◆Winbindとは?
Windowsドメインのユーザー情報に基づいてLinuxユーザーを自動作成し、それをNSS(Name Service Switch)を用いてSambaサーバーに提供することが出来ます。
これにより、Windowsドメインに参加している環境で考慮する必要があるLinuxユーザーの作成及び削除の作業が不要になります。
前回行った「WindowsのActive DirectoryにLinuxマシンを認証させる」の環境で今回はWinbind機構の基本設定を行います。
⑴# dnf install samba-winbind samba-winbind-clients
メタデータの期限切れの最終確認: 23:23:56 前の 2024年09月26日 22時50分37秒 に実施しました。
依存関係が解決しました。
================================================================================
パッケージ Arch バージョン リポジトリー サイズ
================================================================================
インストール:
samba-winbind x86_64 4.19.4-105.el9_4 baseos 422 k
samba-winbind-clients x86_64 4.19.4-105.el9_4 appstream 80 k
依存関係のインストール:
samba-dcerpc x86_64 4.19.4-105.el9_4 baseos 685 k
samba-winbind-modules x86_64 4.19.4-105.el9_4 baseos 62 k
トランザクションの概要
================================================================================
インストール 4 パッケージ
(中略)
インストール済み:
samba-dcerpc-4.19.4-105.el9_4.x86_64
samba-winbind-4.19.4-105.el9_4.x86_64
samba-winbind-clients-4.19.4-105.el9_4.x86_64
samba-winbind-modules-4.19.4-105.el9_4.x86_64
完了しました!
◆NSSの設定
# cp -p /etc/nsswitch.conf{,.org}
# vi /etc/nsswitch.conf
(前略)
passwd: files sss systemd winbind #←winbinを追記
group: files sss systemd winbind #←winbinを追記
(略)
⑵Winbind機構の起動と動作確認
# systemctl start winbind.service ←winbind起動
# systemctl enable winbind.service ←winbindの自動起動
# systemctl is-active winbind.service ←winbindの起動チェック
active
# systemctl is-enabled winbind.service ←winbindの自動起動チェック
enabled
# vi /etc/samba/smb.conf ↓以下の内容を修正・追記
(前略)
[global]
idmap config * : range = 10000-19999 #←最低限必要な設定
[homes]
browseable = No
writeable = Yes
[tmp]
path = /tmp #←ファイル共有設定
writeable = Yes
# wbinfo -p ←winbindの起動確認
Ping to winbindd succeeded
# wbinfo -t ←inbind機構とADとの間で通信が行われているか
checking the trust secret for domain NORA via RPC calls succeeded
# wbinfo -u #←ユーザー一覧を表示
NORA\administrator
NORA\guest
NORA\krbtgt
NORA\kunio
NORA\kenniti
NORA\testuer
# wbinfo -g ←グループ一覧の表示
NORA\windows admin center credssp administrators
NORA\domain computers
NORA\domain controllers
(中略)
NORA\戦前の学者
NORA\戦後の学者
# id nora\\administrator ←指定したユーザーのUID、GID情報の確認
uid=3000(NORA\administrator) gid=3006(NORA\domain users) groups=3006(NORA\domain users),3007(NORA\denied rodc password replication group),3008(NORA\enterprise admins),3009(NORA\schema admins),3010(NORA\group policy creator owners),3011(NORA\domain admins),3001(BUILTIN\users),3000(BUILTIN\administrators)
# getent passwd 'NORA\administrator'
NORA\administrator:*:3000:3006::/home/NORA/administrator:/bin/false
⑶ADドメインに新しいユーザー(aduser01)を作成します。
⑷Windowsクライアントで⑶で作成したユーザー(aduser01)でサインインします。
⑸エクスプローラーなどから¥¥sambaサーバのホスト名(¥¥pro)と入力するとsambaサーバーの/etc/passwdにユーザーaduser01の設定が無いのにも関わらず、共有フォルダ(/tmp)へのアクセスが成功し、ホームディレクトリとtmp共有が表示されます。
⑹tmp共有に何らかのファイルを作成します。(上記例:aduser01テキスト作成)
⑺sambaサーバーで/tmpを確認すると、以下の様に「NORA\」から始まっていることからWinbind機構が作成したユーザーとして書き込みが行われていることを確認出来ます。
# ls -l /tmp/ | grep aduser01
-rwxr--r--. 1 NORA\aduser01 NORA\domain users 14 9月 29 23:16 aduser01.txt
⑻sambaサーバー上でsmbstatusコマンドを実行すると、以下のようにUsernemeやGroupも「ドメイン名\ユーザー名」形式になっており、Winbind機構が作成したユーザーでアクセスされていることを確認出来ます。
# smbstatus
Samba version 4.19.4
PID Username Group Machine Protocol Version Encryption Signing
----------------------------------------------------------------------------------------------------------------------------------------
4010 NORA\aduser01 NORA\domain users 10.0.1.11 (ipv4:10.0.1.11:49751) SMB3_11 - partial(AES-128-GMAC)
Service pid Machine Connected at Encryption Signing
---------------------------------------------------------------------------------------------
