Samba-JP - 利用者の投稿記録 [ja]

パスワードポリシーが有効にならない

2013-03-03T06:03:28Z

Monyo: ページの作成: {{冒頭部|J0802|2013/03/03|たかはしもとのぶ|たかはしもとのぶ}} ==対象== この文書は、以下のプロダクトに付いて説明したものです。 * S…

{{冒頭部|J0802|2013/03/03|たかはしもとのぶ|たかはしもとのぶ}}

==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 4.0.0
* Samba 4.0.3

==現象==
対象のバージョンの Samba について、Default Domain Policyを編集してパスワードポリシーを設定しても、値が反映されません。

==説明==
現在のところ、この動作は仕様です。パスワードポリシーの設定は、'''samba-tool domain passwordsettings''' コマンドで行う必要があります。これは、Samba サーバ自身に対して GPO の設定が反映できないためです。

'''samba-tool domain passwordsettings''' コマンドの実行例を以下に示します。

# /usr/local/samba/bin/samba-tool domain passwordsettings show
Password informations for domain 'DC=samba401ad2,DC=samba,DC=local'

Password complexity: off
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42

==参考情報==

* [http://lists.samba.org/archive/samba-technical/2013-February/090285.html Cheng password setting Not work from group policy]

800番台

2013-03-03T05:38:46Z

Monyo: 技術情報へのリンクを追加

*0800 [[Windows 7からSambaドメインにログオンできない]]
*0801 [[Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない]]
*0802 [[パスワードポリシーが有効にならない]]

イベント

2013-02-26T14:46:36Z

Monyo: /* オープンソースカンファレンス2013 Tokyo/Spring */ 資料へのリンクを追加

日本Sambaユーザ会が関わったイベントを記載します。
==2013年==
===オープンソースカンファレンス2013 Tokyo/Spring===
* 2013/02/24 [http://www.ospn.jp/osc2013-spring/ オープンソースカンファレンス2013 Tokyo/Spring]
* セミナー [https://www.ospn.jp/osc2013-spring/modules/eguide/event.php?eid=43 Samba 4.0.0遂にリリース！最新Samba 4.0.0新機能のすべて]
* 資料は以下の通り
** [https://www.ospn.jp/osc2013-spring/pdf/osc2013spring_Samba.pdf Samba 4.0.0新機能のすべてプレゼン資料]

==2011年==
===オープンソースカンファレンス2011 Nagoya===
* 2011/08/20 [http://www.ospn.jp/osc2011-nagoya/ オープンソースカンファレンス2011 Nagoya]
* セミナー [https://www.ospn.jp/osc2011-nagoya/modules/eguide/event.php?eid=34 Samba最新動向＆Active Directory連携のすべて]
* 資料は以下の通り
** [http://wiki.samba.gr.jp/mediawiki/images/7/78/%E3%82%A2%E3%83%B3%E3%82%B1%E3%83%BC%E3%83%88%E9%9B%86%E8%A8%88.pdf アンケート集計結果]
** [http://wiki.samba.gr.jp/mediawiki/images/1/1c/Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
** [http://wiki.samba.gr.jp/mediawiki/images/8/86/Samba-AD%E9%80%A3%E6%90%BA%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6.pdf Active Directory連携のすべてプレゼン資料]

===オープンソースカンファレンス2011 Kansai@Kyoto===
* 2011/07/16 [http://www.ospn.jp/osc2011-kyoto/ オープンソースカンファレンス2011 Kansai@Kyoto]
* セミナー [https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43 Samba最新動向＆Active Directory連携のすべて]
* 資料は以下の通り
** [http://wiki.samba.gr.jp/mediawiki/images/archive/7/78/20110821163020%21%E3%82%A2%E3%83%B3%E3%82%B1%E3%83%BC%E3%83%88%E9%9B%86%E8%A8%88.pdf アンケート集計結果]
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110821162817%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
** [http://wiki.samba.gr.jp/mediawiki/images/archive/8/86/20110821162128%21Samba-AD%E9%80%A3%E6%90%BA%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6.pdf Active Directory連携のすべてプレゼン資料]

===オープンソースカンファレンス2011 Hokkaido===
* 2011/06/11 [http://www.ospn.jp/osc2011-do/ オープンソースカンファレンス2011 Hokkaido]
* セミナー [https://www.ospn.jp/osc2011-do/modules/eguide/event.php?eid=35 Samba最新動向＆座談会]
* 資料は以下の通り。
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718175904%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]

===オープンソースカンファレンス2011 Kansai@Kobe===
* 2011/04/16 [http://www.ospn.jp/osc2011-kobe/ オープンソースカンファレンス2011 Kansai@Kobe]
* セミナー [http://www.ospn.jp/osc2011-kobe/modules/eguide/event.php?eid=24 答えはやってみなくちゃわからない、Sambaドメイン評価環境で]
* 資料は以下の通り。
** [[media:110416osc.pdf|答えはやってみなくちゃわからない、Sambaドメイン評価環境でプレゼン資料]]
===オープンソースカンファレンス2011 Tokyo/Spring===
* 2011/03/05 [http://www.ospn.jp/osc2011-spring/ オープンソースカンファレンス2011 Tokyo/Spring]
* セミナー [http://www.ospn.jp/osc2011-spring/modules/eguide/event.php?eid=37 Samba最新動向＆座談会]
* 資料は以下のとおり。
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718175457%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
* BoF [http://www.ospn.jp/osc2011-spring/modules/eguide/event.php?eid=99 Doc-ja アーカイブ・プロジェクト：　翻訳・ローカリゼーション BoF]
* 資料は以下のとおり
** [http://wiki.samba.gr.jp/mediawiki/images/3/30/20110311SambaBoF.pdf doc-ja BoF Samba翻訳プロジェクト紹介]

===オープンソースカンファレンス2011 Kagawa===
* 2011/02/05 [http://www.ospn.jp/osc2011-kagawa/ オープンソースカンファレンス2011 Kagawa]
* セミナー [http://www.ospn.jp/osc2011-kagawa/modules/eguide/event.php?eid=10 Samba最新動向＆座談会]
*:講師: たかはしもとのぶ主催: オープンソースカンファレンス実行委員会
* 資料は以下のとおり
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718174254%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba 4最新動向]
** [http://wiki.samba.gr.jp/mediawiki/images/8/8a/20110205OSC2011kagawa-samba-01.zip Samba活用テクニック＆最新動向（前半）]
** [http://wiki.samba.gr.jp/mediawiki/images/b/b8/20110205OSC2011kagawa-samba-02.zip Samba活用テクニック＆最新動向（後半）]

==2010年==
===オープンソースカンファレンス2010 Tokyo/Fall===
* 2010/09/10 [http://www.ospn.jp/osc2010-fall/ オープンソースカンファレンス2010 Tokyo/Fall]
* セミナー [http://www.ospn.jp/osc2010-fall/modules/eguide/event.php?eid=24 答えは、やってみなくちゃわからない Sambaドメイン評価環境で]
*:講師: 太田俊哉主催: オープンソースカンファレンス実行委員会
* 資料は [[media:100911osc.pdf]] にあります。
===オープンソースカンファレンス2010 Nagoya===
* 2010/08/07 [http://www.ospn.jp/osc2010-nagoya/ オープンソースカンファレンス2010 Nagoya]
* セミナー [http://www.ospn.jp/osc2010-nagoya/modules/eguide/event.php?eid=26 Samba活用テクニック＆Windows 7対応状況]
*:講師: 高橋基信主催: オープンソースカンファレンス実行委員会
* 資料は [http://wiki.samba.gr.jp/mediawiki/images/e/e5/20100807OSC2010nagoya-samba.zip こちら(PDFのzip圧縮/1.8MB)]

===オープンソースカンファレンス2010 Tokyo/Spring===
* 2010/02/27 [http://www.ospn.jp/osc2010-spring/ オープンソースカンファレンス2010 Tokyo/Spring]
* セミナー [http://www.ospn.jp/osc2010-spring/modules/eguide/event.php?eid=26 Samba活用テクニック＆Windows 7対応状況]
*:講師: 高橋基信主催: オープンソースカンファレンス実行委員会
* 資料は [http://wiki.samba.gr.jp/mediawiki/images/0/06/20100227OSC2010tokyo-spring-samba.zip こちら(PDFのzip圧縮)]

==2009年==
===オープンソースカンファレンス2009 Tokyo/Fall===
* 2009/10/30 [http://www.ospn.jp/osc2009-fall/ オープンソースカンファレンス2009 Tokyo/Fall]
* セミナー [http://www.ospn.jp/osc2009-fall/modules/eguide/event.php?eid=41 『Samba逆引きリファレンス』出版記念トラブルフリーのSamba設定教えます!!]
*:講師: 武田保真主催: オープンソースカンファレンス実行委員
* 資料は[http://wiki.samba.gr.jp/mediawiki/images/f/ff/OSC2009TokyoFall_samba.pdf こちら(PDF)]

==2008年==
===関西オープンソース2008===
* 2008/11/07 [http://www.k-of.jp/2008/index.html 関西オープンソース2008]
* セミナー [http://www.k-of.jp/2008/list_seminar.html#68 Samba 3.2 はこう変わった！]
*:講師たかはしもとのぶ主催関西オープンフォーラム
===オープンソースカンファレンス2008 名古屋===
* 2008/08/09 [http://www.ospn.jp/osc2008-nagoya/ OSC2008名古屋]
* セミナー [http://www.ospn.jp/osc2008-nagoya/modules/eguide/event.php?eid=15 いまさら聞けない！ Sambaによるファイルサーバ構築入門]
*:講師太田俊哉主催オープンソースカンファレンス実行委員会
=== 夏休み特別企画 ===
* 2008/08/04
* [http://cgi.samba.gr.jp/pipermail/samba-jp/2008-July/001549.html 夏休み特別企画:さわって覚えるSamba入門]
*:講師太田俊哉主催日本Sambaユーザー会協力 (株)びぎねっと
=== LinuxWorld Expo/Tokyo 2008 ===

