LinuxにおけるSamba+ADドメイン制御認証の導入

社内で共有ネットワークディスクを全員で共有する必要があるため、Sambaサービスが必要です。通常はWindowsの共有機能で実現できますが、ライセンス著作権の問題からLinuxを使用してこの問題を解決し、ADドメイン制御アカウントの認証と承認も解決する必要があります。

1 Sambaをコンパイルしてインストールする依存関係の問題を解決するためのコンパイルとインストールの手順は再び省略されます。コンパイルおよびインストールされたSambaには、以下のパラメータが追加されます。

1
--prefix=/usr/local/samba \
2
--with-system-mitkrb5 \
3
--with-ldap \
4
--with-syslog \
5
--with-pam \
6
--with-systemd \
7
--with-ads \
8
--without-ad-dc \
9
--with-winbind \
10
--enable-debug

Samba環境変数を追加する

1
echo "export PATH=/usr/local/samba/bin:/usr/local/samba/sbin:$PATH" > /etc/profile.d/samba.sh
2
source /etc/profile

1.1 Samba管理スタートアップサービスを構成する

1
cat /etc/systemd/system/smbd.service
2
[Unit]
3
Description=Samba SMB Daemon
4
After=network.target
5

6
[Service]
7
Type=forking
8
ExecStart=/usr/local/samba/sbin/smbd -s /usr/local/samba/etc/smb.conf -D
9
ExecReload=/bin/kill -HUP $MAINPID
10
ExecStop=/bin/kill -TERM $MAINPID
11
PIDFile=/usr/local/samba/var/run/smbd.pid
12
#User=samba
13
#Group=samba
14
Restart=always
15

16
[Install]
17
WantedBy=multi-user.target
18

19
cat /etc/systemd/system/nmbd.service
20
[Unit]
21
Description=Samba NetBIOS Name Server
22
After=network.target
23

24
[Service]
25
Type=forking
26
ExecStart=/usr/local/samba/sbin/nmbd -s /usr/local/samba/etc/smb.conf -D
27
PIDFile=/usr/local/samba/var/run/nmbd.pid
28
#User=samba
29
#Group=samba
30
Restart=always
31

32
[Install]
33
WantedBy=multi-user.target
34

35
cat /etc/systemd/system/winbindd.service
36
[Unit]
37
Description=Samba Winbind Daemon
38
After=network.target
39

40
[Service]
41
Type=forking
42
ExecStart=/usr/local/samba/sbin/winbindd -s /usr/local/samba/etc/smb.conf -D
43
PIDFile=/usr/local/samba/var/run/winbindd.pid
44
#User=samba
45
#Group=samba
46
Restart=always
47

48
[Install]
49
WantedBy=multi-user.target

当初は、ADドメインコントローラーに参加せずに認証できるように、Samba+LDAP認証の組み合わせを利用しようと考えていました。しかし、何度もテストを繰り返した結果、ADドメインコントローラーのLDAPプロトコル経由ではアカウント認証を完了できませんでした。結局、Samba+ADドメインコントローラー認証を使用するしか選択肢がありませんでした。

2 nsswitch設定のセットアップ /etc/nsswitch.conf設定ファイルを編集する

1
#
2
# Example configuration of GNU Name Service Switch functionality.
3
# If you have the `glibc-doc-reference' and `info' packages installed, try:
4
# `info libc "Name Service Switch"' for information about this file.
5

6
passwd:         files winbind    # パスワードをwinbindで処理するように設定する
7
group:          files winbind    # グループの設定はwinbindによって処理されます
8
shadow:         files winbind    # シャドウをwinbindで処理するように設定する
9
gshadow:        files systemd
10

11
hosts:          files dns
12
networks:       files
13

14
protocols:      db files
15
services:       db files
16
ethers:         db files
17
rpc:            db files
18

19
netgroup:       nis

3 krb5構成のセットアップ /etc/krb5.conf設定ファイルを編集する

1
[libdefaults]
2
    default_realm = KOEVN.COM
3
    dns_lookup_realm = true
4
    dns_lookup_kdc = true
5
    rdns = false
6
    ticket_lifetime = 24h
7
    forwardable = true
8

9
[domain_realm]
10
  .koevn.com = KOEVN.COM
11
  koevn.com = KOEVN.COM

次に、dig _kerberos._udp.koevn.com SRVコマンドを使用して、解決レコードが正常に返されるかどうかをテストします。

4 Sambaサービスを設定する

1
[global]
2
  workgroup = KOEVN
3
  realm = KOEVN.com
4
  security = ADS
5

6
  winbind use default domain = yes
7
  winbind enum users  = yes
8
  winbind enum groups = yes
9
  winbind nss info = template
10

11
  idmap config * : backend = tdb
12
  idmap config * : range = 1000000-1999999
13
  idmap config KOEVN : backend = rid
14
  idmap config KOEVN : range = 10000-999999
15

16
  template shell = /bin/false
17
  template homedir = /nonexistent
18
  winbind refresh tickets = yes
19

20
  log file = /data/samba/logs/samba.log
21
  log level = 2
22

23
[test]
24
  path = /data/samba/test
25
  comment = テストディレクトリ
26
  browseable = yes
27
  browseable = no
28
  read only = no
29
  guest ok = no
30
  hide unreadable = yes
31
  force group = samba
32
  create mask = 0660
33
  directory mask = 0770
34
  valid users = K95221
35
  delete readonly = no

5 Sambaを起動してアクセスを確認する 5.1 サンバを始める

1
systemctl start smbd.service && systemctl start nmbd.service && systemctl start winbindd.service

5.2 ADドメインコントローラに参加する現在のLinuxホストをADドメインコントローラに追加します。まずホスト名を変更することをお勧めします。

1
net ads join -U ldap@KOEVN.COM

{% note warning %} このアカウントにはドメインを追加する権限が必要ですが、ドメインの追加は常に失敗します。 {% endnote %} 参加に成功すると、‘hostname’ がレルム ‘KOEVN.COM’ に参加しました」というメッセージが表示されます。

アカウントが正しくマッピングされていることを確認する

1
wbinfo -n K95221   # このコマンドを実行するとSIDの文字列が返されます
2
wbinfo -S SID      # このコマンドを実行するとUIDが返されます。解決できない場合は、共有ディレクトリの認証が直接失敗することを意味します。

libnss_winbindライブラリファイルをシステムディレクトリに追加します

1
cp /usr/local/samba/lib/libnss_winbind.so.2 /lib/x86_64-linux-gnu/
2
cd /lib/x86_64-linux-gnu/
3
ln -sf libnss_winbind.so.2 libnss_winbind.so

⚠️ 注意以前、wbinfo -S の SID 値に惑わされてしまいました。認証に AD ドメインコントローラーを使用していたため、Linux ローカルユーザーと AD ドメインコントローラーユーザーの間に 1 対 1 のマッピングを作成する必要がありました。これは不要でした。重要な問題は、SMB 設定ファイルの idmap 設定項目にあります。この項目は、AD ドメインコントローラーアカウント sAMAccountName を UID に自動的にマッピングします。そのため、ユーザーが Samba 共有にファイルをアップロードすると、ファイルの所有者は AD ドメインコントローラーの sAMAccountName 属性のアカウントになります。

上記の検証が成功すると、基本的に共有ディレクトリにアクセスできるようになります。

LinuxにおけるSamba+ADドメイン制御認証の導入

https://huoshen.pages.dev/ja/p/f848d018/

著者

Koevn

公開日

2025年7月28日

ライセンス

CC BY-NC-SA 4.0