Samba Samba ややWindows ややWindows Windows Windows でもでもでもでも利用利用利用利用できるできるできるできる • 性能性能性能性能にににに関関関関してもしても拡張性してもしても拡張性拡張性拡張性がががが高高高高いいいい

商用 商用 商用

商用ののののLDAP LDAP LDAP LDAP 製品製品製品は製品は数十億はは数十億数十億数十億ののののデータデータデータデータ・・・・エントリエントリエントリエントリでもでもでもでも実運用実運用実運用実運用にに耐にに耐耐耐えるえるえるえる処処処処 理性能 理性能 理性能 理性能をををを備備備備えているえているえているえている。。。。 Linux Linux Linux Linux ディストリビューションディストリビューションディストリビューションディストリビューションにににに添付添付される添付添付されるされるされるオープンソースオープンソースオープンソースのオープンソースののの OpenLDAP OpenLDAP OpenLDAP OpenLDAP もももも数千数千数千数千～～～数万～数万数万エントリ数万エントリでのエントリエントリでのでの実績での実績実績実績がが多数がが多数多数多数あるあるあるある • 細かな細細細かなかなかなアクセスアクセス制御機能アクセスアクセス制御機能制御機能を制御機能ををを有有有有しておりしており，しておりしており，，，SSL SSL SSL SSL などでのなどでの暗号化などでのなどでの暗号化暗号化暗号化もももも可能可能可能可能 で で で でセキュリティセキュリティセキュリティがセキュリティががが強固強固強固強固であるであるであるである • ディレクトリをディレクトリディレクトリディレクトリをを木構造を木構造で木構造木構造でで管理で管理管理管理できできできでき，，サーバー，，サーバーサーバーのサーバーののの分散管理分散管理が分散管理分散管理がが可能が可能可能可能であるであるであるである • 複製機能複製機能複製機能を複製機能ををを備備備備えておりえておりえておりえており，，障害，，障害障害障害にもにもにも対応にも対応対応対応できるできるできるできる 19

-LDAP認証はsmbpasswd認証よりも８倍高速！

• Intel Xeon 2.2GHz ×××× 2(Hyper Threading ON) • Memory 1Gバイトバイトバイトバイト • 100M Ethernet • Kernel 2.4.9 • Samba2.2.4日本語版日本語版日本語版日本語版 • OpenLDAP 2.0.23 ※ ※ ※ ※MIRACLE LINUX社測定社測定社測定社測定

登録

登録

登録

登録ユーザ

ユーザ

ユーザ

ユーザ数

数

数

数

認証時間認証時間認証時間認証時間

20

-LDAP

(Lightweight Directory Access Protocol)

概概

概概

概概

概概

• LDAP LDAP LDAP LDAP ははははディレクトリディレクトリディレクトリディレクトリ・・サービス・・サービスサービスサービスののの一の一一つ一つつつ

• 高機能高機能高機能高機能だがだがだがだが運用負荷運用負荷運用負荷や運用負荷や開発やや開発開発開発コストコストコストコストががが高が高かった高高かったかったITUかったITUITUITU---- T T T T 勧告勧告の勧告勧告ののX.500 のX.500 X.500 X.500 ディレクトディレクトディレクトディレクト リ

リ リ

リ・・・・サービスサービスサービスサービスをををを「「「「90 90 ％90 90 ％％％のののの機能機能機能機能ををを10 を10 ％10 10 ％％の％のののコストコストコストコストでででで実現実現する実現実現するする」する」」」ためにためにために設計ために設計設計設計 • LDAP LDAP LDAP をLDAP をををサポートサポートしたサポートサポートしたしたした商用製品商用製品商用製品商用製品

