KENNの日記: sambaにもてあそばれる
職場のクライアントが一斉にWinXPにアップデートされた。まぁ、それ自体は使っているソフトの絡みもあるので、とやかくいうべき問題ではないのだが、前回設置したTIFFファイルサーバーが使えなくなった、というのは痛い。
どうもKB319939が原因らしい。過去の事情により、このサーバーは現在使っているクライアントPCがぶら下がってるドメインとは別ドメインにある。なので、正攻法はドメインの引越しな訳だが、今所属しているドメインは旧来からのNTドメインで、新しいドメインはActive Directory化が完了しているのだ。つまり、Samba3が必須という訳。いずれは移行しなきゃと思っていたんだが、いきなりやれと言われても時間が無い。ということで、毎度のごとく休出決定。
あちこちの情報(といっても、その大元の出所は2,3人な訳だが)で既出だけど、基本的にActive Drectoryへの参加はKerberosが設定済であることが前提となる。う~ん、判りづらいんでこれまで避けてきてたんだよな<Kerberos
といっても、Kerberosの設定が終わらないことには先に進みようがないので、実はこっそり先週半ばからあれこれ試行錯誤していたのだが、どうにもうまくいかない。まぁ、既存の情報を職場の環境に合わせこめていないということだろう。どうにか完了した手順は以下の通り。
FreeBSDには標準でKerberosが付いてくるが、なにやらheimdalの最新版でないとうまくいかなかった、という情報があったので、OS標準のKerberosライブラリはすべて削除して、portsからheimdal-0.6.1を入れる。オプションは全部非選択。
/etc/make.confに"HEIMDAL_HOME=/usr/local"を設定して、portsからnet/samba-devel(現在は3.0.4)を入れる。
/etc/krb5.confの設定。結局のところこれが一番難物だった。職場の環境が、NT時代のマスタードメインモデルを継承したサブドメイン構成になっている点が引っかかっていたのだが、要は
- デフォルトレルムはサブドメイン名
- デフォルトレルムのKDCはドメインコントローラのFQDN
押さえる点はこの2つだけ。ということで、krb5.confは以下のような感じになった。
[libdefaults]
ticket_lifetime = 24000
default_realm = FOO.EXAMPLE.COM
[realms]
FOO.EXAMPLE.COM = {
kdc = pdc.example.com:88
}
フォレストルートドメインはEXAMPLE.COM。新しく所属するドメインはFOOになる。
ここまでが終われば"kinit Administrator"で、FOOの管理者パスワードを入れて、KerberosのTicketをget。その後、smb.confに以下の3行を追加して、"net ads join"して完了。
security = ads
realm = FOO.EXAMPLE.COM
password server = xxx.xxx.xxx.xxx
(もちろん、xxx.xxx.xxx.xxxはpdc.example.comのIPアドレス)
参照させていただいたリソースを全部上げるのは無理なので、代表的なところだけで済まさせてもらおう。
- @IT Samba 3.0の全貌と、その改訂版 by たかはしもとのぶ氏
- Linuxの認証をActive Directoryから行う方法 by たかはしもとのぶ氏
- Samba 3.0解説 by 小田切氏@MIRACLELINUX
- Kerberosの解説 by 桑村氏
- @ITのWin2k運用のページにあるActiveDirectory関係
で、ここまで(KB319939にあるグループポリシーの"ポイントアンドプリントの制限"の無効化による対処を含む)やって、sambaサーバー上にドライバ(psからghostscript経由でtiffを作成するので、Apple LaserWriterのドライバを使う)をインストールしてもやっぱりプリンタドライバが設定できねぇ…何故だぁぁぁ
sambaにもてあそばれる More ログイン