* 2008/5/28 - 5/30 [http://www.idg.co.jp/expo/lw/lw2008/ | LinuxWorld Expo/Tokyo 2008]
* ．ｏｒｇパビリオンに出展します。ミニセミナー講演（予定）内容:
*: 5/28 13:30-13:55【日本Sambaユーザ会】「やってはいけない」Sambaサーバ構築ノウハウ【講師】小田切耕司
*: 5/29 13:00-13:25【日本Sambaユーザ会】「やってはいけない」Sambaサーバ構築ノウハウ【講師】小田切耕司

===オープンソースカンファレンス2008 Tokyo/Spring===
*セミナー [http://www.ospn.jp/osc2008-spring/modules/eguide/event.php?eid=43 Samba最新動向]
*:講師:たかはしもとのぶ主催オープンソースカンファレンス2007実行委員会(会場:日本電子専門学校)
*:資料は[[http://wiki.samba.gr.jp/mediawiki/images/c/ca/20080301OSC01.pdf ここ(PDF)]]に置きました。

==2007年==
===オープンソースカンファレンス2007 Tokyo/Fall===
*セミナー [http://www.ospn.jp/osc2007-fall/modules/eguide/event.php?eid=36 最新Samba動向と構築事例紹介]
*:講師:小田切耕司主催オープンソースカンファレンス2007実行委員会(会場:大田区産業会館)
*:資料は[http://www.osstech.co.jp/_media/techinfo/seminar/osstech20071002.pdf ここ(PDF)]に置きました。
===オープンソースカンファレンス2007 関西===
*セミナー [http://www.ospn.jp/osc2007-kansai/modules/eguide/event.php?eid=47 Sambaの最新動向紹介]
*:講師:武田保真主催オープンソースカンファレンス2007実行委員会(会場:京都コンピュータ学院京都駅前校)
*:資料は[http://wiki.samba.gr.jp/mediawiki/images/9/9e/OSC2007Kansai_samba.pdf ここ]に置きました。
===オープンソースカンファレンス2007 北海道===
*セミナー [http://www.ospn.jp/osc2007-do/modules/eguide/event.php?eid=20 ちょっと便利なSambaの使い方]
*:講師:太田俊哉主催:オープンソースカンファレンス2007実行委員会(会場:北海道大学学術交流会館)
*:資料は[http://wiki.samba.gr.jp/mediawiki/images/f/fe/070630osc2007do.pdf ここ]に置きました。

* 2007/03/16,17 [http://www.ospn.jp/osc2007-spring/ OSC 2007 Spring]に[[OSC 2007 Spring|出展]]しました
* 2007/03/16,17 セミナ「VistaへのSamba対応状況」を行いました。資料については[[OSC 2007 Spring]]からダウンロード可能です。

==古いイベント（2006年以前について）==

2006年以前のイベント情報については[[過去のイベント|こちら]]にまとめています。

なお、2005年以前のイベント情報については、[http://www.samba.gr.jp/event/ 旧イベントページ] にも記載があります。

なお、旧イベントページの情報は、Wiki に移行予定です。

イベント

2013-02-25T17:25:35Z

Monyo: OSC2013 Tokyo/Springを追記

日本Sambaユーザ会が関わったイベントを記載します。
==2013年==
===オープンソースカンファレンス2013 Tokyo/Spring===
* 2013/02/24 [http://www.ospn.jp/osc2013-spring/ オープンソースカンファレンス2013 Tokyo/Spring]
* セミナー [https://www.ospn.jp/osc2013-spring/modules/eguide/event.php?eid=43 Samba 4.0.0遂にリリース！最新Samba 4.0.0新機能のすべて]
* 資料は以下の通り
** [Samba 4.0.0新機能のすべてプレゼン資料]

==2011年==
===オープンソースカンファレンス2011 Nagoya===
* 2011/08/20 [http://www.ospn.jp/osc2011-nagoya/ オープンソースカンファレンス2011 Nagoya]
* セミナー [https://www.ospn.jp/osc2011-nagoya/modules/eguide/event.php?eid=34 Samba最新動向＆Active Directory連携のすべて]
* 資料は以下の通り
** [http://wiki.samba.gr.jp/mediawiki/images/7/78/%E3%82%A2%E3%83%B3%E3%82%B1%E3%83%BC%E3%83%88%E9%9B%86%E8%A8%88.pdf アンケート集計結果]
** [http://wiki.samba.gr.jp/mediawiki/images/1/1c/Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
** [http://wiki.samba.gr.jp/mediawiki/images/8/86/Samba-AD%E9%80%A3%E6%90%BA%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6.pdf Active Directory連携のすべてプレゼン資料]

===オープンソースカンファレンス2011 Kansai@Kyoto===
* 2011/07/16 [http://www.ospn.jp/osc2011-kyoto/ オープンソースカンファレンス2011 Kansai@Kyoto]
* セミナー [https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43 Samba最新動向＆Active Directory連携のすべて]
* 資料は以下の通り
** [http://wiki.samba.gr.jp/mediawiki/images/archive/7/78/20110821163020%21%E3%82%A2%E3%83%B3%E3%82%B1%E3%83%BC%E3%83%88%E9%9B%86%E8%A8%88.pdf アンケート集計結果]
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110821162817%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
** [http://wiki.samba.gr.jp/mediawiki/images/archive/8/86/20110821162128%21Samba-AD%E9%80%A3%E6%90%BA%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6.pdf Active Directory連携のすべてプレゼン資料]

===オープンソースカンファレンス2011 Hokkaido===
* 2011/06/11 [http://www.ospn.jp/osc2011-do/ オープンソースカンファレンス2011 Hokkaido]
* セミナー [https://www.ospn.jp/osc2011-do/modules/eguide/event.php?eid=35 Samba最新動向＆座談会]
* 資料は以下の通り。
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718175904%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]

===オープンソースカンファレンス2011 Kansai@Kobe===
* 2011/04/16 [http://www.ospn.jp/osc2011-kobe/ オープンソースカンファレンス2011 Kansai@Kobe]
* セミナー [http://www.ospn.jp/osc2011-kobe/modules/eguide/event.php?eid=24 答えはやってみなくちゃわからない、Sambaドメイン評価環境で]
* 資料は以下の通り。
** [[media:110416osc.pdf|答えはやってみなくちゃわからない、Sambaドメイン評価環境でプレゼン資料]]
===オープンソースカンファレンス2011 Tokyo/Spring===
* 2011/03/05 [http://www.ospn.jp/osc2011-spring/ オープンソースカンファレンス2011 Tokyo/Spring]
* セミナー [http://www.ospn.jp/osc2011-spring/modules/eguide/event.php?eid=37 Samba最新動向＆座談会]
* 資料は以下のとおり。
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718175457%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
* BoF [http://www.ospn.jp/osc2011-spring/modules/eguide/event.php?eid=99 Doc-ja アーカイブ・プロジェクト：　翻訳・ローカリゼーション BoF]
* 資料は以下のとおり
** [http://wiki.samba.gr.jp/mediawiki/images/3/30/20110311SambaBoF.pdf doc-ja BoF Samba翻訳プロジェクト紹介]

===オープンソースカンファレンス2011 Kagawa===
* 2011/02/05 [http://www.ospn.jp/osc2011-kagawa/ オープンソースカンファレンス2011 Kagawa]
* セミナー [http://www.ospn.jp/osc2011-kagawa/modules/eguide/event.php?eid=10 Samba最新動向＆座談会]
*:講師: たかはしもとのぶ主催: オープンソースカンファレンス実行委員会
* 資料は以下のとおり
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718174254%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba 4最新動向]
** [http://wiki.samba.gr.jp/mediawiki/images/8/8a/20110205OSC2011kagawa-samba-01.zip Samba活用テクニック＆最新動向（前半）]
** [http://wiki.samba.gr.jp/mediawiki/images/b/b8/20110205OSC2011kagawa-samba-02.zip Samba活用テクニック＆最新動向（後半）]

==2010年==
===オープンソースカンファレンス2010 Tokyo/Fall===
* 2010/09/10 [http://www.ospn.jp/osc2010-fall/ オープンソースカンファレンス2010 Tokyo/Fall]
* セミナー [http://www.ospn.jp/osc2010-fall/modules/eguide/event.php?eid=24 答えは、やってみなくちゃわからない Sambaドメイン評価環境で]
*:講師: 太田俊哉主催: オープンソースカンファレンス実行委員会
* 資料は [[media:100911osc.pdf]] にあります。
===オープンソースカンファレンス2010 Nagoya===
* 2010/08/07 [http://www.ospn.jp/osc2010-nagoya/ オープンソースカンファレンス2010 Nagoya]
* セミナー [http://www.ospn.jp/osc2010-nagoya/modules/eguide/event.php?eid=26 Samba活用テクニック＆Windows 7対応状況]
*:講師: 高橋基信主催: オープンソースカンファレンス実行委員会
* 資料は [http://wiki.samba.gr.jp/mediawiki/images/e/e5/20100807OSC2010nagoya-samba.zip こちら(PDFのzip圧縮/1.8MB)]

===オープンソースカンファレンス2010 Tokyo/Spring===
* 2010/02/27 [http://www.ospn.jp/osc2010-spring/ オープンソースカンファレンス2010 Tokyo/Spring]
* セミナー [http://www.ospn.jp/osc2010-spring/modules/eguide/event.php?eid=26 Samba活用テクニック＆Windows 7対応状況]
*:講師: 高橋基信主催: オープンソースカンファレンス実行委員会
* 資料は [http://wiki.samba.gr.jp/mediawiki/images/0/06/20100227OSC2010tokyo-spring-samba.zip こちら(PDFのzip圧縮)]