– Windows2000 Active DirectryWindows2000 Active DirectryWindows2000 Active DirectryWindows2000 Active Directry

http://www.microsoft.com/japan/windows2000/techinfo/howitworks/d http://www.microsoft.com/japan/windows2000/techinfo/howitworks/d http://www.microsoft.com/japan/windows2000/techinfo/howitworks/d

http://www.microsoft.com/japan/windows2000/techinfo/howitworks/default.asefault.asefault.asefault.as p#section2

p#section2 p#section2 p#section2 – Novell eDirectryNovell eDirectryNovell eDirectryNovell eDirectry

http://www.novell.co.jp/products/nds/productinfo.html http://www.novell.co.jp/products/nds/productinfo.html http://www.novell.co.jp/products/nds/productinfo.html http://www.novell.co.jp/products/nds/productinfo.html – iPlanet Directory Server iPlanet Directory Server iPlanet Directory Server iPlanet Directory Server （（（（現在現在現在まだ現在まだまだまだLinux Linux ではLinux Linux ではではでは動作動作動作しない動作しないしないしない））））

http://ja.iplanet.com/products/ids5_0/index.html http://ja.iplanet.com/products/ids5_0/index.html http://ja.iplanet.com/products/ids5_0/index.html http://ja.iplanet.com/products/ids5_0/index.html – IBM SecureWay DirectoryIBM SecureWay DirectoryIBM SecureWay DirectoryIBM SecureWay Directory

http://www http://www http://www

http://www----6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html – Oracle9i ApplicationServer Oracle9i ApplicationServer Oracle9i ApplicationServer Oracle9i ApplicationServer ：：：：Internet DirectoryInternet DirectoryInternet DirectoryInternet Directory

http://www.oracle.co.jp/9i/9ias/func.html http://www.oracle.co.jp/9i/9ias/func.html http://www.oracle.co.jp/9i/9ias/func.html http://www.oracle.co.jp/9i/9ias/func.html – ロータスドミノディレクトリロータスドミノディレクトリロータスドミノディレクトリロータスドミノディレクトリ http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_out http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_out http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_out http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_outlinelinelineline • OpenLDAP OpenLDAP OpenLDAP OpenLDAP （（（（http://www.openldap.org/http://www.openldap.org/http://www.openldap.org/http://www.openldap.org/））））

21

-LDAP

LDAP

LDAP

LDAPで

で

で何

で

何

何

何ができるか

ができるか

ができるか

ができるか？

？

？

？

•

Linux

Linux

Linux

Linuxユーザ

ユーザ

ユーザ

ユーザ

の

の

の

の統合管理

統合管理

統合管理

統合管理

•

Samba

Samba

Samba

Sambaユー

ユー

ユー

ユー

ザ

ザ

ザ

ザの

の

の統合管

の

統合管

統合管

統合管

理

理

理

理

•

Web

Web

Web

Webサーバ

サーバ

サーバ

サーバ

（

（（

（Apache

Apache

Apache

Apache）

））

）の

の

の

の

アクセス

アクセス

アクセス

アクセス制御

制御

制御

制御

•

電話帳

電話帳

電話帳

電話帳、

、

、メー

、

メー

メー

メー

ルアドレス

ルアドレス

ルアドレス

ルアドレス帳

帳

帳

帳

22

-LDAPとRDBMSの違い

• LDAP(ﾈｯﾄﾜｰｸﾌﾟﾛﾄｺﾙ）とSQL（言語）　

LDAP LDAP LDAP LDAP RDBMSRDBMSRDBMSRDBMS 用途 検索性能重視、頻繁な更新には向かない 検索だけでなく頻繁な更新も重視 構造 木構造（行や列といった概念はない） 表構造（行や列が存在） 更新 トランザクションの概念はない トランザクションの概念あり 分散 ツリーの枝単位で分散配置が可能 キーの範囲で分散配置が可能 操作 LDAP（ネットワークプロトコル）で操作 プロトコルは単純 SQL（プログラム言語）で操作 複雑な操作が可能 検索手法 木の枝葉をたどるイメージ 表の行を走査するイメージ 23

-Linux

Linux

Linux

Linux/UNIX

/UNIX

/UNIX

/UNIXの

の

の

のユーザ

ユーザ

ユーザ

ユーザ管理機構

管理機構

管理機構

管理機構

• NSSWITCH

NSSWITCH

NSSWITCH

NSSWITCH機能

機能

機能

機能

– ////etc/etc/etc/etc/nsswitchnsswitchnsswitchnsswitch.conf.confで.conf.confででで、、、、各種各種情報各種各種情報情報の情報ののの取得先取得先取得先取得先をををを指定可能指定可能指定可能指定可能

• ＰＡＭ

ＰＡＭ

ＰＡＭ

ＰＡＭ認証機構

認証機構

認証機構

認証機構

– //etc///etc/etc/etc/pampampampam.d/.d/の.d/.d/ののの中中中中ででアプリケーションででアプリケーションアプリケーションごとのアプリケーションごとのごとのごとの認証認証ルール認証認証ルールルールルールをををを指定可能指定可能指定可能指定可能

