◆SAMBAでActive directoryを構築する際の欠点
SAMBAでActive directoryを構築する際、MicrosoftからCALを購入する必要が無いので、経費を節約することが可能などのメリットもありますが、Windows版と比較し、幾つかの欠点も見受けられます。幾つか取り上げると
➀ドメインコントローラーの冗長構成の場合、ドメインコントローラー間でSysvolが共有されず、rsyncやsmbclient等でレプリケーションを行う必要がある。
➁ポリシーに関してはアカウントポリシー(パスワードのポリシー)ぐらいしか設定できず、グループポリシーが設定できない。
③OU(組織)が設定できない。
以上のような問題があり、特に➁③に関してはLinuxコマンドだけでは対応できません。ですが、Windows Serverにも利用されているRSATというツールをWindowsマシンにインストールすることにより、SAMBAのActive directoryもWindows Serverと同様に設定を行うことが出来るようになります。
以下に実際の方法を見ていきます。
◆Windows Server 2019の場合
⑴「サーバーマネージャー」から「役割と機能の追加」をクリックします。
⑵「役割と機能の追加」ウィザードで「機能の選択」まで進め、以下のチェックボックスにチェックを入れます。
・グループポリシーの管理
・リモートサーバー管理ツール
|_役割管理ツールサービスツール
|_リモートデスクトップ
|_Active Directory Domain Services と Lightweight Directory Services ツール
|_DNSサーバーツール
インストールが正常に終わった場合。この後、このWindowsマシンをAdministratorアカウントでドメインに参加させます。
ドメイン参加後、「サーバーマネージャー」を起動させ、「ツール」>「Active directoryユーザーとコンピューター」を選択します。
以上の様にユーザー等が確認出来ればRSATのセットアップは終了です。
◆RSATの動作確認
⑴RSAT上で組織「testOU」を作成し、その中に「newou」ユーザーを追加します。
⑵以下のコマンドで「newou」が作成されたことを確認してください。
# samba-tool user list | grep -i newou
newou
或は以下のコマンドでユーザーの詳細を確認できます。
# samba-tool user show newou
dn: CN=newou,OU=testOU,DC=ad,DC=co,DC=jp
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: newou
givenName: newou
(中略)
sAMAccountName: newou
sAMAccountType: 805306368
userPrincipalName: newou@ad.co.jp
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=ad,DC=co,DC=jp
pwdLastSet: 133752102780496300
whenChanged: 20241104161118.0Z
userAccountControl: 512
uSNChanged: 4433
distinguishedName: CN=newou,OU=testOU,DC=ad,DC=co,DC=jp
⑶今度は以下のコマンドで、SAMBA側からユーザーを作成し、RSATが正しく新規ユーザー登録が確認出来るのかを検証します。
# samba-tool user add rsattestuser1 Passw0rd --userou=ou=testOU
⑷Windowsマシンの「Active directoryユーザーとコンピューター」の「testOU」上に「rsattestuser1」が作成されていることを確認します。
⑸Windowsマシンを利用し、rsattestuser1でドメイン参加出来ることが確認可能であれば成功です。
参考
RSAT のインストール - SambaWiki
