• お問い合わせ
  • ユーザー登録
ドキュメント
サポート案内
ユーザー登録
サポートセンター
ドキュメント
ダウンロード
セキュリティ
よくある質問とその回答
製品マニュアル
カタログ
収録パッケージ一覧

ネットワーク No. 533

Windowsドメインのアカウントでlinuxへのログイン


Turbolinux 8 Serverに収録されているsamba(samba-2.2.4-3jpJP)では
winbindを使用できます。winbindを使用すると、Windowsドメイン内の
アカウントとパスワードでwinbindが動作するLinuxサーバへのログインが
可能となります。

注)
Turbolinux 8 Serverに収録されているsamba(samba-2.2.4-3jaJP)では
winbindが使用できない環境でwinbinddを起動するとメモリリークを
起こしてしまうという問題が存在します。
winbindの設定は対策済みパッケージの適用を行った上で、お試しください。

・Turbolinux Security Center
  samba「winbindd メモリリーク(リリース日付:2002-12-13 )」
  http://www.turbolinux.co.jp/security/samba-2.2.4-5jaJP.html

●構成
Windows2000Server(コンピュータ名WIN)のIPアドレス10.1.1.1
このサーバをWINSサーバ、DNSサーバ、ドメインコントローラとして動作させます。
Windowsドメイン名TURBO
Windowsドメインのアカウントlinux
sambaを動作させるTurbolinux 8 Server(ホスト名samba)のIPアドレス10.1.1.2
とします。
また、上記2つのサーバのホスト名をsambaサーバの/etc/hostsファイルに記述して
おきます。

●Windowsサーバ側の設定
Windows2000Serverをドメインコントローラとして動作させます。
サーバマネージャでWindowsドメインにsambaサーバを追加します。
ここでは説明は省略します。

【設定】

(1)/etc/samba/smb.confファイル
[global]セクションにwinbindの設定を行います。
以下にwinbindに関係ある部分を抜粋します。
---------------------------
winbind uid = 10000-20000
winbind gid = 10000-20000
security = DOMAIN
wins support = No
workgroup = TURBO
password server = *
wins server = 10.1.1.1
encrypt passwords = Yes
winbind separator = _
template homedir = /home/%D/%U
template shell = /bin/bash
---------------------------

winbind uid
winbinddデーモンが割り当てるユーザIDの範囲を指定します。このユーザIDの範囲には
ローカルやNISのユーザが存在しないようにします。

winbind gid
winbinddデーモンが割り当てるグループIDの範囲を指定します。このグループIDの範囲には
ローカルやNISのグループが存在しないようにします。

security
DOMAINを指定し、Windowsドメインのメンバとして動作させます。

wins support
ネットワーク上に他のWINSサーバがあるときはNoを指定します。

workgroup
Windowsドメイン名を指定します。

password server 
ドメインコントローラのホスト名を指定します。
同一セグメント内にサーバが存在する場合は*を指定する事が出来ます。

wins server
WINSサーバのIPアドレスを指定します。

encrypt passwords
暗号化パスワードを使用するかどうかを指定します。

winbind separator
WindowsドメインのユーザはWindowsドメイン名\ユーザ名で表されます。
\はlinuxでは特別な意味を持つためこのセパレータを変更するときに指定します。

template homedir
ユーザのホームディレクトリを指定します。
%DはWindowsドメイン名
%UはWindowsドメイン内のアカウント名
を示します。

template shell
ログインするユーザのシェルを指定します。
	
(2)/etc/nsswitch.confファイル
下記のように修正し、Windowsサーバからユーザ、グループの情報を
取得できるようにします。
---------------------------
passwd:     files winbind
group:      files winbind
---------------------------

(3)/etc/pam.d/system-authファイル
下記のようにファイルを変更します。
------------------------------------------------------------------------------------
#%PAM-1.0
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/pam_winbind.so
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so
account     sufficient    /lib/security/pam_winbind.so

password    required      /lib/security/pam_cracklib.so retry=3
password    sufficient    /lib/security/pam_unix.so nullok use_authtok md5 shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so
session     required      /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0022
------------------------------------------------------------------------------------

ホームディレクトリのパーミッションを変更します。
#chmod a+rwx /home/


●トラストアカウントの作成
ドメイン参加のためのトラストアカウントを作成します。
-jオプションの後にwindowsドメイン名、-rオプションの後にドメインコントローラ
のコンピュータ名を指定します。
# smbpasswd -j TURBO -r WIN
smbpasswd: Joined domain DOMAIN. 

●sambaの起動
sambaを起動します。
#/etc/init.d/smb start

●winbindの動作確認
wbinfoコマンドでwinbindが正常に動作しているか確認してください。
-uオプションでwindowsドメイン内の全ユーザをリストします。
#wbinfo -u
TURBO_Administrator
TURBO_Guest
TURBO_IUSR_WIN
TURBO_IWAM_WIN
TURBO_krbtgt
TURBO_linux

linux上でのユーザ名は
「Windowsドメイン名+smb.confで設定したwinbind separator部分+ユーザ名」となります。

●Windowsドメインのアカウントでのログイン
ユーザ名:TURBO_linux
パスワード:Windowsドメイン内のアカウント(linux)で設定したパスワード
にてログインできる事を確認します。
キーワード
Windows2000 samba pam

関連文書
(none)

対象製品
  • Turbolinux 8 Server
    Last modified : Mon Feb 03 JST 2003 # 3