• LDAP

LDAP

LDAP

LDAP認証

認証

認証

認証を

を使

を

を

使

使うには

使

うには

うには

うには、

、NSS,PAM

、

、

NSS,PAM

NSS,PAM

NSS,PAMの

の

の

のサポート

サポート

サポートが

サポート

が

が

が必須

必須

必須

必須

– NSS,PAMNSS,PAMNSS,PAMにNSS,PAMににに対応対応対応対応しないしないSUN4,HPしないしないSUN4,HPSUN4,HPSUN4,HP----UX10UX10UX10にUX10に対にに対対しては対してはしてはしては、、、、NISNIS-NISNIS---LDAPLDAPLDAPLDAPゲーゲーゲーゲー トウェイ

トウェイ トウェイ

トウェイ((((ypldapd: http://www.padl.com/)ypldapd: http://www.padl.com/)ypldapd: http://www.padl.com/)でypldapd: http://www.padl.com/)ででで対応可能対応可能対応可能対応可能

Linux OS

情報取得(NSSWITCH)

ユーザ認証(PAM)

file NIS

LDAP DNS

login su

ssh ftp

24

-ネームサービススイッチ

ネームサービススイッチ

ネームサービススイッチ

ネームサービススイッチ機能

機能

機能

機能

• LDAP

LDAP

LDAP

LDAPを

を

を

を認証

認証

認証

認証で

で

で

で使用

使用するには

使用

使用

するには

するには

するには/

//

/etc/nsswitch.conf

etc/nsswitch.conf

etc/nsswitch.conf

etc/nsswitch.confを

を

を

を以下

以下

以下

以下

のように

のように

のように

のように変更

変更

変更

変更

• /

/lib/libnss_ldap.so.2

//

lib/libnss_ldap.so.2

lib/libnss_ldap.so.2

lib/libnss_ldap.so.2が

が

が呼

が

呼ばれる

呼

呼

ばれる

ばれる

ばれる。

。

。

。

• /

/lib/libnss_wins.so.2

//

lib/libnss_wins.so.2

lib/libnss_wins.so.2

lib/libnss_wins.so.2 を

を

を

を使

使うと

使

使

うと

うとWINS(Windows Internet

うと

WINS(Windows Internet

WINS(Windows Internet

WINS(Windows Internet

Name Service)

Name Service)

Name Service)

Name Service)を

を

を

を使

使

使

使って

って

って

って名前解決可能

名前解決可能

名前解決可能

名前解決可能

passwd:

files

ldap

group:

files

ldap

shadow:

files

ldap

25

-プラグマブル

プラグマブル

プラグマブル

プラグマブル認証機能

認証機能

認証機能

認証機能

• /

/etc/pam.d/system

//

etc/pam.d/system

etc/pam.d/system

etc/pam.d/system-

--

-auth

auth

auth

authに

に以下

に

に

以下

以下

以下を

を

を

を設定

設定

設定

設定

• /

/etc/pam.d/sshd

//

etc/pam.d/sshd

etc/pam.d/sshd

etc/pam.d/sshdなどに

などに

などに

などに以下

以下を

以下

以下

を

を

を設定

設定

設定

設定

26

-Part 3：

：：

：実践編

実践編

実践編

実践編

• Linux,Samba,Windowsユーザ

すべてをOpenLDAPで管理する

① パッケージインストール

② LDAPサーバの設定

③ LDAPクライアントの設定

④ Sambaの設定

⑤ Windowsクライアントの設定

27

-• インストール

インストール

インストール

インストールCD

CD

CDの

CD

の

の

のRPM

RPM

RPM

RPM

– nss_ldap

– nscd

– openldap

– openldap-client

– openldap-servers

（

（（

（サーバマシン

サーバマシン

サーバマシン

サーバマシンのみ

のみ

のみ

のみ）

））

）

• http://www.miraclelinux.com/technet/openldap/

– smbldap-tools

– samba-2.2.4.ja-ldap(

通常

通常

通常

通常の

の

の

のﾊ

ﾊﾟﾟﾟﾟｯｹｰｼ

ﾊ

ﾊ

ｯｹｰｼ

ｯｹｰｼ

ｯｹｰｼﾞﾞﾞﾞは

は

は

は不可

不可

不可

不可

)