==2009年==
===オープンソースカンファレンス2009 Tokyo/Fall===
* 2009/10/30 [http://www.ospn.jp/osc2009-fall/ オープンソースカンファレンス2009 Tokyo/Fall]
* セミナー [http://www.ospn.jp/osc2009-fall/modules/eguide/event.php?eid=41 『Samba逆引きリファレンス』出版記念トラブルフリーのSamba設定教えます!!]
*:講師: 武田保真主催: オープンソースカンファレンス実行委員
* 資料は[http://wiki.samba.gr.jp/mediawiki/images/f/ff/OSC2009TokyoFall_samba.pdf こちら(PDF)]

==2008年==
===関西オープンソース2008===
* 2008/11/07 [http://www.k-of.jp/2008/index.html 関西オープンソース2008]
* セミナー [http://www.k-of.jp/2008/list_seminar.html#68 Samba 3.2 はこう変わった！]
*:講師たかはしもとのぶ主催関西オープンフォーラム
===オープンソースカンファレンス2008 名古屋===
* 2008/08/09 [http://www.ospn.jp/osc2008-nagoya/ OSC2008名古屋]
* セミナー [http://www.ospn.jp/osc2008-nagoya/modules/eguide/event.php?eid=15 いまさら聞けない！ Sambaによるファイルサーバ構築入門]
*:講師太田俊哉主催オープンソースカンファレンス実行委員会
=== 夏休み特別企画 ===
* 2008/08/04
* [http://cgi.samba.gr.jp/pipermail/samba-jp/2008-July/001549.html 夏休み特別企画:さわって覚えるSamba入門]
*:講師太田俊哉主催日本Sambaユーザー会協力 (株)びぎねっと
=== LinuxWorld Expo/Tokyo 2008 ===

* 2008/5/28 - 5/30 [http://www.idg.co.jp/expo/lw/lw2008/ | LinuxWorld Expo/Tokyo 2008]
* ．ｏｒｇパビリオンに出展します。ミニセミナー講演（予定）内容:
*: 5/28 13:30-13:55【日本Sambaユーザ会】「やってはいけない」Sambaサーバ構築ノウハウ【講師】小田切耕司
*: 5/29 13:00-13:25【日本Sambaユーザ会】「やってはいけない」Sambaサーバ構築ノウハウ【講師】小田切耕司

===オープンソースカンファレンス2008 Tokyo/Spring===
*セミナー [http://www.ospn.jp/osc2008-spring/modules/eguide/event.php?eid=43 Samba最新動向]
*:講師:たかはしもとのぶ主催オープンソースカンファレンス2007実行委員会(会場:日本電子専門学校)
*:資料は[[http://wiki.samba.gr.jp/mediawiki/images/c/ca/20080301OSC01.pdf ここ(PDF)]]に置きました。

==2007年==
===オープンソースカンファレンス2007 Tokyo/Fall===
*セミナー [http://www.ospn.jp/osc2007-fall/modules/eguide/event.php?eid=36 最新Samba動向と構築事例紹介]
*:講師:小田切耕司主催オープンソースカンファレンス2007実行委員会(会場:大田区産業会館)
*:資料は[http://www.osstech.co.jp/_media/techinfo/seminar/osstech20071002.pdf ここ(PDF)]に置きました。
===オープンソースカンファレンス2007 関西===
*セミナー [http://www.ospn.jp/osc2007-kansai/modules/eguide/event.php?eid=47 Sambaの最新動向紹介]
*:講師:武田保真主催オープンソースカンファレンス2007実行委員会(会場:京都コンピュータ学院京都駅前校)
*:資料は[http://wiki.samba.gr.jp/mediawiki/images/9/9e/OSC2007Kansai_samba.pdf ここ]に置きました。
===オープンソースカンファレンス2007 北海道===
*セミナー [http://www.ospn.jp/osc2007-do/modules/eguide/event.php?eid=20 ちょっと便利なSambaの使い方]
*:講師:太田俊哉主催:オープンソースカンファレンス2007実行委員会(会場:北海道大学学術交流会館)
*:資料は[http://wiki.samba.gr.jp/mediawiki/images/f/fe/070630osc2007do.pdf ここ]に置きました。

* 2007/03/16,17 [http://www.ospn.jp/osc2007-spring/ OSC 2007 Spring]に[[OSC 2007 Spring|出展]]しました
* 2007/03/16,17 セミナ「VistaへのSamba対応状況」を行いました。資料については[[OSC 2007 Spring]]からダウンロード可能です。

==古いイベント（2006年以前について）==

2006年以前のイベント情報については[[過去のイベント|こちら]]にまとめています。

なお、2005年以前のイベント情報については、[http://www.samba.gr.jp/event/ 旧イベントページ] にも記載があります。

なお、旧イベントページの情報は、Wiki に移行予定です。

Samba 4.0系列のソースコードからのインストール

2013-02-25T16:11:27Z

Monyo:

__TOC__

== Sambaのインストール ==

Samba をインストールする上では、必要なライブラリを事前にインストールしておく必要があります。

== 参考 ==
* [https://wiki.samba.org/index.php/Samba4/HOWTO Samba AD DC HOWTO]

Samba 4.0系列のソースコードからのインストール

2013-02-25T16:07:32Z

Monyo: ページの作成

== 参考 ==
* [https://wiki.samba.org/index.php/Samba4/HOWTO Samba AD DC HOWTO]

Samba技術情報

2013-02-25T16:00:49Z

Monyo: /* インストール関連ドキュメント */

このページにはSambaに関する各種情報を載せています。
=マニュアルページの翻訳=
sambaのマニュアルは現在翻訳中です。翻訳にご協力いただける方を募集しています。
*[[Samba ドキュメント翻訳プロジェクト]] 現在こちらで新しいドキュメントの翻訳を行っています。翻訳結果は[http://www.samba.gr.jp/project/translation/3.3/htmldocs/manpages-3/index.html 3.5系列の翻訳] にあります。
*[[Samba 3.0.23 - 3.0.24 の翻訳]]
*[http://www.samba.gr.jp/project/translation/index.html 旧ドキュメント翻訳プロジェクト] こちらは、2.x系列と、3.0系列の初期のものになります。

= [[Samba技術情報]] =
Samba技術情報とは [[メーリングリスト|Samba-JP ML]]等の議論の中から、

*重要と思われる問題点
*解決方法
*テクニックなど

を独自に要約してメモ的に文書化した資料です。

Sambaを利用する上でのトラブルや疑問点、もしくはそれらに対する対処方法について、すでにこの資料の中に同様の情報が存在しているかもしれません。ぜひご一読をお願いします。

*[[0番台]]
*[[100番台]]
*[[200番台]]
*[[300番台]]
*[[400番台]]
*[[500番台]]
*[[600番台]]
*[[700番台]]
*[[800番台]]

=ドキュメント=
==インストール関連ドキュメント==
*[[Samba 4.0系列のソースコードからのインストール]]
*[[Samba4winsのインストールと設定]]
*[[Debian GNU/Linux 3.1 への Samba インストール]]
*[[Fedora Core 3 への Samba インストール]]

==Samba3-Howto==
Samba国際化プロジェクトで翻訳(途中まで)しSambaユーザ会で追加翻訳した、Samba3-HOWTOは
[http://www.samba.gr.jp/project/translation/Samba3-HOWTO/ ここ] にあります。

==その他==
*[[Samba で複雑なパスワードを強制させる方法]]
*[[Sambaのパラメータ一覧]]
*[[Samba機能比較]]
*[[Samba Mashup Report|Samba Mashup Reportの翻訳]]
*[[Samba 3.2 のクラスタ機能検証手順]]
*[[その他のドキュメント]]

Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない

2013-02-25T15:58:15Z

Monyo: 日付の更新ほか

{{冒頭部|J0801|2013/02/26|たかはしもとのぶ|たかはしもとのぶ}}

==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 4.0.0
* Samba 4.0.3

==現象==
対象のバージョンの Samba について、UNIX属性(RFC2307)でUID/GIDの値を設定しても nss_winbind 経由で生成されたユーザやグループに値が反映されません。

==説明==
対象バージョンの Samba においてUNIX属性の値を反映させるためには、明示的に posixAccount もしくは posixGroup を objectClass として追加する必要があります。例えば、以下のようにして sam.ldb を直接編集することで実現可能です。

* sam.ldb を編集モードで開く
# /usr/local/samba/bin/ldbedit -H /usr/local/samba/private/sam.ldb

* 対象アカウントの objectClass として posixAccount （もしくは posixGroup）を追加する
# record 14
dn: CN=samba 03,OU=OU3,DC=samba40ad4,DC=samba,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
'''objectClass: posixAccount'''
objectClass: user
cn: samba 03
※samba 03というアカウントに対して追加する場合

==参考情報==

* [http://lists.samba.org/archive/samba/2012-December/170657.html Samba 4, Winbind & RFC2307]
* [http://lists.samba.org/archive/samba/2013-February/171799.html posixAccount objectClass]
* [https://bugzilla.samba.org/show_bug.cgi?id=9520 Bug 9520 - winbind and RFC2307 schema on an AD-DC]

Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない

2013-02-25T15:57:31Z

Monyo: 参考リンクの追加

{{冒頭部|J0801|2013/02/24|たかはしもとのぶ|たかはしもとのぶ}}

==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 4.0.0
* Samba 4.0.3

==現象==
対象のバージョンの Samba について、UNIX属性(RFC2307)でUID/GIDの値を設定しても nss_winbind 経由で作成されたユーザやグループに値が反映されません。

==説明==
対象バージョンの Samba においてUNIX属性の値を反映させるためには、明示的に posixAccount もしくは posixGroup を objectClass として追加する必要があります。例えば、以下のようにして sam.ldb を直接編集することで実現可能です。

