パスワードを忘れた? アカウント作成
227485 journal
オープンソース

flied onionの日記: [Samba] Samba4/HOWTO

日記 by flied onion

2012/12/27 追記
4.0.0リリース版のドキュメントをちまちま翻訳してます。
http://case-of-t.net/2012/12/25/samba-ad-dc-howto/

以下は alpha版時代の翻訳
----

http://wiki.samba.org/index.php/Samba4/HOWTO の訳です。主に自分向けです。
「Step 10」まで訳してみました。
「Configure a Windows Client to join a Samba 4 Active Directory」以降は画像もあったりするので、特に訳す予定はありません。
みにくい&下手な訳でサーセン

Samba4/HOWTO

更新履歴:
2010.06.09. flied onion 訳(Step 1まで)
2010.06.09. flied onion 訳(Step 4まで)
2010.06.11. flied onion 訳(Step 8まで)
2010.06.11. flied onion 訳(Step10まで)

Samba4 HOWTO

tridge@samba.org, December 2004
Updates:
  asn@redhat.com, December 2009
  tridge@samba.org, February 2010 (for alpha12)

This is a very basic document on how to setup a simple Samba4 server. This is aimed at people who are already familiar with Samba3 and wish to participate in Samba4 development or test the alpha releases of Samba4. This is not aimed at general production use of Samba4, although some brave sites are running Samba4 in production based on these instructions.

--
Samba4 利用方法

これはSamba4サーバーを構築するための基本的なドキュメントです。Samba3に詳しい人を対象としており、Samba4の開発やalphaリリースのテストへの参加者が増えることを望んでいます。一般製品への使用は対象としていませんが、いくつかのすばらしい現場では、これらの指示に基づいて通常用途でSamba4を走らせています。

--

Video demonstrations of this HOWTO

A set of demonstration videos is available that may provide a useful overview of this contents of this HOWTO

--

この利用方法のデモ動画

この利用方法の内容を掲載した便利な動画デモが利用可能です。
http://wiki.samba.org/index.php/Samba4/videos

--
A note on alpha versions

Samba4 is developing very rapidly. This HOWTO has recently been updates to reflect the changes made in February 2010 in preparation for the Samba4-alpha12 release. As of today, the alpha12 release has not been done, although we expect it to be made soon. To completely follow these instructions you will need a up to date git version of Samba4, checked out on February 26th 2010 or later.
--
アルファバージョンについて

Samba4は高速に開発をすすめている。この利用方法は2010年2月に Samba4 alpha12のリリースに備えてて変更点を反映しました。現在alpha12はリリースされていませんが、近いうちに実現するつもりです。この利用方法に完全に従うためにはgitで2010/2/26以降にチェックアウトされたバージョンのSamba4が必要です。

--
Step 1: Download Samba4

If you have downloaded the Samba4 code via a tarball released from the samba.org website, Step 1 has already been completed for you. For testing with the version released in the tarball, you may continue on to Step 2.
Note that the references below to the top-level directory named "samba-master" will instead be based on the name of the tarball downloaded (e.g. "samba-4.0.0alpha11" for the tarball samba-4.0.0alpha11.tar.gz). Also note that in the "master" branch the samba4 code is located in in the "source4/" subdirectory (it was in "source/" subdirectory in the "v4-0-test" branch).
There are 2 methods of doing this:
via git
via rsync
Both methods will create a directory called "samba-master" in the current directory. If you don't have rsync or git then install one of them.
If you have a choice, we strongly recommend using the git method for downloading Samba, as it makes getting updates easier, and also allows you to integrate test patches from Samba developers more easily in case of problems.
--
Step 1: Samba4 ダウンロード

もしsamba.orgウェブサイトからtarボールでリリースされたSamba4のコードをダウンロード済みならStep 1は完了しています(訳注:ただし現時点ではそのコードはalpha12ではないはず)。バージョンリリースされたtarボールでテストをするのであれば、Step 2に移ってください。
これ以後 "samba-master"という名前のトップレベルディレクトリは、ダウンロードされたtarボールのファイル名を基に置き換えてください(例えば、samba-4.0.0alpha11.tar.gz というtarボールであれば "samba-4.0.0alpha11" に )。 また "master" ブランチのsamba4コードは "source4/"サブディレクトリにあります(それは"v4-0-test"ブランチの"source/"サブディレクトリ内にある)。

Samba4ダウンロードには2つの手段があります:
git経由
rsync経由
どちらの方法でも"samba-master"と呼ばれるディレクトリをカレントディレクトリに作成します。もしrsyncやgitがないのであれば、どちらかをインストールしてください。
どちらでもかまわないのであれば、簡単に更新でき、なにか問題がおきたときにも開発者からパッチをより簡単に手にいれることができる、git経由でのダウンロードを強くお勧めします。