• 「

「「

「

rpm –Uvh

パッケージ

パッケージ

パッケージ

パッケージ名

名」

名

名

」」

」で

で

で

で導入

導入

導入

導入

OpenLDAP

OpenLDAP

OpenLDAP

OpenLDAP導入

導入

導入

導入と

と

と

と設定

設定

設定

設定

28

-OpenLDAPサーバの設定

• 設定

設定

設定

設定ファイル

ファイル

ファイル

ファイル

サーバ

サーバ

サーバ

サーバ：

：：

：

/etc/openldap/slapd.conf

クライアント

クライアント

クライアント

クライアント：

：：

：

NSS,PAM NSS,PAM NSS,PAM NSS,PAM用用用：用：：：/etc/ldap.conf Ldapadd Ldapadd Ldapadd Ldapaddなどのなどのなどのなどの管理管理管理管理コマンドコマンドコマンドコマンド用用用用::::/etc/openldap/ldap.conf

• OpenLDAP

OpenLDAP

OpenLDAP

OpenLDAP 管理者

管理者

管理者ガイド

管理者

ガイド

ガイド

ガイド

http://www.interq.or.jp/earth/inachi/openldap/admin/ind ex-ja.html

• Red Hat Linux 7.2

Red Hat Linux 7.2

Red Hat Linux 7.2

Red Hat Linux 7.2 リファレンスガイド

リファレンスガイド

リファレンスガイド

リファレンスガイド

http://www.jp.redhat.com/manual/Doc72/RH-DOCS/rhl-rg-ja-7.2/ch-ldap.html

29

-/etc/slapd.confﾊﾟﾗﾒｰﾀ(1)

• suffix ベース・サフィックスを指定する

通常はﾄﾞﾒｲﾝ名をﾍﾞｰｽに指定

例） suffix dc=miraclelinux,dc=com

suffix "ou=sales,ou=yokohama,o=miraclelinux,c=jp"

CN=commonName L=localityName ST=stateOrProvinceName O=organizationName OU=organizationalUnitName C=countryName STREET=streetAddress DC=domainComponent UID=userid 30

-/etc/slapd.confﾊﾟﾗﾒｰﾀ(2)

• rootdn

LDAPサーバの管理者のDN(Distinguished Name：識別名)を

指定する。

なお管理者DNを含むユーザDNには、英大文字、英子文字の

区別はない。

管理者DNの例）

– rootdn "cn=Manager,dc=miraclelinux,dc=com"

• rootpw

LDAPサーバの管理者パスワードを設定する。

– そのままのパスワードを指定するか暗号化したものを設定する – 例）miracleというパスワードをMD5ハッシュする # slappasswd -s miracle -h {MD5} – rootdnをLDAPに登録されているユーザを指定し、LDAPの中にパスワー ドが格納されていれば、rootpwを指定する必概はない。 31

-/etc/slapd.confﾊﾟﾗﾒｰﾀ(3)

• include

– 与えたファイルから追加の設定情報を読み込む。 – 通常はスキーマ定義ファイルを読み込むために使用する 例) include /etc/openldap/schema/samba.schema

• database

– LDAPのデータを格納するのに使用するバックエンド・データベースを 指定。現在ldbm, shell, passwd のいずれかを指定できる。 通常ldbmを使用

• directory

– LDBMファイルを格納するディレクトリを指定 – 例）directory /var/lib/ldap

• index

– 作成する索引の属性とタイプを指定する。 • 例1) uid,gidに関してequal（等値）検索用の索引を作成 index uidNumber,gidNumber eq • 例2) mail（メールアドレス）、surname（名字）に関して、equal検索用と subinitial（前方一致）の索引を作成

index mail,surname eq,subinitial ₃₂

-/etc/slapd.confﾊﾟﾗﾒｰﾀ(4)