* sam.ldb を編集モードで開く
# /usr/local/samba/bin/ldbedit -H /usr/local/samba/private/sam.ldb

* 対象アカウントの objectClass として posixAccount （もしくは posixGroup）を追加する
# record 14
dn: CN=samba 03,OU=OU3,DC=samba40ad4,DC=samba,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
'''objectClass: posixAccount'''
objectClass: user
cn: samba 03
※samba 03というアカウントに対して追加する場合

==参考情報==

* [http://lists.samba.org/archive/samba/2012-December/170657.html Samba 4, Winbind & RFC2307]
* [http://lists.samba.org/archive/samba/2013-February/171799.html posixAccount objectClass]
* [https://bugzilla.samba.org/show_bug.cgi?id=9520 Bug 9520 - winbind and RFC2307 schema on an AD-DC]

Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない

2013-02-24T11:12:40Z

Monyo: nss_winbind 経由であること（nss_ldap ではなく）を明示

{{冒頭部|J0801|2013/02/24|たかはしもとのぶ|たかはしもとのぶ}}

==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 4.0.0
* Samba 4.0.3

==現象==
対象のバージョンの Samba について、UNIX属性(RFC2307)でUID/GIDの値を設定しても nss_winbind 経由で作成されたユーザやグループに値が反映されません。

==説明==
対象バージョンの Samba においてUNIX属性の値を反映させるためには、明示的に posixAccount もしくは posixGroup を objectClass として追加する必要があります。例えば、以下のようにして sam.ldb を直接編集することで実現可能です。

* sam.ldb を編集モードで開く
# /usr/local/samba/bin/ldbedit -H /usr/local/samba/private/sam.ldb

* 対象アカウントの objectClass として posixAccount （もしくは posixGroup）を追加する
# record 14
dn: CN=samba 03,OU=OU3,DC=samba40ad4,DC=samba,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
'''objectClass: posixAccount'''
objectClass: user
cn: samba 03
※samba 03というアカウントに対して追加する場合

==参考情報==

* [http://lists.samba.org/archive/samba/2013-February/171799.html posixAccount objectClass]
* [https://bugzilla.samba.org/show_bug.cgi?id=9520 Bug 9520 - winbind and RFC2307 schema on an AD-DC]

Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない

2013-02-24T11:11:46Z

Monyo: 新規作成

{{冒頭部|J0801|2013/02/24|たかはしもとのぶ|たかはしもとのぶ}}

==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 4.0.0
* Samba 4.0.3

==現象==
対象のバージョンの Samba について、UNIX属性(RFC2307)でUID/GIDの値を設定しても作成されたユーザやグループに値が反映されません。

==説明==
対象バージョンの Samba においてUNIX属性の値を反映させるためには、明示的に posixAccount もしくは posixGroup を objectClass として追加する必要があります。例えば、以下のようにして sam.ldb を直接編集することで実現可能です。

* sam.ldb を編集モードで開く
# /usr/local/samba/bin/ldbedit -H /usr/local/samba/private/sam.ldb

* 対象アカウントの objectClass として posixAccount （もしくは posixGroup）を追加する
# record 14
dn: CN=samba 03,OU=OU3,DC=samba40ad4,DC=samba,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
'''objectClass: posixAccount'''
objectClass: user
cn: samba 03
※samba 03というアカウントに対して追加する場合

==参考情報==

* [http://lists.samba.org/archive/samba/2013-February/171799.html posixAccount objectClass]
* [https://bugzilla.samba.org/show_bug.cgi?id=9520 Bug 9520 - winbind and RFC2307 schema on an AD-DC]

800番台

2013-02-24T10:50:00Z

Monyo:

*0800 [[Windows 7からSambaドメインにログオンできない]]
*0801 [[Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない]]

利用者:Monyo

2013-02-24T09:03:48Z

Monyo: Facebook の URL を更新

本名「たかはしもとのぶ」

* ホームページ
: [http://www.monyo.com/ MONYO-COM: たかはしもとのぶの個人ページ]

* 日記
: [http://damedame.monyo.com/ だめだめ日記]

* Twitter
: [https://twitter.com/#!/damemonyo @damemonyo]

* Facebook
: [http://facebook.com/takahashi.motonobu 髙橋基信 (Monyo)]

Samba コンパイル環境に最低限必要なパッケージ

2011-12-04T09:11:30Z

Monyo: Samba 4.0.0をsqueeze上でコンパイルする際の情報を追加

{{冒頭部|J0091|2011/12/04|たかはしもとのぶ|たかはしもとのぶ}}

==対象==
この文書は、以下のプロダクトに付いて説明したものです。
* Samba 3.0 系列
* Samba 3.2 系列
* Samba 3.6 系列
* Samba 4.0 系列
* Debian GNU/Linux 3.1
* Debian GNU/Linux 4.0
* Debian GNU/Linux 5.0
* Debian GNU/Linux 6.0
* CentOS 4.4

== Samba 3.0 系列 ==
Samba 3.0 系列をコンパイルする際に最低限必要なパッケージについて記載します。

以下のオプションをつけて configure およびコンパイルを確認しています。

./configure --enable-cups (--with-libiconv=/usr/local) --with-automount --with-cifsmount
--with-smbmount --with-pam --with-pam_smbpass --with-sys-quotas --with-syslog --with-utmp
--with-ldap --with-ldapsam(Samba 3.0.23まで) --with-ads --with-winbind --with-acl-support
--with-smbwrapper --with-profiling-data --with-readline
--with-shared-modules=idmap_ad,idmap_adex,idmap_hash,idmap_ldap,idmap_rid,idmap_tdb

Samba 3.0.25 以降は以下のオプションも追加しています

--with-dnsupdate

===CentOS 4.4===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*pam-devel
*openldap-dev
*krb5-devel

===Debian GNU/Linux 3.1 / 4.0 / 5.0 ===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*make
*libc6-dev
*libpam0g-dev (--with-pamを有効にした場合)
*libldap2-dev (--with-ldapを有効にした場合)
*libkrb5-dev (--with-adsを有効にした場合)
*libacl1-dev (--with-acl-supportを有効にした場合)
*libcupsys2-dev (--enable-cupsを有効にした場合)
*libreadline-dev (--with-readlineを有効にする場合)
*libuuid-dev (3.0.25以降) → uuid-dev（etch でパッケージ名変更）

== Samba 3.2 系列以降の Samba 3.x 系列 ==
Samba 3.2 系列以降の Samba 3.x 系列をコンパイルする際に最低限必要なパッケージについて記載します。

以下のオプションをつけて configure およびコンパイルを確認しています。

./configure --enable-dns_sd --enable-swat --with-profiling-data --with-ldap --with-ads
--with-dnsupdate --with-automount --with-cifsmount --with-pam --with-pam_smbpass
--with-syslog --with-utmp --with-acl-support --with-winbind --with-readline
--enable-cups --with-shared-modules=idmap_ad,idmap_ldap,idmap_rid,idmap_tdb2

===Debian GNU/Linux 4.0 / 5.0 / 6.0 ===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*make
*libc6-dev
*libpam0g-dev
:--with-pam に必要
*libldap2-dev
*libkrb5-dev
*libacl1-dev
:--with-acl-support に必要
*libuuid-dev → uuid-dev（etch でパッケージ名変更）
:--with-dnsupdate に必要
*libavahi-compat-libdnssd-dev
:--enable-dns_sd に必要（Samnba 3.5.0以降ではこのオプションが廃止されたので上記ライブラリも不要）
*libcups2-dev

== Samba 4.0 系列 ==
Samba 4.0 系列をコンパイルする際に最低限必要なパッケージについて記載します。

以下のオプションをつけて configure およびコンパイルを確認しています。

./configure
===Debian GNU/Linux 3.1===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*make
*libc6-dev
*libpam0g-dev
*libreadline5-dev
*libgnutls11-dev
*libacl1-dev
*autoconf (TP版)

===Debian GNU/Linux 4.0===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*make
*libc6-dev
*libpam0g-dev
*libreadline5-dev
*libgnutls11-dev
*libacl1-dev
*autoconf (TP版)

===Debian GNU/Linux 5.0(lenny)===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*make
*libc6-dev
*libpam0g-dev
*libreadline5-dev
*libgnutls11-dev
*libacl1-dev
*autoconf (TP版)
* python2.4-dev (samba-4.0.0alpha10)
*perl

===Debian GNU/Linux 6.0(squeeze)===

以下のパッケージ（および依存関係にあるパッケージ）が必要です。

*gcc
*make
*libc6-dev
*libpam0g-dev
*libreadline5-dev
*libgnutls11-dev
*libacl1-dev
*python-dev
*perl

Samba コンパイル環境に最低限必要なパッケージ

2011-12-04T05:00:38Z

Monyo: Samba 3.6 を squeeze 上でコンパイルする際の記述を追記

Samba PDC VM(squeeze)

2011-09-23T11:47:27Z

Monyo: /* Function */

We publish VMware VM image on which Samba PDC (with LDAP) is configured on Debian GNU/Linux 6.0.

We hope this VM will help to evaluate.

If you find any bugs or desire, please mail to monyo-at-samba.gr.jp

There are older versions(sorry for Japanese only):

* Debian GNU/Linux 5.0 version [[Sambaドメイン評価環境(lenny)]] - ldapsam:editposix
* Debian GNU/Linux 4.0 version [[Sambaドメイン評価環境(etch)]] - smbldap-tools
* Debian GNU/Linux 3.1 version [[Sambaドメイン評価環境(sarge)]] - smbldap-tools

[[Sambaドメイン評価環境(squeeze)|Japanese text]] are available.