--
git

  $ git clone git://git.samba.org/samba.git samba-master; cd samba-master

If you want to update the tree to the latest version run:
(ディレクトリツリーを最新版に更新したくなったらこのように実行します:)

  $ git pull

rsync

  $ rsync -avz samba.org::ftp/unpacked/samba_4_0_test/ samba-master

Note that the above rsync command will give you a checked out git repository, but it's is missing all git objects. To turn it into a working git repository you need to do the following steps:
(上記のrsyncコマンドではgitリポジトリをチェックアウトしますが、gitオブジェクトは一つも取得できません。作業用gitリポジトリにするには次のことを行ってください:)

  $ cd samba-master/
  $ rm .git/objects/info/alternates
  $ rm .git/refs/tags/*
  $ rm -r .git/refs/remotes/
  $ git config remote.origin.url git://git.samba.org/samba.git
  $ git config --add remote.origin.fetch +refs/tags/*:refs/tags/* (this line is optional)
  $ git fetch

Note you can ignore this error from git fetch: error: refs/heads/master does not point to a valid object!
Also note that the git fetch will download the complete git history (about 160 MB with all the tags and about 125 MB without old tags).

(git fetchからのエラー「エラー: refs/heads/master は正しいオブジェクトを参照していない!」は無視して構いません。
また git fetchでは完全なgitヒストリーをダウンロードすることに注意してください。(すべてのタグで160MBぐらい、古いタグを除いたとして125MBぐらい))

You can update it to the latest version at some future date using:
(以降、最新版に更新するには:)
  $ git pull

--

Step 2: Compile Samba4

Recommended optional development libraries:
acl and xattr development libraries (libattr1-dev package in Debian/Ubuntu)
blkid development libraries (libblkid-dev package in Debian/Ubuntu)
gnutls (libgnutls-dev package in Debian/Ubuntu)
readline (libreadline5-dev package in Debian/Ubuntu)
Python development libraries (python-dev in Debian/Ubuntu) required to compile
Autoconf for autogen.
Combined For Debian:
$ apt-get install build-essential libattr1-dev libblkid-dev libgnutls-dev libreadline5-dev python-dev autoconf python-dnspython
For Fedora:
$ yum install libacl-devel libblkid-devel gnutls-devel readline-devel python-devel
Since only released versions of Samba contain a pre-generated configure script, you will have to generate it by hand if you downloaded the source with rsync or git:
$ cd samba-master/source4
$ ./autogen.sh
Run this:
  $ cd samba-master/source4
  $ ./configure.developer
  $ make idl_full
  $ make
The above command will setup Samba4 to install in /usr/local/samba. If you want Samba to install somewhere else then you should use the --prefix option to configure.developer.
The reason we recommend using configure.developer rather than configure for Samba4 alpha releases is that it will include extra debug information that will help us diagnose problems in case of failures. It will also allow you to run the various builtin automatic tests.
After building Samba, we recommend that you run
  $ make quicktest
That will run a short (approximately 2 minute) set of tests to validate your build of Samba. While we try to be careful to ensure that all builds of Samba in the git repository are usable, sometimes a bug slips through, and 'make quicktest' is a fast way of checking that your build passes basic tests.
The output of 'make quicktest' should end in a "ALL OK" message. If it doesn't, then please ask on the samba-technical mailing list or the #samba-technical IRC channel.

--
Step 2: Samba4のコンパイル

推奨される追加の開発ライブラリは以下の通り
・acl xattr 開発ライブラリ (Debian/Ubuntuではlibattr1-devパッケージ)
・blkid 開発ライブラリ (Debian/Ubuntuではlibblkid-devパッケージ )
・gnutls (Debian/Ubuntuでは libgnutls-devパッケージ)
・readline (Debian/Ubuntuでは libreadline5-devパッケージ)
・Python 開発ライブラリ (Debian/Ubuntuでは python-dev) コンパイルに必要
・Autoconf for autogen

Debianでは:
$ apt-get install build-essential libattr1-dev libblkid-dev libgnutls-dev libreadline5-dev python-dev autoconf python-dnspython

Fedoraでは:
$ yum install libacl-devel libblkid-devel gnutls-devel readline-devel python-devel

リリースバージョンのSambaのみが事前に生成されたconfigureスクリプトを含んでいるので、ソースをrsyncやgitから入手している場合は手動で生成する必要があります:
$ cd samba-master/source4
$ ./autogen.sh

次のように実行してください
$ cd samba-master/source4
$ ./configure.developer
$ make idl_full
$ make
このコマンドはSamba4を /usr/local/samba にインストールします。別の場所にインストールしたいのであれば、--prefixオプションと共に configure.developerを実行してください。

configureではなくconfigure.developerをSamba4 alpha リリースで推奨するのは、それ(configure.developer)が追加のデバッグ情報を含み、問題が発生した場合に我々が問題解析する上での手助けになるからです。またあなたが組み込みの自動テストを実行することもできるようになるでしょう。

