16.7. Active Directory への参加
Samba 3.0 では、Kerberos 認証を使用して Windows で構築された Active Directory へ参加することが可能です。ただし、Active Directory のドメインコントローラの機能はサポートされていません。実際に Samba を Active Directory ドメインに参加させるには以下の手順で行います。
- 時刻同期の設定
Kerberos 認証を機能させるためにはサーバーとクライアント間で時刻が同期している必要があります。あらかじめ、設定を始める前に時刻を同期しておいてください。
- /etc/krb5.conf の編集
/etc/krb5.conf の内容を以下のように編集するか、または以下の記述を追記します。
[libdefaults] default realm = W2S.TURBOLINUX.COM [realms] W2S.TURBOLINUX.COM = { kdc = win2000s.w2s.turbolinux.com:88 }W2S.TURBOLINUX.COM は、Kerberos の Realm名 です。Active Directory ドメインで設定している Realm 名 を指定します。kdc = には、Active Directory ドメインのコントローラとなっているホストの FQDN を指定しておきます。
Realm 名は必ず大文字で指定する必要があります。
- /etc/samba/smb.conf の編集
Samba を Active Directory ドメインに参加させるために最低限必要な[global]セクションのパラメータは、以下ようになります。
[global] realm = W2S.TURBOLINUX.COM ads server = win2000s.w2s.turbolinux.com security = ads/etc/krb5.conf で指定した内容と同様に、realm パラメータに realm 名を指定し、ads server パラメータに Active Directory ドメインの FQDN を指定します。また、Active Directory ドメインに参加する場合、security パラメータには ads を指定します。
- Active Directory への参加
Active Directory の構築後に Administrator のパスワードを一度も変更していない場合は変更しておきます。なお、変更後のパスワードは同じでも構いません。パスワードが 1 度も変更されていないと、以下で実行する kinit コマンドに失敗します。パスワードの変更後、以下のコマンドを実行し、Kerberos 認証で使用されるチケットを取得します。
# kinit administrator Password for administrator@W2S.TURBOLINUX.COM: <- パスワードの入力
チケットの取得後、net ads join コマンドを実行して Active Directory に参加します。
# net ads join Joined 'TURBODOC' to realm 'W2S.TURBOLINUX.COM'
正常に参加できた場合は、上記のように "Joined..." というメッセージが表示されます。
- Samba の起動
最後に Samba を起動します。
# /etc/init.d/smb start