スキップしてメイン コンテンツに移動

投稿

4月, 2021の投稿を表示しています

samba 4 ad dc with idmap backend ad その二: FSMOマスタの構築(ad dc上でのwinbindあり共有設定ありの場合)

Samba wikiによるとsamba ad dc上ではwinbindおよび共有は明確に非推奨ということになっています。しかし、小規模な環境ではサーバを複数建てることは憚られることもありますし、NAS製品の一部ではAD DCとして機能させるものもあります。そこで、idmap backend adのad dc上でwinbindあり、共有ありの設定を再度検証することにしました。なお、テスト環境でのサーバはDebian 10.9/Buster AMD64,sambaのバージョンは2:4.9.5+dfsg-5+deb10u1、 クライアントはwindows10/20h2で、共にhyper-v上で動作確認を行いました。 まず、最初に各種設定項目を以下の様に事前に決めておきます。なおdns serverは信頼関係を設定しないためsamba_internalとしています。 ドメイン名(FQDN) dom01.vr ドメイン名(NetBIOS) DOM01 IPv6アドレス: 2www:xxxx:yyyy:zzzz::120/64 IPv6ゲートウェイ: 2www:xxxx:yyyy:zzzz::106 IPv4アドレス: 10.1.4.120/24 IPv4ゲートウェイ: 10.1.4.106 マシン名: vsv120 dns forwarder: 2606:4700:4700::1111 1.1.1.1 上述の設定で、ネットワーク設定を済ませておいてください。 /etc/hostsは以下の様に編集します。 127.0.0.1 localhost 127.0.1.1 vsv120.dom01.vr vsv120 # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters 2www:xxxx:yyyy:zzzz::120 vsv120.dom01.vr vsv120 10.1.4.120 vsv120.dom01.vr vsv120 また、uid/gidの範囲は今回は以下の様

Install Debian 10/Buster(Armbian) on Pine A64 and configure manually NetworkManager

テスト用にSamba AD DCをインストールするため、Debian 10/Buster(armbian)をPine A64にインストールしたので、備忘録として挙げてみました。基本的には、wgetなどでファイルを取得し、xz形式のimgファイルをunxzで解凍後、micro sdcardに書き込めばOKです。 wget https://redirect.armbian.com/pine64/Buster_current mv Buster_current Armbian_21.02.3_Pine64_buster_current_5.10.21.img.xz unxz Armbian_21.02.3_Pine64_buster_current_5.10.21.img.xz sudo dd if=Armbian_21.02.3_Pine64_buster_current_5.10.21.img of=/dev/sde 約1.8GBの書き込みが当方計測でおよそ10分かかりました。 続いて、書き込んだMicroSDカード、hdmiケーブル、ネットワークケーブル、キーボードケーブルをボードに差し込み、最後にusbケーブル(電源)を接続してください。正常に書き込みができていると、Pine64のロゴとWelcome to Armbian のメッセージが表示されます。 初回起動時はルートのパスワードとシステムシェルの選択、それと新規ユーザアカウントを行います。 最後は、ロケーションから言語の設定を行うかどうか聞いてくるので、Yesとしてくだささい。ネットワークが正常に接続されていると、timezoneからlocaleとキーボードが自動接続されます。これで、最初の設定は終了です。あとは、通常のデビアンとほぼ変わらずつかえますが、GUIなしでもNetworkManagerがインストール・有効化されているので、注意が必要です。 なお、NetworkManagerの設定はnmcliをつかって以下の様に固定にしてみました。 $ sudo su nmcli con show nmcli con mod eth0 ipv4.method "manual" nmcli con mod eth0 ipv4.addresses "172.16.