==Download==

You may download the VM image at:

* ftp://ftp.ring.gr.jp/pub/net/samba-jp/vmware_player_images/sambapdc-squeeze-20110713.zip
* ftp://ftp.samba.gr.jp/pub/samba-jp/vmware_player_images/sambapdc-squeeze-20110713.zip

==Function==
* Acts as PDC of "SAMBADOM" domain
: Uses Samba 3.5.6 included in Debian squeeze. Windows 7 can join to the domain.
* Various settings are ready to examine various Samba functions easily. "How to examine and demonstrate" is under construction.
** Can manage from Windows
: The management tools are available at [http://support.microsoft.com/kb/173673 Windows NT Server Tools for Windows NT Workstation 4.0 Available] .
** Syncronized password between UNIX user and Samba user.
* The detail settings and how to build is available at [[How to build Samba PDC (squeeze)]]

== Settings ==

=== Networking ===
<table border="2">
<tr><th>item</th> <th>value</th></tr>
<tr><td>hostname</td> <td>sambapdc</td></tr>
<tr><td>DNS domainname</td><td>sambadom.local</td></tr>
<tr><td>LDAP DN</td> <td>dc=sambadom,dc=local</td></tr>
<tr><td>TCP/IP</td> <td>via DHCP</td></tr>
<tr><td>VMware virtual network</td>
<td>NAT interface</td></tr>
</table>

=== Other settings ===
<table border="2">
<tr><th>item</th><th>value</th></tr>
<tr><td>language</td><td>English (C locale)</td></tr>
<tr><td>region</td><td>Japan</td></tr>
<tr><td>keyboard</td><td>English 101 keyboard</td></tr>
<tr><td>source of packages</td><td>ftp.jp.debian.org</td></tr>
<tr><td>root's password</td><td>samba</td></tr>
</table>

===Packages installed===

Packages are installed via "apt-get", thus packages depending on the installed packages below are also installed and
you can also manage packages to use normal package management tools on Debian.

<table border="2">
<tr><th>package</th><th>description</th></tr>
<tr><td>ftp</td><td>ftp client to receive files</td></tr>
<tr><td>acl</td><td>getfacl/setfacl commands manupulating ACL</td></tr>
<tr><td>attr</td><td>attr command manupulating Extended Attributes</td></tr>
<tr><td>libcrack2</td><td>library which forces complex passwords</td></tr>
<tr><td>libnss-ldap</td><td>NSS module to store UNIX user informations on LDAP</td></tr>
<tr><td>libpam-ldap</td><td>PAM modules to authenticate UNIX user using informations on LDAP</td></tr>
<tr><td>slapd</td><td>LDAP server</td></tr>
<tr><td>ldap-utils</td><td>various commands manupulating LDAP</td></tr>
<tr><td>samba/winbind</td><td>Samba server</td></tr>
<tr><td>libpam-smbpass</td><td>PAM module to change Samba user's password when the corresponding UNIX user's password is changed</td><tr>
<tr><td>smbclient</td><td>Samba client</td></tr>
<tr><td>swat</td><td>Samba Web Administration Tool</td></tr>
</table>

'''ssh is not installed''' to reduce disk space. Please install if you need.

===Files modified===
<table border="2">
<tr><th>filename</th><th>description</th></tr>
<tr><td>/etc/fstab</td><td></td></tr>
<tr><td>/etc/hosts.allow</td><td>to control SWAT access</td></tr>
<tr><td>/etc/logrotate.d/samba-syslog(added)</td><td>log rotate settings for audit log</td></tr>
<tr><td>/etc/nsswitch.conf</td><td>NSS settings</td></tr>
<tr><td>/etc/pam.d/common-password</td><td>PAM settings</td></tr>
<tr><td>/etc/pam.d/common-session</td><td>PAM settings</td></tr>
<tr><td>/etc/rsyslog.d/samba.conf(added)</td><td>audit log setting</td></tr>
<tr><td>/etc/samba/smb.conf</td><td></td></tr>
<tr><td>/etc/samba/smbusers(added)</td><td>username mapping file</td></tr>
<tr><td>/usr/local/sbin/crackcheck(added)</td><td>to force complex password</td></tr>
<tr><td>/usr/local/sbin/createhomedir(added)</td><td>to create homedir automatically</td></tr>
<tr><td>/usr/local/sbin/mgrshare(added)</td><td>to manage shares from Windows</td></tr>
<tr><td>/usr/local/sbin/remove-old-files-in-recycle-bin</td><td>to remove old files from recycle bin</td></tr>
<tr><td>/usr/local/sbin/var-check</td><td>a sample script to evaluate Samba variables</td></tr>
<tr><td>under /var/lib/samba/shares</td><td>sample shares</td></tr>
</table>

===Accounts===
*Administrator (password is samba / has administrative rights)
*ldap01(password is ldap01)
*ldap02(password is ldap02)
*ldap03(password is ldap03)

== Updates ==
=== version 20110713 ===
* squeeze version

イベント

2011-08-21T16:43:24Z

Monyo: オープンソースカンファレンス2011 Nagoya を追加

日本Sambaユーザ会が関わったイベントを記載します。
==2011年==
===オープンソースカンファレンス2011 Nagoya===
* 2011/08/20 [http://www.ospn.jp/osc2011-nagoya/ オープンソースカンファレンス2011 Nagoya]
* セミナー [https://www.ospn.jp/osc2011-nagoya/modules/eguide/event.php?eid=34 Samba最新動向＆Active Directory連携のすべて]
* 資料は以下の通り
** [http://wiki.samba.gr.jp/mediawiki/images/7/78/%E3%82%A2%E3%83%B3%E3%82%B1%E3%83%BC%E3%83%88%E9%9B%86%E8%A8%88.pdf アンケート集計結果]
** [http://wiki.samba.gr.jp/mediawiki/images/1/1c/Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
** [http://wiki.samba.gr.jp/mediawiki/images/8/86/Samba-AD%E9%80%A3%E6%90%BA%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6.pdf Active Directory連携のすべてプレゼン資料]

===オープンソースカンファレンス2011 Kansai@Kyoto===
* 2011/07/16 [http://www.ospn.jp/osc2011-kyoto/ オープンソースカンファレンス2011 Kansai@Kyoto]
* セミナー [https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43 Samba最新動向＆Active Directory連携のすべて]
* 資料は以下の通り
** [http://wiki.samba.gr.jp/mediawiki/images/archive/7/78/20110821163020%21%E3%82%A2%E3%83%B3%E3%82%B1%E3%83%BC%E3%83%88%E9%9B%86%E8%A8%88.pdf アンケート集計結果]
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110821162817%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
** [http://wiki.samba.gr.jp/mediawiki/images/archive/8/86/20110821162128%21Samba-AD%E9%80%A3%E6%90%BA%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6.pdf Active Directory連携のすべてプレゼン資料]

===オープンソースカンファレンス2011 Hokkaido===
* 2011/06/11 [http://www.ospn.jp/osc2011-do/ オープンソースカンファレンス2011 Hokkaido]
* セミナー [https://www.ospn.jp/osc2011-do/modules/eguide/event.php?eid=35 Samba最新動向＆座談会]
* 資料は以下の通り。
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718175904%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]

===オープンソースカンファレンス2011 Kansai@Kobe===
* 2011/04/16 [http://www.ospn.jp/osc2011-kobe/ オープンソースカンファレンス2011 Kansai@Kobe]
* セミナー [http://www.ospn.jp/osc2011-kobe/modules/eguide/event.php?eid=24 答えはやってみなくちゃわからない、Sambaドメイン評価環境で]
* 資料は以下の通り。
** [[media:110416osc.pdf|答えはやってみなくちゃわからない、Sambaドメイン評価環境でプレゼン資料]]
===オープンソースカンファレンス2011 Tokyo/Spring===
* 2011/03/05 [http://www.ospn.jp/osc2011-spring/ オープンソースカンファレンス2011 Tokyo/Spring]
* セミナー [http://www.ospn.jp/osc2011-spring/modules/eguide/event.php?eid=37 Samba最新動向＆座談会]
* 資料は以下のとおり。
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718175457%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba最新動向プレゼン資料]
* BoF [http://www.ospn.jp/osc2011-spring/modules/eguide/event.php?eid=99 Doc-ja アーカイブ・プロジェクト：　翻訳・ローカリゼーション BoF]
* 資料は以下のとおり
** [http://wiki.samba.gr.jp/mediawiki/images/3/30/20110311SambaBoF.pdf doc-ja BoF Samba翻訳プロジェクト紹介]

===オープンソースカンファレンス2011 Kagawa===
* 2011/02/05 [http://www.ospn.jp/osc2011-kagawa/ オープンソースカンファレンス2011 Kagawa]
* セミナー [http://www.ospn.jp/osc2011-kagawa/modules/eguide/event.php?eid=10 Samba最新動向＆座談会]
*:講師: たかはしもとのぶ主催: オープンソースカンファレンス実行委員会
* 資料は以下のとおり
** [http://wiki.samba.gr.jp/mediawiki/images/archive/1/1c/20110718174254%21Samba%E6%9C%80%E6%96%B0%E5%8B%95%E5%90%91.pdf Samba 4最新動向]
** [http://wiki.samba.gr.jp/mediawiki/images/8/8a/20110205OSC2011kagawa-samba-01.zip Samba活用テクニック＆最新動向（前半）]
** [http://wiki.samba.gr.jp/mediawiki/images/b/b8/20110205OSC2011kagawa-samba-02.zip Samba活用テクニック＆最新動向（後半）]

