[samba-jp:22749] Windows-ADとの連携
satoshi takano
takano @ designet.co.jp
2016年 8月 26日 (金) 14:22:14 JST
はじめまして、高野と申します。
今、SambaとWindows ADと連携させて下記のようなシステムを
構築したいと考えております。
☆Sambaサーバ
OS:CentOS7
Samba:(ver4.4.5)
☆Windowsサーバ(ActiveDirectory)
OS:Windows Server 2003
※機能レベルは2000から2003に上げた状態。
実現したいことは下記となります。
・Sambaサーバ側にドメインコントローラ(samba.test)を作成。
・Windowsサーバ側のドメインコントローラ(ad.adtest)と信頼関係を設定。
※方向はSambaサーバ→Windowsサーバ
・WindowsStorageサーバ(Windows2012R2)をファイルサーバとして構築し、Sambaサーバのドメインコントローラーに
参加させる。
・WindowsStorageサーバ側で両ドメインコントローラのユーザのアクセス制限等を行う。
・Sambaサーバのドメインコントローラに参加しているユーザ・Windowsサーバのドメインコントローラに参加している
ユーザでファイルサーバにアクセス(ログイン)できるようにしたい。
現状、いろいろ試したのですが、Sambaサーバのドメインコントローラに参加しているユーザは
ファイルサーバにアクセスできるのですが、Windowsサーバのドメインコントローラに参加している
ユーザはファイルサーバにアクセスできません。
※ファイルサーバ側のアクセス制限もSambaサーバのユーザにしか設定できません。
行ったこととしては、下記となります。
- Sambaサーバにsamba4.4.5をインストール
- 下記コマンドを実施
/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive
Realm [TEST]: samba.test
Domain [samba]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]:xxx.xxx.xxx.xxx
Administrator password:xxxxxxx
Retype password:xxxxxxx
- sambaを起動
- Windowsサーバにて入力方向の信頼関係を設定
- 下記コマンドを実行してSambaサーバから出力方向の信頼関係を設定
/usr/local/samba/bin/samba-tool domain trust create ad.adtest --type=external --direction=outgoing -U administrator @ xxx.adtest --create-location=local --ipaddress=xxx.xxx.xxx.xxx
- Windowsサーバ・Sambaサーバ共に検証を行ってみると信頼関係が結ばれていることが確認できた状態。
ここまでです。
Windowsサーバにはadtestユーザを作成
下記コマンドを実行するとユーザ情報が表示されます。
/usr/local/samba/bin/wbinfo --user-info AD\\adtest
下記コマンドを実行すると認証(krb)もパスします。
/usr/local/samba/bin/wbinfo -K AD\\adtest%パスワード
なのでwinbind的にはユーザが見える状態のようです。
smb.confのグローバルセクションは下記のとおりです。
[global]
netbios name = HOSTNAME
realm = SAMBA.TEST
workgroup = SAMBA
dns forwarder = xxx.xxx.xxx.xxx
server role = active directory domain controller
idmap_ldb:use rfc2307 = yes
本件の解決にご助力いただけると大変助かります。
よろしくお願いいたします。
samba-jp メーリングリストの案内