ActiveDirectoryドメインコントローラに ユーザ を追加します。
このユーザは、参加したwindowsマシンのアカウント、Linuxのアカウントとして利用可能になります。
もちろんパスワードは同じ。

idmap バックエンド

sambaでのprovisionの際に「--use-rfc2307」を有効にするとsamba-adの内でuid,gid,login shell, home directoryらが定義できます. uidとgidのみ必要なら「--use-rfc2307」を使わなくてもいい.
その場合、login shellとか皆同じ、home directoryもprefixが付くとか融通が利かなくなりますので、なるべくは「--use-rfc2307」を入れた方が幸せになれるかと

ここではこの「--use-rfc2307」を有効にした上でのユーザ登録を示してます

パスワード要件を緩めに

ユーザも作っていないのになんなのだが、ログインパスワードの要件を下げます。
数字大文字小文字を混ぜさせる要件は大事なのですが、、、ここでは簡単に複雑性はなし、履歴参照なし、文字列は3文字以上、無期限を有効にします。コマンドラインで下記入力を行うと達成されます。

[root@ad ~]# samba-tool domain passwordsettings set --complexity=off --history-length=0 \
                                    --min-pwd-length=3 --min-pwd-age=0  --max-pwd-age=0
Password complexity deactivated!
Password history length changed!
Minimum password length changed!
Minimum password age changed!
Maximum password age changed!
All changes applied successfully!
[root@ad ~]#

アカウントの作成

まずはグループの登録から。
アカウントの登録もそうなのだが、方法は2通りある。1つはsamba-toolコマンドライン。もう一つはリモートサーバ管理ツール samba/RSAT を使ったGUIによる登録。最終的に達成される結果は同じなので使い勝手のいい方を選んでよろしいのかと。

初回パスワードを付与

[root@ad ~]# samba-tool user setpassword illya --newpassword=illya

次にホームディレクトリを用意する。

[root@ad ~]# mkhomedir_helper illya 0022 /etc/skel

作られたホームディレクトリ(\\c\home\illya)のアクセス許可をwindows側から確認すると下記になる
2015y11m22d_131507999.png
これでユーザ登録は完了

samba-toolコマンドラインリモートサーバ管理ツールとの対応はsamba42/ユーザ登録/対応表を参照の事

パスワード変更には

kpasswを使用します

[illya@c ~]$ kpassw

sambaサーバの既定ユーザ/グループの確認

provisionの際、その他のグループ/ユーザが実際には作られている。そのUID/GIDの配布状況を確認してみる
一見passwdファイルのよう見えて、どのようなUID/GIDが降られているのか確認できる。
でもgetent passwdやらには表示されない。
ホームディレクトリの表記に注目。winbindな形式なのだろうか。

[root@ad ~]# PATH=/opt/samba/bin:$PATH;IFS=$'\n';for s4u in `wbinfo -u`;do wbinfo --user-info=$s4u;done
CHAPERONE\administrator:*:0:100::/home/CHAPERONE/administrator:/bin/false
CHAPERONE\guest:*:3000011:3000012::/home/CHAPERONE/guest:/bin/false
CHAPERONE\krbtgt:*:3000021:100::/home/CHAPERONE/krbtgt:/bin/false
CHAPERONE\illya:*:1002:100::/home/CHAPERONE/illya:/bin/false
[root@ad ~]#
[root@ad ~]# PATH=/opt/samba/bin:$PATH;IFS=$'\n';for s4g in `wbinfo -g`;do wbinfo --group-info=$s4g;done
CHAPERONE\cert publishers:x:3000022:
CHAPERONE\ras and ias servers:x:3000023:
CHAPERONE\allowed rodc password replication group:x:3000024:
CHAPERONE\denied rodc password replication group:x:3000005:
CHAPERONE\dnsadmins:x:3000025:
CHAPERONE\enterprise read-only domain controllers:x:3000026:
CHAPERONE\domain admins:x:3000004:
CHAPERONE\domain users:x:100:
CHAPERONE\domain guests:x:3000012:
CHAPERONE\domain computers:x:3000020:
CHAPERONE\domain controllers:x:3000027:
CHAPERONE\schema admins:x:3000006:
CHAPERONE\enterprise admins:x:3000007:
CHAPERONE\group policy creator owners:x:3000008:
CHAPERONE\read-only domain controllers:x:3000028:
CHAPERONE\protected users:x:3000029:
CHAPERONE\dnsupdateproxy:x:3000030:
CHAPERONE\pc-join:x:3000031:
CHAPERONE\fate:x:2000:
[root@ad ~]#