Sambaのビルド完了後、以下を実行することを推奨します。
$ make quicktest

これはSambaが正常にビルドされたか確認する短い(だいたい2分)テストを実行させます。gitリポジトリの全ビルドが使用可能なように気をつけてはいますが、たまにバグが紛れ込むこともあるので、'make quicktest'があなたのビルドの基本的なテストを確認する手短な方法です。
'make quicktest'の出力は "ALL OK"というメッセージで終わるはずです。もしそうならなかった場合は、samba-tecnical mailing listまたは #samba-technical IRC channelで聞いてみてください。

--
Step 3: Install Samba4

Run this as a user who have permission to write to the install directory (which defaults to /usr/local/samba). Use --prefix option to configure.developer above to change this.
  $ make install
For the rest of this HOWTO we will assume that you have installed Samba4 in the default location, which is /usr/local/samba.

--
Step 3: Samba4のインストール

以下のコマンドを、インストールディレクトリ(既定では /usr/local/samba)に対して権限を持つユーザで実行してください。 インストールディレクトリを変更するには 前の項で configure.developerを --prefix オプションをつけて実行します。

$ make install

これ以降のこの利用方法では、Samba4は既定のディレクトリ(/usr/local/samba)にインストールされたものとして説明していきます。

--
Step 4: Provision Samba4

The "provision" step sets up a basic user database, and is used when you are setting up your Samba4 server in its own domain. If you instead want to setup your Samba4 server as an additional domain controller in an existing domain, then please see the separate page on Samba4 joining a domain.
In the following examples we will assume your DNS domain name is 'samdom.example.com' and your short (also known as NT4) domain name is 'samdom'. We will assume that your Samba servers hostname is sambaserver.
It must be run as a user with permission to write to the install directory (which means you may need to run this command with sudo)
  $ cd samba-master/source4
  $ ./setup/provision --realm=samdom.example.com --domain=SAMDOM --adminpass=SOMEPASSWORD --server-role='domain controller'
If you get an error like this:
tdb_open_ex: could not open file /usr/local/samba/private/sam.ldb.d/DC=SAMDOM,DC=EXAMPLE,DC=COM. ldb: Permission denied
then you need to rerun with sudo
Troubleshooting note: you may need to rm the smb.conf file if you failed to pass valid names and provision previously failed
There are many other options you can pass to the 'provision' command, run it with the --help option to see a list of them.

--
Step 4: Samba4の準備

"準備(provision)"段階では、基本ユーザデータベースと、Samba4サーバーを独自のドメインとして使用するときのためのセットアップを行います。もしSamba4サーバーを既存ドメインの追加ドメインコントローラとして使用したい場合は、別ページの"Samba4 joining a domain"を参照してください。
以降の例では、DNSドメインは"samdom.example.com"、(NT4で知られるような)短いドメイン名は'samdom'と仮定します。Sambaサーバーのホスト名は 'sambaserver'だと仮定します。
次のコマンドはインストールディレクトリに書き込み権限のあるユーザで実行してください(場合によってはsudoで実行する必要があるかもしれません)
$ cd samba-master/source4
$ ./setup/provision --realm=samdom.example.com --domain=SAMDOM --adminpass=SOMEPASSWORD --server-role='domain controller'
もし次のようなエラーが出た場合:
    tdb_open_ex: could not open file /usr/local/samba/private/sam.ldb.d/DC=SAMDOM,DC=EXAMPLE,DC=COM. ldb: Permission denied
この場合は、sudoでもう一度実行してください。

問題解決メモ: 有効な名前(valid names)のエラーがでる場合で、それ以前にもprovisionコマンドでエラーが起きていた場合、smb.confファイルをrmする必要があるかもしれません。

provisionコマンドに通すことが可能な様々なオプション存在し、 --helpオプションと共に実行することでそれらの一覧を確認できます。

--
Step 5: Starting Samba4

If you are planning to run Samba4 as a production server, then just run the "samba" binary as root
  # samba
That will run Samba4 in 'standard' mode, which is suitable for production use. Samba4 alpha12 doesn't yet have init scripts included for each platform, but making one for your platform should not be difficult.
If you are running Samba4 as a developer you may find the following more useful:
  # samba -i -M single
that means start "samba" with messages in stdout, and running a single process. That mode of operation makes debugging "samba" with gdb particularly easy. If you want to launch it under gdb, then the following example could be useful:
  $ sudo gdb --args bin/samba -i -M single
Note that if you are running any Samba3 smbd or nmbd processes they need to be stopped before starting "samba" from Samba 4.
Make sure you put the bin and sbin directories from your new install in your $PATH or you may end up running the wrong version. You can see what version you have by running "samba -V".
Note: in older developer versions of samba4 "samba" was still called "smbd".

