検証4:
Active DirecotryドメインにSamba 3.0を登録する
Windows Server 2003サーバーで構築したActive Directoryドメインに,Samba 3.0サーバーをメンバー・サーバーとして登録できるかどうかも検証した。Sambaサーバーのコンピュータ・アカウントを「Windows 2000以前のコンピュータとして割り当てる」設定にすることにさえ留意すれば,特に問題なくメンバー・サーバーとして登録できた。以下,Windows Server 2003でのActive Directoryドメイン構築と,Samba 3.0サーバーの登録手順を紹介する。
まず,Windows Server 2003サーバーを使ってActive Directoryドメインを構築する。これには,「サーバーの役割管理」(写真2[拡大表示])ツールを使って,サーバーの構成を変更する必要がある。「役割を追加または削除」のアイコンをクリックして表示される「サーバーの構成ウィザード」(写真3[拡大表示])で,「最初のサーバーの標準構成」を選択すると,サーバーをドメイン・コントローラにし,ユーザー管理用のActive Directoryサービスを稼働させることができる。これだけで,Active Directoryドメインの構築作業は完了である。
次にSamba 3.0サーバーをActive Directoryドメインに登録する。登録は,ドメイン・コントローラの「Active Directoryのユーザーとコンピュータ」の画面で,ドメインのコンピュータを新規作成(写真4[拡大表示])する方法で行う。コンピュータの新規作成用のダイアログ(写真5[拡大表示])が表示されるので,ここにSambaサーバーのコンピュータ名を記述する。この時「このコンピュータアカウントをWindows 2000以前のコンピュータとして割り当てる」にチェックを入れる必要がある。これは,Samba 3.0ではまだWindows Server 2003で拡張されたActive Directoryの機能に対応していないからである。
この状態で,SambaサーバーをActive Directoryドメインに参加させることができる。ドメインに参加させるには,図2[拡大表示]のようにsmb.confファイルでセキュリティ・パラメータを「security= domain」に変更し,Sambaマシン上でnetコマンドを次のように実行する。
# net rpc join member
-w ドメイン名
-S PDCサーバー名
-U administrator%パスワード
Samba3.0では,図2のようにsmb.confに「idmap uid」と「idmap gid」パラメータを設定しておけば,Linuxへのユーザー登録作業なしに(useraddコマンドを使わずに),Sambaユーザーの追加が可能である。この場合,ユーザーが所属するグループはnetコマンドで設定する必要がある。しかしSamba 3.0beta2では,OSへのユーザー登録なしにはグループ情報の細かな設定がうまくできなかった。
次に/etc/nsswitch.confファイルのpasswd行とgroup行を次のように書き換える。
passwd: files winbind
group: files winbind
設定変更後,winbindサーバーを起動すれば,Active Directoryドメインのユーザー情報(RID)がSambaサーバーのLinuxアカウント情報としてマッピングされるようになる。これでドメイン参加作業は完了である
なお,Samba 3.0からはwinbindが割り付けたユーザーID/グループIDの情報をLDAPサーバーに保存して,複数のLinuxシステムで共有できるようになった。同一のユーザーに対応するユーザーID/グループIDが,Linuxシステムごとに異なると管理が面倒になるため,別途,LDAPサーバーを用意してIDも管理するようにした方が良いだろう。
以上,やや駆け足で,Samba 3.0とWindows Server 2003の接続性検証を行った。日本語ファイル名の不具合以外には,特筆すべき問題点は見当たらなかった。Samba 3.0サーバーをドメイン・コントローラとして運用する場合はWindows NT4.0相当であること,メンバー・サーバーとして運用する場合はWindows 2000相当であることを念頭に置いて作業すれば,設定で迷うことはないと思われる。
(終)