• Slapd.confの例：サフィックスを"dc=miraclelinux,dc=com"、管理

者ＤＮを"cn=Manager,dc=miraclelinux,dc=com"、管理者パスワー

ドをmiracle

include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/redhat/rfc822-MailMember.schema include /etc/openldap/schema/redhat/autofs.schema include /etc/openldap/schema/redhat/kerberosobject.schema include /etc/openldap/schema/samba.schema database ldbm directory /var/lib/ldap suffix "dc=miraclelinux,dc=com“ rootdn "cn=Manager,dc=miraclelinux,dc=com“ rootpw miracle index objectClass,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial index uid pres,eq

index rid eq

• 設定が終了したら、OpenLDAPデーモンを起動させる。

# service ldap restart

• システム起動時に自動的に動くように以下を設定

33

-LDAPｸﾗｲｱﾝﾄをauthconfigで設定

• authconigにより/etc/nsswitc.confと/etc/openldap/ldap.conf、/etc/pam.d/system-authが 変更される。 • authconfig実行例（ユーザ情報の設定） NSSWITCHの設定が行われる。 • authconfig実行例（認証の設定） PAMの設定が行われる。 34

-LDAP

LDAP

LDAP

LDAPによる

による

による

によるLinux

Linux

Linux

Linuxユーザ

ユーザ

ユーザの

ユーザ

の

の

の統合管理

統合管理

統合管理

統合管理

• smbldap-toolsによるによるによるによる管理管理管理管理 – smbldap_conf.pm LDAPサーバサーバサーバサーバややややSambaののののデフォルトデフォルトデフォルトデフォルト設定設定を設定設定ををを記述記述記述記述するするするファイルするファイルファイルファイル – smbldap-populate.pl LDAPサーバサーバサーバサーバのののの初期化初期化を初期化初期化ををを行行行行うううう（（（（rootツリーツリーツリーツリーとととデフォルトユーザとデフォルトユーザのデフォルトユーザデフォルトユーザののの登録登録登録登録）））） – smbldap-useradd.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザ アカウントアカウントをアカウントアカウントをを追加を追加追加追加するするするする – smbldap-userdel.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザ アカウントアカウントをアカウントアカウントをを削除を削除削除削除するするするする – smbldap-usermod.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザ アカウントアカウントをアカウントアカウントをを変更を変更変更変更するするするする – smbldap-usershow.pl UNIX/Linux およびおよびおよびSamba/Windowsユーザおよび ユーザユーザユーザ アカウントアカウントアカウントアカウント情報情報を情報情報ををを表示表示表示表示するするするする – smbldap-passwd.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザののののパスワードパスワードパスワードパスワードをを設定をを設定設定設定／／／／変更変更変更する変更するするする – smbldap-groupadd.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを追加追加追加追加するするするする – smbldap-groupdel.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを削除削除削除削除するするするする – smbldap-groupmod.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを変更変更変更変更るるるる – smbldap-groupshow.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを表示表示表示表示するするするする 35

-LDAP

LDAP

LDAP

LDAPによる

による

による

によるSamba

Samba

Samba

Sambaユーザ

ユーザ

ユーザ

ユーザの

の

の

の統合管理

統合管理

統合管理

統合管理

• ユーザ

ユーザ

ユーザの

ユーザ

の

の登録

の

登録

登録

登録

– ユーザユーザ・ユーザユーザ・・・アカウントアカウントアカウントアカウントはは英大文字はは英大文字英大文字は英大文字ははは使用使用せず使用使用せずせずせず、、、英子文字、英子文字、英子文字英子文字、、、数字数字数字数字のみのみのみのみ で

でで

で１１１5１555バイトバイトバイトバイト以下以下以下以下。。日本語。。日本語日本語日本語ももも使用不可も使用不可使用不可使用不可

– 例例）例例）））yamadayamadayamadaというyamadaというユーザというというユーザユーザユーザををを登録を登録し登録登録ししし、、、、パスワードパスワードパスワードパスワードをををを設定設定設定設定 # smbldap

# smbldap# smbldap

# smbldap----useradd.pl useradd.pl useradd.pl useradd.pl ----a a a a ----m yamadam yamadam yamadam yamada # smbldap

# smbldap# smbldap

# smbldap----passwd.pl yamadapasswd.pl yamadapasswd.pl yamadapasswd.pl yamada

36

-LDAP

LDAP

LDAP

LDAPの

の

のGUI

の

GUI

GUI

GUIクライアント

クライアント

クライアント

クライアントの

の

の

の紹介

紹介

紹介

紹介

• LinuxLinuxLinuxでのみLinuxでのみでのみでのみ使用可能使用可能な使用可能使用可能ななツールなツールツールツール

– GQGQGQGQ（（（（日本語利用不可日本語利用不可日本語利用不可日本語利用不可）：）：）：）： http://biot.com/gq/ http://biot.com/gq/ http://biot.com/gq/ http://biot.com/gq/