--
Step 5: Samba4の開始

もし通常用途のサーバとしてSamba4を実行するつもりなら、root権限で "samba" バイナリを実行するだけです。

# samba

これにより Samba4は通常用途にふさわしい、'standard(一般)' モードで開始されます。Samba4 alpha12 は各プラットフォーム向けのinitスクリプトを含んでいませんが、自分のプラットフォームように作成するのはそれほど難しいことではありません。

開発者としてSamba4を実行させたいのであれば、次のようにするとよいでしょう:
# samba -i -M single
このコマンドは "samba"を 「標準出力へのメッセージ出力」と「シングルプロセス」のオプションで実行させます。このモードではgdbで"samba"をデバッグするのに非常に便利です。gdb配下で実行したい場合は次の例のようにするといいでしょう:
$ sudo gdb --args bin/samba -i -M single
注意 普段Samba3のsmbdやnmbdのプロセスを実行している場合は、Samba4の"samba"を起動する前にそれらのプロセスを停止しておく必要があります。

PATH環境変数にインストールしたディレクトリのbinとsbinが追加されているか確認してください、さもないと違うバージョンのものが起動するかもしれません。バージョンを確認するには"samba -V"を実行します。
メモ: 古い開発バージョンのsamba4では"samba"は"smbd"と呼ばれていました。

--
Step 6: Testing Samba4

smbclient
Try this command:
  $ smbclient -L localhost -U%
That should show you a list of shares available on your server. For example:
              Sharename Type Comment
              --------- ---- -------
              test Disk
              netlogon Disk
              sysvol Disk
              IPC$ IPC IPC Service (Samba 4.0.0alpha12-GIT-5e755e9)
              ADMIN$ Disk DISK Service (Samba 4.0.0alpha12-GIT-5e755e9)
The 'netlogon' and 'sysvol' shares are basic shares needed for Active Directory server operation.
To test that authentication is working, you should try to connect to the netlogon share using the administrator password you set earlier.
  $ smbclient //localhost/netlogon -Uadministrator%PASSWORD
You should get a "smb>" prompt, and access to your netlogon directory.

--
Step 6: Samba4のテスト

smbclient

次のコマンドを実行してみてください。
$ smbclient -L localhost -U%
これはあなたのサーバーで利用可能な共有のリストを表示するでしょう。例えば:
              Sharename Type Comment
              --------- ---- -------
              test Disk
              netlogon Disk
              sysvol Disk
              IPC$ IPC IPC Service (Samba 4.0.0alpha12-GIT-5e755e9)
              ADMIN$ Disk DISK Service (Samba 4.0.0alpha12-GIT-5e755e9)
'netlogon'共有と'sysvol'共有は、Active Directoryサーバーの作動に必要な基本共有です。
認証機能が動作していることを確認するために、netlogon共有に前の項(provision)で設定したadministratorパスワードで接続してみてください。
$ smbclient //localhost/netlogon -Uadministrator%PASSWORD
(訳注:-Uの後に区切りがないのは仕様かtypoかはわかりません。)
"smb>" プロンプトが表示され、netlogonディレクトリへアクセス可能となるでしょう。

--
Step 7 Create a share in smb.conf

The provisioning will create a very simple smb.conf with no shares by default. For the server to be useful you will need to update it to have at least one share. For example:
  [test]
              path = /data/test
              read only = no
Note that in current alpha versions of Samba4 you need to restart Samba to make new shares visible. This will be fixed in a future release.

--
Step 7 smb.confで共有を作成する。

準備段階では非常にシンプルなsmb.confができあがり、既定では共有は一つも設定されません。サーバーが便利なものになるようにするためには、少なくとも一つの共有設定をsmb.confに追加する必要があるでしょう。例えば:

  [test]
              path = /data/test
              read only = no

現在のSamba4 alphaバージョンでは新しい共有を追加した場合にSambaを再起動擦る必要があります。これは今後修正する予定です。

--
Step 8 Configure DNS

A working DNS setup is essential to the correct operation of Samba4. Without the right DNS entries, kerberos won't work, which in turn means that many of the basic features of Samba4 won't work.
It is worth spending some extra time to ensure your DNS setup is just right, as debugging problems caused by mis-configured DNS can take a lot of time later on.
The simplest way to get a working DNS setup for Samba4 is to start with the DNS zone and configuration files that are created by the 'provision' step above. If you look in /usr/local/samba/private directory, you'll find a file called 'named.conf' and another one called samdom.example.com.zone (adjusted for your real DNS domain name of course!).
Assuming your have a bind9 DNS server installed, you can activate the configuration that the provision has created by adding a line like this to /etc/bind/named.conf.local:
  include "/usr/local/samba/private/named.conf";
After adding that line you should restart your bind server and check in the system logs for any problems.
One common problem is that many modern Linux distributions activate 'Apparmor' or 'SELinux' by default, and these may be configured to deny access to bind for your the named.conf and zone files created in the provision. If your bind logs show that bind is getting a access denied error accessing these files then please see your local system documentation for how to enable access to these files in bind (hint: for Apparmor systems such as Ubuntu, the command aa-logprof may be useful).
Now you need to test that DNS is working correctly. Check that your /etc/resolv.conf is pointing correctly at your local DNS server, then run the following commands:

  $ host -t SRV _ldap._tcp.samdom.example.com.
  _ldap._tcp.samdom.example.com has SRV record 0 100 389 blu.samdom.example.com.
  $ host -t SRV _kerberos._udp.samdom.example.com.
  _kerberos._udp.samdom.example.com has SRV record 0 100 88 blu.samdom.example.com.
  $ host -t A sambaserver.samdom.example.com.
  sambaserver.samdom.example.com has address 10.0.0.1

Check that you get answers similar to the ones above (adjusted for your DNS domain name and hostname). If you get any errors then carefully check your system logs to find and fix the problem.
Note: One of the problems I've had on Debian system is that the zone autogeneration always detects, and uses, 127.0.1.1 as the domain controller's IP address. That works fine until you 1) Don't have a 127.0.1.1 interface on the machine or 2) Go to join your first client to the domain. In /usr/local/samba/private/named.conf you might need to change 127.0.1.1 to reflect the actual IP address of the server you're setting up.

--
Step 8 DNSの設定

DNS設定作業はSamba4を正しく動作させるために欠くことができません。正しいDNSエントリなしにkerberosは動作せず、それはつまりSamba4の多くの基本機能が動作しないことを意味します。
DNSの設定が正しいことを保証するために多少の時間を割くことは、あとでDNS設定のミスで大量の時間を使ってデバッグすることに比べれば価値あることです。
実用的なSamba4向けDNS設定を手に入れるもっとも簡単な方法は、まずDNSゾーンファイルと設定ファイルを前の準備(provision)の項で作成されたものを使用することです。もし /usr/local/samba/private ディレクトリにnamed.confともうひとつの samdom.example.com.zone (もちろん設定したDNSドメイン名などによって調整されてます)を見つけることができるでしょう。
bind9 DNSサーバがインストール済みだと仮定すると、準備(provision)の項で作成された設定を有効にするには、 /etc/bind/named.conf.local に次のような行を追加します:
  include "/usr/local/samba/private/named.conf";
行を追加したらbindサーバーを再起動し、なにか問題がおきてないかシステムログを確認します。
一つの共通の問題として最近のLinuxディストリビューションのほとんどが、'Apparmor'や'SELinux'がデフォルトで有効になっており、これらはおそらくbindが(準備(provision)の項で作成された)named.confとゾーンファイルにアクセスするのを禁止しているでしょう。もしbindのログにそれらのファイルへのアクセス不可能エラーが見られる場合は各システムのドキュメントを読んでbindがそれらのファイルにアクセスできるようにする方法を確認してください(ヒント:UbuntuなどのApparmorでは aa-logprofコマンドがたぶん便利でしょう)
では、DNSが正しく動作していることを確認してください。 /etc/resolv.confがローカルDNSサーバーを正しく参照しているか次のようなコマンドを実行して確認します:

$ host -t SRV _ldap._tcp.samdom.example.com.
_ldap._tcp.samdom.example.com has SRV record 0 100 389 blu.samdom.example.com.
$ host -t SRV _kerberos._udp.samdom.example.com.
_kerberos._udp.amdom.example.com has SRV record 0 100 88 blu.samdom.example.com.
$ host -t A sambaserver.samdom.example.com.
sambaserver.samdom.example.com has address 10.0.0.1

こんなような結果になっているか確認してください(DNSドメイン名やホスト名はあなたの環境にあわせられます)。もしなんらかのエラーが起きていた場合はシステムログを注意深く確認して問題を発見・修正してください。
メモ: 私がDebianを使用中に起きたことがある問題のひとつに、ゾーンの自動生成が ドメインコントローラのIPアドレスを常に127.0.1.1として検出して使用してしまうということがありました。これは、(1) 127.0.1.1 がマシンにない (2) 最初のクライアントをドメインに参加させるまで、の間は、正常に動作してしまいます。/usr/local/samba/private/named.confの127.0.1.1を設定中のサーバーの正しいIPアドレスに変更してください。