==2010年==
===オープンソースカンファレンス2010 Tokyo/Fall===
* 2010/09/10 [http://www.ospn.jp/osc2010-fall/ オープンソースカンファレンス2010 Tokyo/Fall]
* セミナー [http://www.ospn.jp/osc2010-fall/modules/eguide/event.php?eid=24 答えは、やってみなくちゃわからない Sambaドメイン評価環境で]
*:講師: 太田俊哉主催: オープンソースカンファレンス実行委員会
* 資料は [[media:100911osc.pdf]] にあります。
===オープンソースカンファレンス2010 Nagoya===
* 2010/08/07 [http://www.ospn.jp/osc2010-nagoya/ オープンソースカンファレンス2010 Nagoya]
* セミナー [http://www.ospn.jp/osc2010-nagoya/modules/eguide/event.php?eid=26 Samba活用テクニック＆Windows 7対応状況]
*:講師: 高橋基信主催: オープンソースカンファレンス実行委員会
* 資料は [http://wiki.samba.gr.jp/mediawiki/images/e/e5/20100807OSC2010nagoya-samba.zip こちら(PDFのzip圧縮/1.8MB)]

===オープンソースカンファレンス2010 Tokyo/Spring===
* 2010/02/27 [http://www.ospn.jp/osc2010-spring/ オープンソースカンファレンス2010 Tokyo/Spring]
* セミナー [http://www.ospn.jp/osc2010-spring/modules/eguide/event.php?eid=26 Samba活用テクニック＆Windows 7対応状況]
*:講師: 高橋基信主催: オープンソースカンファレンス実行委員会
* 資料は [http://wiki.samba.gr.jp/mediawiki/images/0/06/20100227OSC2010tokyo-spring-samba.zip こちら(PDFのzip圧縮)]

==2009年==
===オープンソースカンファレンス2009 Tokyo/Fall===
* 2009/10/30 [http://www.ospn.jp/osc2009-fall/ オープンソースカンファレンス2009 Tokyo/Fall]
* セミナー [http://www.ospn.jp/osc2009-fall/modules/eguide/event.php?eid=41 『Samba逆引きリファレンス』出版記念トラブルフリーのSamba設定教えます!!]
*:講師: 武田保真主催: オープンソースカンファレンス実行委員
* 資料は[http://wiki.samba.gr.jp/mediawiki/images/f/ff/OSC2009TokyoFall_samba.pdf こちら(PDF)]

==2008年==
===関西オープンソース2008===
* 2008/11/07 [http://www.k-of.jp/2008/index.html 関西オープンソース2008]
* セミナー [http://www.k-of.jp/2008/list_seminar.html#68 Samba 3.2 はこう変わった！]
*:講師たかはしもとのぶ主催関西オープンフォーラム
===オープンソースカンファレンス2008 名古屋===
* 2008/08/09 [http://www.ospn.jp/osc2008-nagoya/ OSC2008名古屋]
* セミナー [http://www.ospn.jp/osc2008-nagoya/modules/eguide/event.php?eid=15 いまさら聞けない！ Sambaによるファイルサーバ構築入門]
*:講師太田俊哉主催オープンソースカンファレンス実行委員会
=== 夏休み特別企画 ===
* 2008/08/04
* [http://cgi.samba.gr.jp/pipermail/samba-jp/2008-July/001549.html 夏休み特別企画:さわって覚えるSamba入門]
*:講師太田俊哉主催日本Sambaユーザー会協力 (株)びぎねっと
=== LinuxWorld Expo/Tokyo 2008 ===

* 2008/5/28 - 5/30 [http://www.idg.co.jp/expo/lw/lw2008/ | LinuxWorld Expo/Tokyo 2008]
* ．ｏｒｇパビリオンに出展します。ミニセミナー講演（予定）内容:
*: 5/28 13:30-13:55【日本Sambaユーザ会】「やってはいけない」Sambaサーバ構築ノウハウ【講師】小田切耕司
*: 5/29 13:00-13:25【日本Sambaユーザ会】「やってはいけない」Sambaサーバ構築ノウハウ【講師】小田切耕司

===オープンソースカンファレンス2008 Tokyo/Spring===
*セミナー [http://www.ospn.jp/osc2008-spring/modules/eguide/event.php?eid=43 Samba最新動向]
*:講師:たかはしもとのぶ主催オープンソースカンファレンス2007実行委員会(会場:日本電子専門学校)
*:資料は[[http://wiki.samba.gr.jp/mediawiki/images/c/ca/20080301OSC01.pdf ここ(PDF)]]に置きました。

==2007年==
===オープンソースカンファレンス2007 Tokyo/Fall===
*セミナー [http://www.ospn.jp/osc2007-fall/modules/eguide/event.php?eid=36 最新Samba動向と構築事例紹介]
*:講師:小田切耕司主催オープンソースカンファレンス2007実行委員会(会場:大田区産業会館)
*:資料は[http://www.osstech.co.jp/_media/techinfo/seminar/osstech20071002.pdf ここ(PDF)]に置きました。
===オープンソースカンファレンス2007 関西===
*セミナー [http://www.ospn.jp/osc2007-kansai/modules/eguide/event.php?eid=47 Sambaの最新動向紹介]
*:講師:武田保真主催オープンソースカンファレンス2007実行委員会(会場:京都コンピュータ学院京都駅前校)
*:資料は[http://wiki.samba.gr.jp/mediawiki/images/9/9e/OSC2007Kansai_samba.pdf ここ]に置きました。
===オープンソースカンファレンス2007 北海道===
*セミナー [http://www.ospn.jp/osc2007-do/modules/eguide/event.php?eid=20 ちょっと便利なSambaの使い方]
*:講師:太田俊哉主催:オープンソースカンファレンス2007実行委員会(会場:北海道大学学術交流会館)
*:資料は[http://wiki.samba.gr.jp/mediawiki/images/f/fe/070630osc2007do.pdf ここ]に置きました。

* 2007/03/16,17 [http://www.ospn.jp/osc2007-spring/ OSC 2007 Spring]に[[OSC 2007 Spring|出展]]しました
* 2007/03/16,17 セミナ「VistaへのSamba対応状況」を行いました。資料については[[OSC 2007 Spring]]からダウンロード可能です。

==古いイベント（2006年以前について）==

2006年以前のイベント情報については[[過去のイベント|こちら]]にまとめています。

なお、2005年以前のイベント情報については、[http://www.samba.gr.jp/event/ 旧イベントページ] にも記載があります。

なお、旧イベントページの情報は、Wiki に移行予定です。

ファイル:アンケート集計.pdf

2011-08-21T16:30:20Z

Monyo: "画像:アンケート集計.pdf"の新しい版をアップロードしました: アンケート集計 2011/08/20 OSC2011 Nagoya 「Samba最新動向＆Active Directory連携のすべて」でのプレゼンに使用 https://www.ospn.jp/osc2011-nag

各会場で集めたアンケートを集計した内容
2011/07/16 OSC2011 Kansai@Kyoto でプレゼン

ファイル:Samba最新動向.pdf

2011-08-21T16:28:17Z

Monyo: "画像:Samba最新動向.pdf"の新しい版をアップロードしました: Samba 最新動向 2011/08/20 OSC2011 Nagoya 「Samba最新動向＆Active Directory連携のすべて」でのプレゼンに使用 https://www.ospn.jp/osc2011-nagoya/mod

Samba最新動向
2011/07/16 OSC2011 Kansai@Kyoto 「[https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43 Samba最新動向＆Active Directory連携のすべて]」でのプレゼンに使用

ファイル:Samba-AD連携のすべて.pdf

2011-08-21T16:24:24Z

Monyo: "画像:Samba-AD連携のすべて.pdf"の新しい版をアップロードしました: Samba Active Directory連携のすべて 2011/08/20 OSC2011 Nagoya 「Samba最新動向＆Active Directory連携のすべて」でのプレゼンに使用 https:/

Samba Active Directory連携のすべて
2011/07/16 OSC2011 Kansai@Kyoto 「Samba最新動向＆Active Directory連携のすべて」でのプレゼンに使用
https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43

ファイル:Samba-AD連携のすべて.pdf

2011-08-21T16:22:17Z

Monyo: "画像:Samba-AD連携のすべて.pdf"の新しい版をアップロードしました: 2011年7月23日 (土) 04:51 の版へ差し戻し

ファイル:Samba-AD連携のすべて.pdf

2011-08-21T16:21:28Z

Monyo: "画像:Samba-AD連携のすべて.pdf"の新しい版をアップロードしました

デモ手順 - Samba PDC (squeeze)

2011-08-16T11:44:07Z

Monyo: /* 応用 */

= [[Sambaドメイン]] =

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

=== Samba変数の値確認 ===

==== 関連パラメータなど ====

* [share_test] 共有
* root preexec = /usr/local/sbin/var-check
* /usr/local/sbin/var-check

==== 確認手順 ====

* [share_test] 共有内の、以下の設定のコメントをはずす
# List all variables
root preexec = /usr/local/sbin/var-check '%U' '%G' '%h' '%L' '%m' '%M' '%R' '%d' '%a' '%I' '%i' '%T' '%D' '%w' '%v' '%V' '%S' '%P' '%u' '%g' '%H' '%N' '%p' '%$(PATH)' '%$(USER)'

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンから share_test 共有にアクセスする
: アクセスした時点で、root preexec パラメータにより、/usr/local/sbin/var-check スクリプトが実行され、/tmp/var.txt ファイルが生成される。

* /tmp/vat.txt の内容を参照する

<pre>
# cat /tmp/var.txt
%U : ldap02
%G : domusers
%h : sambapdc
%L : sambapdc
%m : winxppro-sp3-3
%M : ::ffff:192.168.135.130
%R : NT1
%d : 2382
%a : WinXP
%I : 192.168.135.130
%i : ::ffff:192.168.135.222
%T : 2011/08/06 23:22:40
%D : SAMBADOM
%w : \
%v : 3.5.6
%V : 4294967295
%S : share_test
%P : /var/lib/samba/shares/share_test
%u : ldap02
%g : domusers
%H : /home/SAMBADOM/ldap02
%N : sambapdc
%p :
e1 : /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
e2 : root
</pre>

最後の e1 と e2 は、おのおの PATH および USER 環境変数の値を表示させている。このように、任意の環境変数の値を Samba 変数として用いることも可能である。

