・samba-tool サブコマンド
Samba サーバーを管理するためのCLI(コマンドラインインターフェース)ツールです。特に **Active Directory ドメインコントローラー(AD DC)**として Samba を使っている場合に非常に重要なツール
サブコマンドの部分に入るのは、以下の4つ
dns DNSを管理
domain ドメインを管理
drs レプリケーションを管理(DRSとはディレクトリ複製サービスの意味)
testparm 設定ファイルの構文チェック
user ユーザを管理
group グループを管理
・wbinfo
winbindデーモンに情報を問い合わせるコマンド、winbindはSambaにおいてLinuxとWindowsのアカウント管理を統合するサービス
・smbpasswd
Sambaユーザーのパスワードを設定・変更するためのコマンド(-a:追加、-x:削除)
・Sambaの設定ファイル(smb.conf)において、idmapオプションで使用できるバックエンド
tdb,ldap,nss
・Samba 4サーバにおいて、Active Directoryのドメインコントローラ(AD DC)としての機能を有効化する
samba-tool domain provision
・samba-toolコマンドのuser createサブコマンド
--surname : ユーザーの姓
--must-change-at-next-login : 次回ログイン時にパスワード変更を強制するかどうか
--userou : ユーザーのOU
・Windowsにおいて、セキュリティ識別子(SID)が割り当てられる対象となるエンティティ
ユーザー
グループ
サーバー(コンピューター)
・Sambaの設定ファイル(smb.conf)において、Sambaサーバ自身で処理できないDNSリクエストの転送先となるDNSサーバを指定するオプション
dns forwarder
・Active DirectoryのUsersコンテナ(CN=Users)の特徴
このコンテナにグループポリシー(GPO)を割り当てることはできない (※GPOを割り当てられるのはコンテナでなくOUである)
新しく作成したユーザーはこのコンテナに追加される
・FSMOロール
ADは基本的に複数のドメインコントローラー(DC)で情報を共有・同期するが、いくつかの操作は1台のDCだけがマスターとして行う必要がある。これを担うのが「FSMOロール」
スキーママスター(スキーマ(ADの構造)を変更できる唯一のDC)
インフラストラクチャマスター(ドメイン間のオブジェクト参照を更新する)
ドメイン名前付けマスター(ドメインの追加・削除などを管理)
RIDマスター(オブジェクトの一意ID(RID)の割り当てを管理)
PDCエミュレーター(パスワード変更の即時反映、時刻同期、古いクライアントの互換性など)
なぜ必要なのか⇒ADは分散システムだけど、一貫性を保たなきゃいけない処理があるから。全部が同時にマスターをやったらデータがぶつかるので、「この処理はこのサーバーだけが担当ね」と役割分担している。
・samba-tool domain passwordsettings show で確認できるもの
パスワード履歴の保存数
最長のパスワード有効期間
・SYSVOL
Active Directory (AD) ドメイン環境で、グループポリシー設定やログオンスクリプトなどの設定ファイルを ドメインコントローラー間で共有し、同期させるために使用される。"SYSVOL"ファイル共有はすべてのドメインコントローラ上に存在している必要がある
・複数のSambaサーバ間でSYSVOL共有をrsyncによる同期をする際にすべきこと
PDCエミュレータであるドメインコントローラから他のドメインコントローラに同期する
同期元とならないサーバのSYSVOL共有を読み取り専用にする
GPOを変更する際は、同期元となるドメインコントローラで行う(レプリケーションソースとなるドメインコントローラですべてのGPOを変更を行う)
・Sambaにおいて、特定のユーザーの詳細情報とステータスフラグを表示するコマンド
pdbedit
・Sambaサーバで解決不能なDNS問い合わせを別のDNSサーバに転送する
パラメータ"dns forwarder"に転送先のDNSサーバを指定する
・Active Directoryドメインのグローバルカタログにアクセスする方法
TCP/3268ポートに対するLDAP 接続
・samba-tool group addコマンド実行時に使用できるオプション
--groupou : ユーザオブジェクトを所属させるOUを指定する
--group-type : "Security"もしくは、"Distribution"でグループの種別を指定する
・realm
Sambaの設定ファイル(smb.conf)において、Active Directoryドメイン名を指定するパラメータ
このパラメータはKerberosレルムを指定するためにも使用される。
・Sambaの設定ファイル(smb.conf)において、SambaをActive Directoryのドメインコントローラとして設定するために設定する必要があるもの
server role = active directory domain controller
・LDAPルートオブジェクト
DC=***,DC=**,DC=*(「DC」は「Domain Component」の略で、ドメイン名の一部を表す。)
・Sambaの設定ファイル(smb.conf)において、Winbindが生成するpasswdデータベースにエントリを定義するtemplate設定
template homedir
template shell