--
Step 9: Testing kerberos

Once DNS is working, you should test that kerberos server builtin to Samba4 is working correctly. The easiest test is to use the kinit command like this:
  $ kinit administrator@SAMDOM.EXAMPLE.COM
  Password:
Note:
You have to give your 'domain realm SAMDOM.EXAMPLE.COM' in uppercase letters to kinit.
The kinit should completely successfully. After it completes you can examine the received ticket like this:
  $ klist -e
  Ticket cache: FILE:/tmp/krb5cc_1000
  Default principal: administrator@SAMDOM.EXAMPLE.COM

  Valid starting Expires Service principal
  02/10/10 19:39:48 02/11/10 19:39:46 krbtgt/SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM
              Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5
If you find you don't have kinit or klist, you may need to install them. On debian based systems (such as Ubuntu) the packages are called krb5-config and krb5-user.
You can also test kerberos form a remote client, just make sure you have configure the krb5.conf and the resolve.conf to point to the domain controller IP address.
Note:
If you are using a client behind NAT then you have to add the following to the krb5.conf on the domain controller server:
  [kdc]
            check-ticket-addresses = false

--
Step 9: kerberosのテスト

DNSが動作したあとは、Samba4 内蔵のkerberosサーバーが正常に動作することを確認したほうがいいでしょう。最も速い確認方法は次のようにkinitコマンドを使用してみることです:

  $ kinit administrator@SAMDOM.EXAMPLE.COM
  Password:

メモ:
kinitにあなたの 'ドメイン レルム SAMDOM.EXAMPLE.COM' を大文字で入力する必要がある。

kinit は完璧に成功するでしょう。完了後、取得したチケットを次のように検証してください:
  $ klist -e
  Ticket cache: FILE:/tmp/krb5cc_1000
  Default principal: administrator@SAMDOM.EXAMPLE.COM

  Valid starting Expires Service principal
  02/10/10 19:39:48 02/11/10 19:39:46 krbtgt/SAMDOM.EXAMPLE.COM@SAMDOM.EXAMPLE.COM
              Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5

もしkinitやklistがみつからないのであれば、インストールの必要があるかもしれない。Debianベースのシステム(Ubuntuとか)では krb5-configとkrb5-userパッケージになります。
リモートクライアントからkerberosの確認を行うことができるのであれば、krb5.confとresolve.confがほんとうにドメインコントローラのIPアドレスを参照するよう設定されているか確かめてみましょう。
メモ:
NATをまたいだクライアントを使う場合、ドメインコントローラサーバのkrb5.confに次のように追加してください:
  [kdc]
            check-ticket-addresses = false

--
Step 10 Configure kerberos DNS dynamic updates

If you have a current version of bind9 (tested with bind version 9.6.1 on Ubuntu), then the current Samba4 git tree will automatically setup and configure a file called /usr/local/samba/private/named.conf.update, which you can include in your master named.conf to allow Samba/Kerberos DNS updates to automatically take place. Be advised that if you include this file in Bind versions that don't support it, Bind will fail to start.
You additionally need to set two environment variables for bind9:
  KEYTAB_FILE="/usr/local/samba/private/dns.keytab"
  KRB5_KTNAME="/usr/local/samba/private/dns.keytab"
  export KEYTAB_FILE
  export KRB5_KTNAME
These should be put in your settings file for bind9. On Debian based systems this is in /etc/default/bind9. On RedHat derived systems it is in /etc/sysconfig/named. Strictly speaking you only either need KEYTAB_FILE or KRB5_KTNAME, but which you need depends on your distro, so it's easier to just set both.
The way the automatic DNS update in Samba works is that the provision will create a file /usr/local/samba/private/dns_update_list, which contains a list of DNS entries that Samba will try to dynamically update at startup and every 10 minutes thereafter. Updates will only happen if the DNS entries do not already exist.
If you want to debug this process, then please run this as root:
/usr/local/samba/sbin/samba_dnsupdate --verbose
that will give you more information on the updates that Samba is doing at runtime, and show you any errors that are generated.
If you are joining Samba4 to an existing Windows DNS domain, or you are using a Windows DNS server instead of bind9, then you may need some patches to bind9 that fix the nsupdate command to correctly work with recent versions of Windows. These patches are in examples/bind9-patches in the current Samba4 source tree. The patches have also been submitted upstream to the bind9 developers for inclusion in a future release. If you don't apply these patches then recent Windows clients (such as Windows7 and Win2K8) won't be able to do dynamic DNS updates to your bind9 server, and bind9 won't be able to do dynamic DNS updates against a Windows DNS server.
Until your distribution Bind package comes with the aforementioned patches, you can get bind to work like this (Applies for current Debian/Ubuntu-based systems).
$ sudo apt-get build-dep bind9
$ sudo apt-get install ccache
$ git clone git://git.samba.org/tridge/bind9.git
$ cd bind9
Now edit the contents of the configure.tridge file to match your setup. For my installation, I've changed the prefix to /usr/local and kept the rest of the options. Now build and install bind.
$ ./configure.tridge
$ make
$ sudo make install
Now, because I was too lazy to write the init script and set up all the config files manually, I've done the following little hack:
$ sudo apt-get install bind9
$ sudo mv /usr/sbin/named /usr/sbin/named.orig
$ sudo ln -s /usr/local/sbin/named /usr/sbin/named
$ sudo mv /usr/bin/nsupdate /usr/bin/nsupdate.orig
$ sudo ln -s /usr/local/bin/nsupdate /usr/bin/nsupdate
Now you have to ensure that bind can read the dns.keytab file, the named.conf file and the zone file. It also needs to be able to write the zone file. The Samba provision tries to setup the permissions correctly for these files, but you may find you need to make changes in your Apparmor or SELinux configuration if you are running either of those. If you are using Apparmor then the aa-logprof command may help you add any missing permissions you need to add after you start Samba and bind9 for the first time after configuring them.
You should also carefully check the permissions on the private/dns directory to ensure it is writable by bind.
On some systems you may also find that you need to symlink the dns.keytab file as /etc/krb5.keytab, as bind may not honor the environment variables for the location of this file.