==== 注意事項 ====

このスクリプトおよび設定は、あくまで Samba 変数の値を確認する方法を示すためのものであり、実環境では用いないこと。内容を確認したら、速やかに設定を基に戻し、本スクリプトの機能を無効化すること。

==== 応用 ====
Samba 変数の値を確認する方法として、他にも comment パラメータや server string パラメータを用いることも可能である。

なお、パラメータによっては、パラメータ固有の Samba 変数を持っている場合があるが、本スクリプトでは、パラメータに依存しない一般的な Samba 変数のみを扱っている。

username map パラメータを用いて、Windows からみたユーザ名と実際のユーザ名を別のユーザ名とした場合、%U には、Windows から見たユーザ名が、%u には実際のユーザ名が記録される。

=== アクセス権のないファイルを非表示にする ===

設定を行うことで、アクセス権のないファイルが非表示になることを確認する。

==== 関連パラメータなど ====

* [share_test] 共有
* hide unreadable パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt と normal.txt が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Hide unreadable files
hide unreadable = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt が表示されていないことを確認する

==== 応用設定 ====

hide unwriteable パラメータの動作確認、'''フォルダを作成した際の挙動の確認。'''

=== 特定のファイル名のファイルを非表示にする ===

==== 関連パラメータなど ====

* [share_test] 共有
* veto files パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の veto_files フォルダにアクセスする

* GodMode という特殊なフォルダ（Windows XPの場合は普通のフォルダ）と dummy.exe が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Prohibit to put EXE files and files with GUID
veto files = /*.exe/*.{*}/
delete veto files = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の veto_files フォルダにアクセスする

* GodMode と dummy.exe の両方が表示されていないことを確認する

* .EXE ファイルを Windows マシンから share_test 共有内にコピーできないことを確認する
: '''パーミッションが 755 になっているので、あらかじめ 1777 などに変更した上で確認すること。'''
: '''share_test 共有に writeable = yes の設定が抜けているので、あらかじめ設定しておくこと'''

=== ファイルアクセスの監査設定を行う ===

==== 関連パラメータなど ====

* [share_test] 共有
* vfs objects = full_audit
* full_audit:* パラメータ
* /etc/rsyslog.d/samba.conf

==== 確認手順 ====

* [share_test] 共有内の、以下の設定のコメントをはずす

# Audit
vfs objects = full_audit
full_audit:facility = local1
full_audit:success = connect disconnect
full_audit:failure = connect disconnect mkdir rmdir open close rename unlink

share_test 共有に、既に有効な vfs objects 行がある場合は、その行の末尾に full_audit を追記するか、一旦既存の vfs objects 行をコメントアウトすること。

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* /var/log/samba/log.audit に、以下のようなログが記録されていることを確認する

Aug 7 00:54:14 sambapdc smbd[2833]: ldap02|192.168.135.130|connect|ok|share_test

==== 応用 ====
full_audit:success および full_audit:failure パラメータの値をいろいろと書き換えて検証してみる。

/etc/rsyslog.d/samba.conf の内容と full_audit:facility パラメータの内容を変更して、Samba がログを出力するファシリティや出力先をいろいろ変えてみる。

=== シンボリックリンクの有効化 ===

==== 関連パラメータなど ====

* [share_test] 共有
* unix extensionsパラメータ
* wide links パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* [share_test] 共有内の、wide_links フォルダにある passwd.txt （/etc/passwdにリンク）をクリックし、ファイル内容が読み取れないことを確認する。

* [share_test] 共有内の、以下の設定のコメントをはずし、値を yes に設定する

# Prohibit to symlink outside the share (by default after Samba 3.5.0)
wide links = yes

* [global] セクション内の、以下の設定のコメントをはずす

unix extensions = no

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* [share_test] 共有内の、wide_links フォルダにある passwd.txt をクリックし、ファイル内容が読み取れることを確認する

= ファイルサービスとアクセス制御 =

== 共有のアクセス制御 ==

=== IPアドレス単位のアクセス制御 ===

==== 関連パラメータなど ====

* share_test 共有
* hosts allow パラメータ
* hosts deny パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.142 - 143

=== ユーザ、グループ単位でのアクセス制御 ===

==== 関連パラメータなど ====

* shared 共有
* valid users パラメータ
* invalid users パラメータ

==== 参照 ====

* 「[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]」P.144 - 145

=== 読み込み、書き込み単位でのアクセス制御 ===

==== 関連パラメータなど ====

* shared 共有
* read only パラメータ
* write list パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.148 - 149

=== 指定した時間帯に共有を読み取り専用にする ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.149 - 150

=== 複数人から互いに書き込み可能なファイル共有 ===

==== 関連パラメータなど ====

* shared 共有

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.154 - 155

=== 書き込み専用のファイル共有 ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」なし

=== ACL の操作 ===

==== 関連パラメータなど ====

* aclshare1 共有
* aclshare2 共有
* acl map full control パラメータ
* dos filemode パラメータ
* inherit owner パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.155 - 187

== ファイル共有機能の基本 ==

=== ファイル共有一覧画面での表示制御 ===

ファイル共有の一覧画面で、任意のファイル共有を非表示にできることを確認する。

==== 関連パラメータなど ====

* share_test 共有
* browseable パラメータ

==== 確認手順1 ====

* 1. Windows マシンに任意のユーザでログオンし、例えば「ファイル名を指定して実行」で「\\sambapdc」と入力する。
: 共有の一覧が表示され、share_test 共有も'''表示されている'''ことを確認する。

[[画像:Sambapdc4-sharelist01.png|「共有の一覧」画面]]

* 2. share_test 共有内の、以下の設定のコメント「;」をはずす

# Do not list the share list
; browseable = no

* 3. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* 4. Windows マシンに任意のユーザでログオンし、例えば「ファイル名を指定して実行」で「\\sambapdc」と入力する
: 共有の一覧が表示されるが、share_test 共有は'''表示されていない'''ことを確認する。

[[画像:Sambapdc4-sharelist02.png|「共有の一覧」画面]]

* 5. 例えば「ファイル名を指定して実行」で「\\sambapdc\share_test」と入力する
: 共有一覧では非表示となったが、UNC パスを直接指定することで、図のように share_test 共有自体にはアクセス可能であることを確認する。

[[画像:Sambapdc4-sharelist03.png|「共有の一覧」画面]]

==== 確認手順2 ====

* 確認手順1の 2. の設定の代わりに、share_test セクションのセクション名を share_test$ に変更する

* 確認手順1の 5. の操作において、「\\sambapdc\share_test$」と入力し、共有内のフォルダ一覧が表示できることを確認する

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.194

=== ユーザ、グループ単位に隠し共有にする ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.195

=== 共有への同時アクセス数の上限設定 ===

==== 関連パラメータなど ====

* share_test 共有
* max connections パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.198

=== ホームディレクトリの自動共有 ===

==== 関連パラメータなど ====

* homes 共有

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.199 - 201

=== ファイル属性 ===

==== 関連パラメータなど ====

* store dos attributes パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.207

=== 指定したファイル、ディレクトリ名の表示、アクセスを禁止する ===

==== 関連パラメータなど ====

* [share_test] 共有
* veto files パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の veto_files フォルダにアクセスする

* GodMode という特殊なフォルダ（Windows XPの場合は普通のフォルダ）と
dummy.exe が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Prohibit to put EXE files and files with GUID
veto files = /*.exe/*.{*}/
delete veto files = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の veto_files フォルダにアクセスする

* GodMode と dummy.exe の両方が表示されていないことを確認する

* .EXE ファイルを Windows マシンから share_test 共有内にコピーできない
ことを確認する
: '''パーミッションが 755 になっているので、あらかじめ 1777 などに変更
した上で確認すること。'''
: '''share_test 共有に writeable = yes の設定が抜けているので、あらか
じめ設定しておくこと'''

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.216 - 217

=== アクセスできないファイルの表示、読み取りを禁止する ===

設定を行うことで、アクセス権のないファイルが非表示になることを確認する。

==== 関連パラメータなど ====

* share_test 共有
* hide unreadable パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt と normal.txt が表示されていることを確認する

* share_test 共有内の、以下の設定のコメントをはずす

# Hide unreadable files
; hide unreadable = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt が表示されていないことを確認する

==== 応用設定 ====

hide unwriteable パラメータの動作確認、'''フォルダを作成した際の挙動の確認。'''

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.217 - 218

=== シンボリックリンクの追跡 ===

==== 関連パラメータなど ====

* [share_test] 共有
a* unix extensions パラメータ
* wide links パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有にアクセスする

* [share_test] 共有内の、wide_links フォルダにある passwd.txt
（/etc/passwdにリンク）をクリックし、ファイル内容が読み取れないこと
を確認する。

* [share_test] 共有内の、以下の設定のコメントをはずし、値を yes に設定
する

# Prohibit to symlink outside the share (by default after Samba
3.5.0)
wide links = yes

* [global] セクション内の、以下の設定のコメントをはずす

unix extensions = no

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* [share_test] 共有内の、wide_links フォルダにある passwd.txt をクリッ
クし、ファイル内容が読み取れることを確認する

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.221 - 223

=== Windows Vista からアクセスした際のパフォーマンスの向上 ===

==== 関連パラメータなど ====

* share_test 共有
* vfs objects = readahead 行

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.224 - 225

=== Windows マシンからのファイル共有管理 ===

==== 関連パラメータなど ====

* add share comand パラメータ
* change share comand パラメータ
* delete share comand パラメータ
* mgrshare スクリプト

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.227 - 236

== 高度なファイル共有機能 ==

=== ごみ箱機能 ===

=== ファイルアクセスの監査 ===

==== 関連パラメータなど ====

* share_test 共有
* vfs objects = full_audit 行
* full_audit:* パラメータ
* /etc/rsyslog.d/samba.conf ファイル