• WindowsWindowsWindowsでのみWindowsでのみでのみでのみ使用可能使用可能な使用可能使用可能なななツールツールツールツール – Softerra LDAP BrowserSofterra LDAP BrowserSofterra LDAP BrowserSofterra LDAP Browser（（（（無償無償無償無償、、、、図図図図

は は は

は実行例実行例実行例実行例）、）、）、LDAP Administrator）、LDAP AdministratorLDAP AdministratorLDAP Administrator （ （（ （有償有償有償）：有償）：）：）： http://www.ldapadministrator.com http://www.ldapadministrator.com http://www.ldapadministrator.com http://www.ldapadministrator.com / // /

• LinuxLinuxLinuxでもLinuxでもでもでもWindowsWindowsWindowsWindowsでもでも使用でもでも使用使用使用できるできるできるできるツーツーツーツー ル

ル ル ル

– LDAP Browser/EditorLDAP Browser/EditorLDAP Browser/EditorLDAP Browser/Editor（（（（JDK 1.2.2JDK 1.2.2JDK 1.2.2JDK 1.2.2 移行 移行 移行 移行がががが必概必概必概必概）））） http://www.iit.edu/~gawojar/ldap/ http://www.iit.edu/~gawojar/ldap/ http://www.iit.edu/~gawojar/ldap/ http://www.iit.edu/~gawojar/ldap/

37

-Windowsドメイン

ドメイン

ドメイン

ドメインを

を

を

をLDAP+Sambaで

で

で

で構築

構築

構築

構築

• SambaでででWindowsドメインで ドメインドメインをドメインをを構築を構築構築し構築ししし、、Windowsマシン、、 マシンマシンマシンををををドメインメンバドメインメンバドメインメンバドメインメンバにすることでにすることでにすることでにすることで、、、、 Windows 9x / NT / 2000 / XP マシンマシンマシンマシンももももLDAPでででで管理管理することが管理管理することがすることが可能することが可能可能可能になるになるになるになる • SambaのののPDCでの ででで可能可能可能可能なことなことなことなこと – ドメインログオンドメインログオンドメインログオンドメインログオン（（（（シングルサインオンシングルサインオンシングルサインオン)シングルサインオン – NTLM認証認証（認証認証（（（チャレンジチャレンジチャレンジチャレンジ＆＆レスポンス＆＆レスポンスレスポンスレスポンス方式方式方式方式）））） – ログオンスクリプトログオンスクリプトログオンスクリプトログオンスクリプト – 移動移動移動移動プロファイルプロファイルプロファイルプロファイル – NT4相当相当相当相当ののののユーザポリシーユーザポリシーユーザポリシー(NT4/2000/XP)ユーザポリシー – Win98相当相当相当相当ののののグループポリシーグループポリシーグループポリシーグループポリシー(95/98/Me) • SambaのののPDCでまだできないことの でまだできないことでまだできないことでまだできないこと – Win2000相当相当相当相当ののののグループポリシーグループポリシーグループポリシーグループポリシー – Kerberos認証認証認証認証（（（チケット（チケット方式チケットチケット方式方式方式）））） – 他他他ドメイン他ドメインドメインドメインとととと信頼関係信頼関係を信頼関係信頼関係をを結を結結ぶ結ぶぶぶ – ワークステーションワークステーションワークステーションワークステーションののののログオンログオンログオンログオン可能時間可能時間を可能時間可能時間をを制限を制限制限制限するするするする。。。。

• Samba 2.2.4ででででBDCになることはになることはになることはになることは出来出来出来出来るがるがるがるがSAMのの複製のの複製複製複製ができないができないができない。ができない。LDAPの。。 ののの複製機複製機複製機複製機 能