NOTE about filesystem support

To use the advanced features of Samba4 you need a filesystem that supports both the "user" and "system" xattr namespaces.
If you run Linux with a 2.6 kernel and ext3 this means you need to include the option "user_xattr" in your /etc/fstab. For example:
/dev/hda3 /home ext3 user_xattr 1 1
You also need to compile your kernel with the XATTR and SECURITY options for your filesystem. For ext3 that means you need:
    CONFIG_EXT3_FS_XATTR=y
    CONFIG_EXT3_FS_SECURITY=y
If you are running a Linux 2.6 kernel with CONFIG_IKCONFIG_PROC defined you can check this with the following command:
    $ zgrep CONFIG_EXT3_FS /proc/config.gz
If you don't have a filesystem with xattr support, then you can simulate it by using the option:
    posix:eadb = /usr/local/samba/eadb.tdb
that will place all extra file attributes (NT ACLs, DOS EAs, streams etc), in that tdb. It is not efficient, and doesn't scale well, but at least it gives you a choice when you don't have a modern filesystem.

Testing your filesystem
To test your filesystem support, install the 'attr' package and run the following 4 commands as root:
  # touch test.txt
  # setfattr -n user.test -v test test.txt
  # setfattr -n security.test -v test2 test.txt
  # getfattr -d test.txt
  # getfattr -n security.test -d test.txt
You should see output like this:
  # file: test.txt
  user.test="test"
  # file: test.txt
  security.test="test2"
If you get any "Operation not supported" errors then it means your kernel is not configured correctly, or your filesystem is not mounted with the right options.
If you get any "Operation not permitted" errors then it probably means you didn't try the test as root.
If you are using the posix:eadb option then you don't need to test your filesystem in this manner.

--
Step 10 kerberos DNSの動的更新の設定

現行バージョンのbind9(Ubuntu上の バージョン 9.6.1のbindで確認した)があれば 現行のgitツリーのSamba4は、マスターnamed.confに含む(include)ことのできるSamba/Kerberos DNSが自動的に更新されることを許可する、/usr/local/samba/private/named.conf.update ファイルの設定とセットアップを自動的におこなうでしょう。
加えて、bind9用の環境変数を2つ追加する必要があります:

  KEYTAB_FILE="/usr/local/samba/private/dns.keytab"
  KRB5_KTNAME="/usr/local/samba/private/dns.keytab"
  export KEYTAB_FILE
  export KRB5_KTNAME

これらはbind9の設定ファイルにおいた方が良いでしょう。Debianベースのシステムでは、/etc/default/bind9になります。RedHat派生のシステムでは /etc/sysconfig/named になります。 厳密に言えばKEYTAB_FILEかKRB5_KTNAMEのどちらかだけが必要ですが、どちらが必要かはディストリビューションによるので、両方設定しておいたほうが簡単でしょう。
SambaがDNSの自動更新を行う方法は、provisionがDNSエントリーリストを含むファイル /usr/local/samba/private/dns_update_listを作成し、Sambaは起動時とそれ以後10分毎に直接更新します。更新は、DNSエントリーがまだない場合にのみ発生します。
このプロセスをデバッグしたいのであれば、rootで次のように実行します:

  /usr/local/samba/sbin/samba_dnsupdate --verbose

これはSamba実行時に更新処理で行っていることの追加情報をあなたに提供し、発生したどんなエラーも表示するでしょう。
もし、Samba4を既存のWindows DNS ドメインに参加させたいか bind9の代わりにWindows DNSサーバを利用している場合、bind9に、nsupdateコマンドが最近のWindowsで正しく動作するように修正するための、いくつかパッチを当てる必要があるかもしれません。これらのパッチは現行のSamba4ソースツリーの examples/bind9-patchesにあります。パッチが将来のリリースに取り込まれるようにbind9の開発者達に投稿済みです。このパッチを適用しない場合、最近のWindowsクライアント(Windows7 や Win2k8)が bind9サーバに対して動的DNS更新をすることができず、bind9はWindows DNS サーバに対して再び動的更新をすることができなくなるでしょう。
使用のディストリビューションのBindパッケージが前述のパッチを適用するまでは、bindを次のように取得することができます(Debian/Ubuntuベースのシステムに適用方法)。

$ sudo apt-get build-dep bind9
$ sudo apt-get install ccache
$ git clone git://git.samba.org/tridge/bind9.git
$ cd bind9

configure.tridgeファイルの内容をあなたの環境にあわせて編集します。私の場合、接頭辞を /usr/local に変更し、残りのオプションはそのままにしました。そしてbindのビルドとインストールを行います。
$ ./configure.tridge
$ make
$ sudo make install

ところで、私はinitスクリプト書いたり設定ファイルを手動でセットアップするのがめんどくさかったので、こんな感じの小さなハック(小技)を使いました:
$ sudo apt-get install bind9
$ sudo mv /usr/sbin/named /usr/sbin/named.orig
$ sudo ln -s /usr/local/sbin/named /usr/sbin/named
$ sudo mv /usr/bin/nsupdate /usr/bin/nsupdate.orig
$ sudo ln -s /usr/local/bin/nsupdate /usr/bin/nsupdate

ここで、dns.keytabファイル、named.confファイル、ゾーンファイルは bindが読める状態にあるか必ず確認しておいてください。ゾーンファイルは書き込みも可能である必要があります。Samba provisionはこれらのファイルのパーミッションを設定を試みますが、ApparmorやSELinuxのようなものを使っている場合はそれらの設定変更が必要なことに気付けるかもしれません。Apparmorを使っている場合、aa-logprofコマンドは、Sambaとbind9初回起動したあとで不足しているパーミッションを追加する時に便利かもしれません。
private/dns ディレクトリもbindが書き込みアクセス可能なパーミッションになっていることも注意して確認したほうがいいでしょう。
いくつかのシステムでは、dns.keytabファイルのシンボリックリンク /etc/krb5.keytab が必要になるかもしれません。
また、bindがこのファイルの位置の環境変数を与えられないようないくつかのシステムでは、/etc/krb5.keytabとしてdns.keytabファイルへのシンボリックリンクが必要もなるかもしれません。

メモ ファイルシステムサポートについて

Samba4の高度な機能を使うには、"user"と"system"の xattr名前空間をサポートするファイルシステムが必要になります。
Linuxを2.6カーネルとext3であれば、/etc/fstabに "user_xattr"オプションを含めることが必要だということを意味します。例えば:
/dev/hda3 /home ext3 user_xattr 1 1
また、カーネルも利用するファイルシステム用のXATTRとSECURITYオプション付きでコンパイルする必要があります。ext3向けのオプションは次のようになります:
  CONFIG_EXT3_FS_XATTR=y
  CONFIG_EXT3_FS_SECURITY=y

もしLinux カーネル2.6が CONFIG_IKCONFIG_PROC定義付きで動作していれば、次のコマンドで(オプションが設定されているか)確認することができます:
  $ zgrep CONFIG_EXT3_FS /proc/config.gz
もしxattrをサポートしていないファイルシステムの場合は、次のオプションを利用することでそう装うことができます:
  posix:eadb = /usr/local/samba/eadb.tdb
これによってすべての追加ファイル属性(NT ACLs, DOS EAs, streams など)をそのtdbに格納します。効率的でないし、調整もしにくいが、少なくとも最近のファイルシステムを利用してない場合に選択肢を与えます。

ファイルシステムのテスト

ファイルシステムのサポートを確認するには、'attr'パッケージをインストールしてから次の4コマンドをrootで実行してください:
  # touch test.txt
  # setfattr -n user.test -v test test.txt
  # setfattr -n security.test -v test2 test.txt
  # getfattr -d test.txt
  # getfattr -n security.test -d test.txt

次のような出力が確認できるでしょう:
  # file: test.txt
  user.test="test"
  # file: test.txt
  security.test="test2"

いかなる "Operation not supported"エラーが発生した場合も、カーネルが正しく設定されていないか、ファイルシステムが正しいオプションでマウントされていない。
いかなる "Operation not permitted"エラーが発生した場合も、たぶんあなたはrootで実行していないのでしょう。
posix:eadb オプションを使っているのであれば、こういうテストをする必要はない。

この議論は、flied onion (36971)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...