より詳細には下記コマンドで閲覧できるが、データベースを直接触っているので要注意

[root@ad ~]# /opt/samba/bin/ldbedit -H /opt/samba/private/sam.ldb

グループへの参加

特定ユーザを特定グループに参加させたい。たとえば管理者なTosakaにarc(ryを加える感じで。
sambaで管理しているグループ一覧は下記コマンドで得られる

[root@ad ~]# /opt/samba/bin/samba-tool group list  |  awk 'BEGIN {OFS="\t";} {print length(),$0}' | sort -nr  | cut -f2
Enterprise Read-only Domain Controllers
Allowed RODC Password Replication Group
Denied RODC Password Replication Group
Windows Authorization Access Group
Pre-Windows 2000 Compatible Access
Terminal Server License Servers
Network Configuration Operators
Certificate Service DCOM Access
Incoming Forest Trust Builders
Read-only Domain Controllers
Group Policy Creator Owners
Performance Monitor Users
Cryptographic Operators
Performance Log Users
Distributed COM Users
Remote Desktop Users
RAS and IAS Servers
Domain Controllers
Event Log Readers
Enterprise Admins
Account Operators
Server Operators
Domain Computers
Backup Operators
Protected Users
Print Operators
Cert Publishers
DnsUpdateProxy
Administrators
Schema Admins
Domain Guests
Domain Admins
Domain Users
Replicator
IIS_IUSRS
DnsAdmins
pc-join
Guests
Users
fate
[root@ad ~]#

ここで現在のDomain Adminsグループに所属しているユーザを確認します。

[root@ad ~]# /opt/samba/bin/samba-tool group listmembers "Domain Admins"
Administrator
[root@ad ~]#

とAdministratorのみです。これにユーザsaberを加えてみます。

[root@ad ~]# /opt/samba/bin/samba-tool group addmembers "Domain Admins" saber
Added members to group Domain Admins
[root@ad ~]#
[root@ad ~]# /opt/samba/bin/samba-tool group listmembers "Domain Admins"
Administrator
saber
[root@ad ~]#

と加えることができた。

*複数のグループに所属して、代表となる所属とかはwindowsのGUI操作が必要みたい

サンプルアカウント

他、サンプルアカウントとして

[root@ad ~]# /opt/samba/bin/samba-tool user create saber --must-change-at-next-login --random-password \
--given-name=Artoria --surname=Pendragon --use-username-as-cn \
--description=剣士王 --physical-delivery-office=衛宮邸 \
--telephone-number=+81-0-0000-0000 --mail-address=xxxxx@xxx.xxxx.xx --internet-address=INTERNET_ADDRESS \
--company=衛宮家 --department=居間 --job-title=腹ペコ王 \
--home-drive=z --home-directory="\\\c\home\saber" \
--uid=saber --uid-number=1003 --gid-number=2000 --gecos="Artoria Pendragon" --login-shell=/bin/bash \
--nis-domain=sybyl --unix-home=/home/saber
 
[root@ad ~]# /opt/samba/bin/samba-tool user setpassword saber --newpassword=saber
 
[root@ad ~]# cp -r /etc/skel /home/saber
[root@ad ~]# chown -R 1003:2000 /home/saber
最新の60件
2025-01-23 2025-01-22 2025-01-21 2025-01-20 2025-01-13 2025-01-12 2025-01-08 2024-12-30 2024-12-29 2024-12-22 2024-12-20 2024-12-17 2024-12-15 2024-12-14 2024-12-12 2024-12-11 2024-12-10 2024-12-09 2024-12-08 2024-12-04 2024-11-28 2024-11-22 2024-11-15 2024-11-14 2024-11-12 2024-11-06 2024-11-05 2024-11-04 2024-11-02 2024-11-01 2024-10-29 2024-10-28 2024-10-27 2024-10-23 2024-10-18 2024-10-17 2024-10-15 2024-10-14 2024-10-13 2024-10-11 2024-10-10 2024-10-09 2024-10-08 2024-10-05

edit


トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2024-09-30 (月) 20:14:18