Mate Desktop : ドメイン下のWindows共有をユーザ権限でログイン時に自動マウント

システム権限で/etc/fstabに記述せずに、Mate Desktopにてログイン時にユーザ権限でドメイン下のWindows共有を自動マウントできたので、備忘録として本稿を挙げてみました。 使用するアプリは Gigolo という名前のアプリです... 突拍子もない名前ですがツッコミはやめておきます...閑話休題。 参考までにmountはWindows共有だけでなくftp, ssh, webdavなどにも対応しています。以下、早速設定です。 まず、Gigoloをインストールします。 sudo apt-get install gigolo インストールすると、Mate Desktopでは、アプリケーション >> システムツール >> Gigoloのように登録されるので、クリックしてGigoloを起動させます。 Gigoloを起動したら、"ブックマークの編集"をクリックします。すると、"ブックマークの編集"ウィンドがひらきますので、左下の"追加"ボタンをクリックします。そうすると”ブックマークの作成”ウィンドウがひらくので、必要な項目を入力/選択してください。なお、色は薄めの色になっていないので、色は適当に選んでください。 ドメインとユーザー名は必要に応じて入力してください。ブックマークの編集が済んだら、追加ボタンをクリックします。 続いて、Gigoloを自動実行させる設定ですが、その前に、Gigoloが起動されるときに最小化して起動させるために、編集>>設定>>”インターフェース”タブで、”通知エリアに最小化して起動する”にチェックを入れておきます。 最後に、自動実行させるアプリの設定でGigoloを登録しておきます。システム>>コントロールセンターを開き”ユーザ向け”項目の中に”自動起動するアプリ”があるのでクリックします。すると”自動起動するアプリの設定”ウィンドがひらくので、追加ボタンをクリックしてください。すると、”自動起動するアプリの追加”ウィンドウがひらくので、例えば以下のように入力し、追加ボタンをクリックします。 これで、先程登録したブックマークのWindows共有が自動でマウントされるようになっているので、確認のた

Debian 10 with Mate DesktopにLibreoffice-gnomeをインストールしWindows共有ファイルを開く

Windows以外にもDebianはよくつかっているのですが、Debian10/Buster with Mate DesktopでLibreofficeを起動し、caja(ウィンドウズでいうエクスプローラー)で接続したWindows共有のファイルを開こうとすると、Libreofficeごと落ちてしまい、書類を開くことができませんでした。 いろいろ調べたのですが、2021/04/04現在のDebian 10/Busterの場合、net instで、mate-desktopを選択した場合、libreofficeは自動でインストールされますが、libreoffice-gnome がインストールされていないのが原因でした。ですので以下のようにlibreoffice-gnomeをインストールするだけで cajaでマウントしたwindows共有フォルダのファイルを使用できるようになります。 sudo apt install libreoffice-gnome あとは、cajaでダブルクリックで書類を開くだけでOKでした。 今回は以上です。それでは。

samba4: winbindをクライアントにインストールし、idmap backend=ad の domainユーザー情報でログイン

いわゆる統合認証の一種ですが、 idmap backend=adで構築したsamba ad dc から、winbindにてログイン認証を得ることで、WindowsとLinuxとで同じユーザ名とパスワードでログイン・ログオンできるようになります。さらに、idmap backend=adにしているのでlinuxマシン間ではuidが統一されます。 今回はLinux端末にWinbind認証を入れ、ユーザー情報をsamba ad dcから取得・認証させる設定をしたので、備忘録として本稿を挙げてみることにしました。なお、サーバ・クライアントは共にDebian10/Busterで構築しています。 2021/05/10追記:winbind経由の認証場合、オフライン認証、サスペンド・ハイバーネーションからの復帰時の認証に難がありますが、 sssd経由の場合、いずれもほぼ問題ありませんでしたので、ノートPCなどのモバイルPCでのad認証は、こちらの記事 をお勧めします。 前提ですが、 idmapのbackendがad(active directory)のsamba ad dc サーバは、こちらですでに構築している ものとします。 まず初めにクライアントのIPv4/IPv6アドレスですが、今回は説明のため固定にしてみました。 #/etc/network/interfaces.d/enp2s0 auto enp2s0 iface enp2s0 inet static address 10.1.4.53 netmask 255.255.255.0 gateway 10.1.4.23 iface enp2s0 inet6 static address 2www:xxxx:yyyy:zzzz::53 netmask 60 gateway 2www:xxxx:yyyy:zzzz::23 ネットワークの設定が済んだら、再起動してください。 つづいて、クライアントマシンでの名前解決に、samba ad dc(sv63.mydomain.site 10.1.4.63)を指定します。 #/etc/resolv.conf search mydomain.site domain mydomain.site nameserver 10.1.4.63 namese