能 能

能ををを使用を使用使用使用することですることですることでSambaをすることで をををPDC,BDCにできるにできるにできるにできる

• smbldap-toolsをををを使使使って使ってってって管理管理することで管理管理することですることですることでLinuxパスワードパスワードパスワードパスワード(MD5)、、、、Windowsパスワードパスワードパスワードパスワード (LANMAN)のののの違違違違いをいをいをいを意識意識することなく意識意識することなくすることなくすることなくユーザユーザユーザユーザをををを管理可能管理可能管理可能管理可能 • Windowsクライアントクライアントクライアントからのクライアントからのからのからのパスワードパスワード変更パスワードパスワード変更変更変更もももも可能可能可能可能 38

-/etc/samba/smb.confの

の

の

の設定

設定

設定

設定(1)

• ldap server

– LDAPサーバサーバサーバサーバがががが稼働稼働稼働している稼働しているしているホストしているホスト名ホストホスト名名名をををを指定指定する指定指定するするする。。。。 – デフォルトデフォルトデフォルトはデフォルトはははlocalhost（（（（同一同一同一同一マシンマシン）マシンマシン）））であるであるである。である。。。 – 例例例例））））ldap server = ldap1.miraclelinux.com

• ldap suffix

– アカウントアカウントアカウントアカウント検索検索検索のための検索のためののためののためのDN(Distinguished Name)をを指定をを指定指定指定するするするする。。。。 – 例例例例））））ldap suffix="dc=miraclelinux,dc=com"

• ldap admin dn

– LDAP管理者管理者管理者管理者ののののDNをををを指定指定指定指定するする。するする。。。これはこれはこれはこれは/etc/openldap/slapd.confにに指定にに指定指定し指定ししし たものと たものと たものと たものと同一同一同一同一とするとするとする。とする。。。またまたまたまた、、、、このこの管理者このこの管理者管理者の管理者のののパスワードパスワードはパスワードパスワードははは以下以下以下以下ののののsmbpasswd コマンド コマンド コマンド コマンドでででで設定設定設定する設定するするする。。。。 • smbpasswd -w パスワードパスワードパスワードパスワード

– 例例例例））））ldap admin dn = "cn=Manager,ou=people,dc=miraclelinux,dc=com"

39

-/etc/samba/smb.confの

の

の

の設定

設定

設定

設定(2)

• ldap filter

– sambaAccountオブジェクトクラスオブジェクトクラスオブジェクトクラスオブジェクトクラスからからからからログインログインログインログイン名名、名名、、、uidををを検索を検索検索検索するためするためするためするため に にに にフィルタフィルタをフィルタフィルタををを指定指定する指定指定するするする。。。。これはこれはデフォルトこれはこれはデフォルトデフォルトのままでデフォルトのままでのままでのままで使用使用使用使用するするする。する。。。 – ldap filter = "(&(uid=%u)(objectclass=sambaAccount))"

• ldap port

– LDAPサーバサーバサーバサーバににににアクセスアクセスアクセスアクセスするときのするときのするときのするときのポートポート番号ポートポート番号番号番号をををを指定指定する指定指定するするする。。。。 – SSLでででで暗号化暗号化暗号化暗号化するするするする場合場合は場合場合ははは636をををを使用使用使用使用しし、しし、、、暗号化暗号化暗号化暗号化しないしないしないしない場合場合は場合場合ははは389をををを使用使用使用使用 する するする する。。。。

• ldap ssl

– LDAPとのとのとのとの通信通信通信通信ををSSLでをを ででで暗号化暗号化暗号化暗号化するするするする場合場合は場合場合はははon、、、、しないしないしないしない場合場合は場合場合はははoffとするとするとするとする。。。。

LDAPv3 StartTLS 拡張拡張拡張拡張をををを使用使用使用使用するするするする場合場合は場合場合ははstart_tls をは ををを使用使用する使用使用するするする。。。。

40

-/etc/samba/smb.confの

の

の設定

の

設定

設定(3)

設定

• PDC,BDC,ドメインメンバ

ドメインメンバ

ドメインメンバ

ドメインメンバの

の

の

の設定

設定

設定

設定

PDC

BDC

ﾄﾄﾄﾄﾞﾞﾞﾞﾒｲﾝ

ﾒｲﾝ

ﾒｲﾝ ﾒﾝﾊ

ﾒｲﾝ

ﾒﾝﾊ

ﾒﾝﾊ

ﾒﾝﾊﾞﾞﾞﾞ

domain logon

yes

yes

no

domain master

yes

no

no

os level

64

32

20

preferred master

yes

yes

no

local master

yes

yes

yes