Samba 4.7.xでActive Directoryを１から立てる

2019/06/14追記

「Samba 4.10.xでActive Directoryを１から立てる」という記事を更新版の記事を作成しています。違いは必要となるパッケージが増えたことについてです。

---

CentOS7とSamba 4.7.5で環境を作成しなおしたので、記事更新

過去の記事はこちら
2014年2月版「Samba 4.xでActive Directoryを1から立てる」
2016年7月版「Samba 4.4.xでActive Directoryを１から立てる」

---

Linux上でSambaを使ってActive Directoryサーバを立てるメリット
・Windows Serverを買わなくてもActive Directoryを作れる
　ライセンス費用の低減
・Active Directoryユーザの作成などのユーザ管理をWindowsマシンからWindows標準ツールで行える
　ユーザ作成/変更、コンピュータアカウントの作成、DNS管理など、Active Directoryの管理を行う際に
　良く使う動作については、Linuxのコマンドではなく、WindowsのActive Directory管理ツールで行える
　具体的にはADに参加しているWindowsマシンにWindows機能のActive Directory管理ツールを追加インストールしたあと、
　ADの管理者ユーザでログオンすることでAD管理を行うことができる
・設定が難しくない
　いまのsambaは、DNSサーバとLDAPサーバ機能が統合されており、AD名とAD上の役割と
　管理者パスワードを決めてしまえば、あとは良きに計らってくれるので
　設定の難易度が非常に低い

もちろん、デメリット、もあります
・ActiveDirectoryの全機能が搭載されていない
　ドメイン/フォレストの機能レベルが「Windows Server 2008 R2」までとなっている。
　なお、フェールオーバクラスタについては作成できるようになっていました。
　→「samba 4.7.4で作ったActive Directory環境でWindowsServer2016フェールオーバークラスターを動作させた」というわけで動作することを確認しました

それでは、実際の手順について・・・
元ネタは公式ページの「Setting up Samba as an Active Directory Domain Controller」となります。

0. CentOS7の最小インストールを実施

1. /etc/hostsの修正
自ホスト名を/etc/hostsに追加
追加の際は、ショートのホスト名と、ドメイン付きのFQDNの両方を列挙すること。

2. 好みに応じて使うツールをインストール
セッションが途中で切れても良い様に「screen」と、ファイルダウンロードするためにwget(curlでもいいのですが)をインストールします。

3. 必要なパッケージをインストール
Samba公式の「Operating system requirements/Dependencies – Libraries and programs」に記載されているパッケージをインストール

4. sambaのtar.gzをダウンロード

5. configure実施

6. make & make install

7. インストール完了確認

sambaのバージョン確認

8. Active Directoryのセットアップ
ドメイン「adosakana.local」を作成します。
また、sambaの機能を使ってAD DNSを構築するので「SAMBA_INTERNAL」を選択します。

なお、「–use-rfc2307」はADにNIS連携機能を追加するオプションです。AD上にUnix用のUID/GID/shell情報なども格納できるようにします。Samba環境では有効にしておくべきものです。

なお、password_hashでエラーとなるとおもいます。
現状の /etc/krb5.conf の内容が問題で発生しています。
この後の手順で正しいものに置き換えるので、この段階では単純に「mv /etc/krb5.conf /etc/krb5.conf.org」などの手段で別の名前として使わなくすれば大丈夫です。

9. sambaを起動

10.動作確認
CentOS内部からSMB接続を行うテストを実施。

以前は「Domain=[ADOSAKANA.LOCAL] OS=[Unix] Server=[Samba x.y.z]」という出力もあったのですが、Samba 4.7.5では無くなったようです。

netlogon共有にAdministrator権限でアクセスできるか確認。

11．AD DNSの動作テスト
AD DNSが想定通りに動作しているかテストします。

まず、どんなzoneが登録されているのか確認

Active Directoryで使用するDNSのSRVレコードが登録されているかをhostコマンドを使って確認。

ADサーバのホスト名が登録されているか確認

12. DNSサーバの変更
ADサーバの/etc/resolv.confを、ADサーバ自身を使う様に書き換え

13. /etc/krb5.conf の変更
/usr/local/samba/private/krb5.conf に元となるものがあるので、それを使用する。

14. Kerberosの動作確認

kinitコマンドを実行して確認します。

正常に設定されていれば、上記の様にAdministratorユーザのパスワード有効期限が表示されます。

ドメイン名指定の大文字/小文字を間違えると下記の様なエラーとなります。

また、DNSサーバ指定が誤っている場合は下記の様なエラーです。

「klist」コマンドを実行することでも確認出来ます。

15. フォレストとドメインの機能レベル確認
作成したActive Directoryのドメインの機能レベルとフォレストの機能レベルを確認します。

Samba 4.7.5では、Windows Sevrer 2008R2と設定されているようです。

16. firewalldの設定

CentOS7ではfirewalldによりポートが制限されています。
現状を「firewall-cmd –list-all」で確認。

開けるべきポートのテンプレートがあらかじめ用意されているので「firewall-cmd –get-services」を実行して確認します。

SambaをADとして使う場合のポートを「Samba AD DC Port Usage」で確認します。

CentOS7のfirewalldで定義されているものと待避させてみると・・・

サービス	ポート	プロトコル	firewalld定義
DNS	53	tcp/udp	dns
Kerberos	88	tcp/udp	kerberos,freeipa-ldap,freeipa-ldaps
End Point Mapper (DCE/RPC Locator Service)	135	tcp	freeipa-trust
NetBIOS Name Service	137	udp	samba,samba-client
NetBIOS Datagram	138	udp	samba,samba-client,freeipa-trust
NetBIOS Session	139	tcp	samba,freeipa-trust
LDAP	389	tcp/udp	freeipa-trust(ldap,freeipa-ldapはtcpのみ)
SMB over TCP	445	tcp	samba,freeipa-trust(freeipa-trustはudpも含む)
Kerberos kpasswd	464	tcp/udp	kpasswd,freeipa-ldap,freeipa-ldaps
LDAPS	636	tcp	ldaps,freeipa-ldaps
Dynamic RPC Ports(4.7以前)	1024-1300	tcp	freeipa-trust
Dynamic RPC Ports(samba 4.7以降)	49152-65535	tcp	?
Global Catalog	3268	tcp	freeipa-trust
Global Catalog SSL	3269	tcp	なし

・firewalldの定義「samba」「dns」「freeipa-ldaps」「freeipa-trust」を使用
・「Dynamic RPC Ports(samba 4.7以降):49152-65535」を追加するか、smb.confで「rpc server port」を定義するか。
・「Global Catalog SSL:3269」を追加

17. systemdへの登録
systemdへの登録については「Managing the Samba AD DC Service Using Systemd」を参照のこと
CentOS6の場合は「Managing the Samba AD DC Service Using an Init Script」

以上で設定は終了です。