==== 確認手順 ====

* share_test 共有内の、以下の設定のコメントをはずす

# Audit
vfs objects = full_audit
full_audit:facility = local1
full_audit:success = connect disconnect
full_audit:failure = connect disconnect mkdir rmdir open close rename unlink

share_test 共有に、既に有効な vfs objects 行がある場合は、その行の末尾に full_audit を追記するか、一旦既存の vfs objects 行をコメントアウトすること。

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* /var/log/samba/log.audit に、以下のようなログが記録されていることを確認する

Aug 7 00:54:14 sambapdc smbd[2833]: ldap02|192.168.135.130|connect|ok|share_test

==== 応用 ====
full_audit:success および full_audit:failure パラメータの値をいろいろと書き換えて、ログに記録する項目を変更して確認してみる。

/etc/rsyslog.d/samba.conf の内容と full_audit:facility パラメータの内容を変更して、Samba がログを出力するファシリティや出力先をいろいろ変えてみる。

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.259 - 261

= [[Sambaドメイン]] =

Sambaドメイン

2011-08-16T11:38:33Z

Monyo: /* 確認手順 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== Samba ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外のユーザも含め、任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。
; 複雑なパスワードの強制を有効化する
:
:* 1. [global] セクション内の、以下の設定のコメントをはずす

# forcibly apply complex password
; check password script = /usr/local/sbin/crackcheck -c -s
:* 2. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる
; 複雑なパスワードの強制の確認
: 再度パスワードを変更する。たとえば Windows マシンからアルファベット英小文字のみのパスワードを指定しようとしても、パスワードは要求された複雑さを満たさないというエラーとなり、変更できない。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。
* 管理ユーザによるパスワード変更は、本制限の対象外となる（NTドメインと同様）。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

=== Windows ユーザと Samba ユーザとのマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 補足 ====

* /etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行える。

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.109 - 110

=== ユーザー属性一般 ===

=== ユーザー権利 ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.611 - 614

=== 移動プロファイル ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.615 - 617

=== グローバルグループ ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.594 - 601

=== ローカルグループ ===

== UNIX ユーザの管理ほか ==

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

How to build Samba PDC (squeeze)

2011-08-15T16:40:57Z

Monyo: /* Get release image for Debian GNU/Linux */

= Get release image for Debian GNU/Linux =
Download [http://www.debian.org/distrib/netinst#smallcd small CD]

* Actually use debian-6.0.0-i386-netinst.iso

= Build VMware Virtual Machine =

== How to create VM ==

Run the Virtual Machine Wizard

* Select ''Custom''
* Select ''Workstation 5'' as Hardware compatibility
** Do not check ''ESX Server''
* Select ''Linux'' as guest OS
* Select ''Debian 5'' as version
* Set ''sambapdc'' as VM's name
* Set ''1'' as number of CPU
* Set ''256MB'' as available memory
* Leave ''NAT'' at Network Connection
* Leave ''LSI Logic'' at I/O controller type
* Select ''Create new virtual disk''
* Select ''SCSI'' as type of virtual disk and leave other settings

== Installing Squeeze ==

=== Running Installer ===

* Select '''Install''' (Not ''Graphical Install')
* Select '''English''' at Choose language
* Select '''Japan''' at Choose country
* Select '''United States''' at Default locale
* Select '''American English''' at Keymap to use
* Select as below at Configure network
** Hostname is '''sambapdc'''
** Domain Name is '''sambadom.local'''
* Set as below at Set up users and passwords
** Set '''samba''' at Root password
** Push ''<Go Back>'' several times until '''Debian installer main menu''' is shown at Full name for new user in Set up users and passwords
: Remember that lots of unused packages are installed if you continue to install as usual
* Select as below at Partition disks
** Select '''Guided - use entire disk''' (defalt)
** Select '''All files in one partition''' (default)
** Push '''Finish partitioning and write changes to disk'''
** Select '''<Yes>''' at Write changes to disks?
* Basic packages are installed during Installing the base system Window.
* Select '''Install the GRUB boot loader on a hard disk'''
** Select '''<Yes>''' at Install the GRUB boot loader to the master boot record?
* Select '''<Continue>''' at Installation complete

=== Basic settings ===

* Added settings for eth1 if needed

: Added these settings in /etc/network/interfaces
allow-hotplug eth1
iface eth1 inet dhcp

* Configure APT

: Modify /etc/apt/sources.list
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: Note that only '''main''' is set because of reducing disk space.

* Specify tmpfs for filesystem of /tmp
: add /etc/fstab as below:
/dev/shm /tmp tmpfs defaults 0 0

: This is not necessary but reduces disk space for install

* Specify tmpfs for /var/cache/apt
: add /etc/fstab as below:
/dev/shm /var/cache/apt tmpfs defaults 0 0

: This is not necessary but reduces disk space for install

: Enable these changes
# mount /tmp
# mount /var/cache/apt

* Installing ftp
: Uses only to receive files
# apt-get install ftp
# apt-get clean

* Installing packages for ACL and extended attributes
# apt-get install attr acl

* Add acl,user_xattr as mount option in /etc/fstab

: change '''errors=remount-ro''' to '''defaults,acl,user_xattr,errors=remount-ro'''

: change mount options with remount option
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== Installing crackcheck command ===

* Installing cracklib package

# apt-get install libcrack2

: used by crackcheck command

Run on the box where development packages are installed.

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

Copy '''crackcheck''' binary to /usr/local/sbin/crackcheck on sambapdc

=== Installing mgrshare script ===

Extract mgrshare script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install:

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== Installing smbchsh ===

Extract smbchsh script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install to /usr/local/bin/smbchsh.

Here is the content of smbchsh:

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== Installing remove-old-files-in-recycle-bin ===

Extract remove-old-files-in-recycle-bin script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install as /usr/local/sbin/remove-old-files-in-recycle-bin:

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== Creating home directory ===

# mkdir /home/SAMBADOM

=== Creating smbusers file ===

Extract smbusers file (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
Sambapdc4.tar.gz] ) and install as /etc/samba/smbusers

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

How to build Samba PDC (squeeze)

2011-08-15T16:13:13Z

Monyo: /* Squeeze インストール */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== How to create VM ==

Run the Virtual Machine Wizard

* Select ''Custom''
* Select ''Workstation 5'' as Hardware compatibility
** Do not check ''ESX Server''
* Select ''Linux'' as guest OS
* Select ''Debian 5'' as version
* Set ''sambapdc'' as VM's name
* Set ''1'' as number of CPU
* Set ''256MB'' as available memory
* Leave ''NAT'' at Network Connection
* Leave ''LSI Logic'' at I/O controller type
* Select ''Create new virtual disk''
* Select ''SCSI'' as type of virtual disk and leave other settings

== Installing Squeeze ==

=== Running Installer ===

* Select '''Install''' (Not ''Graphical Install')
* Select '''English''' at Choose language
* Select '''Japan''' at Choose country
* Select '''United States''' at Default locale
* Select '''American English''' at Keymap to use
* Select as below at Configure network
** Hostname is '''sambapdc'''
** Domain Name is '''sambadom.local'''
* Set as below at Set up users and passwords
** Set '''samba''' at Root password
** Push ''<Go Back>'' several times until '''Debian installer main menu''' is shown at Full name for new user in Set up users and passwords
: Remember that lots of unused packages are installed if you continue to install as usual
* Select as below at Partition disks
** Select '''Guided - use entire disk''' (defalt)
** Select '''All files in one partition''' (default)
** Push '''Finish partitioning and write changes to disk'''
** Select '''<Yes>''' at Write changes to disks?
* Basic packages are installed during Installing the base system Window.
* Select '''Install the GRUB boot loader on a hard disk'''
** Select '''<Yes>''' at Install the GRUB boot loader to the master boot record?
* Select '''<Continue>''' at Installation complete

=== Basic settings ===

* Added settings for eth1 if needed

: Added these settings in /etc/network/interfaces
allow-hotplug eth1
iface eth1 inet dhcp

* Configure APT

: Modify /etc/apt/sources.list
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: Note that only '''main''' is set because of reducing disk space.

* Specify tmpfs for filesystem of /tmp
: add /etc/fstab as below:
/dev/shm /tmp tmpfs defaults 0 0

: This is not necessary but reduces disk space for install

* Specify tmpfs for /var/cache/apt
: add /etc/fstab as below:
/dev/shm /var/cache/apt tmpfs defaults 0 0

: This is not necessary but reduces disk space for install

: Enable these changes
# mount /tmp
# mount /var/cache/apt

* Installing ftp
: Uses only to receive files
# apt-get install ftp
# apt-get clean

* Installing packages for ACL and extended attributes
# apt-get install attr acl

* Add acl,user_xattr as mount option in /etc/fstab

: change '''errors=remount-ro''' to '''defaults,acl,user_xattr,errors=remount-ro'''

: change mount options with remount option
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== Installing crackcheck command ===

* Installing cracklib package

# apt-get install libcrack2

: used by crackcheck command

Run on the box where development packages are installed.

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

Copy '''crackcheck''' binary to /usr/local/sbin/crackcheck on sambapdc

=== Installing mgrshare script ===

Extract mgrshare script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install:

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== Installing smbchsh ===

Extract smbchsh script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install to /usr/local/bin/smbchsh.

Here is the content of smbchsh:

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== Installing remove-old-files-in-recycle-bin ===

Extract remove-old-files-in-recycle-bin script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install as /usr/local/sbin/remove-old-files-in-recycle-bin:

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== Creating home directory ===

# mkdir /home/SAMBADOM

=== Creating smbusers file ===

Extract smbusers file (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
Sambapdc4.tar.gz] ) and install as /etc/samba/smbusers

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

How to build Samba PDC (squeeze)

2011-08-15T15:58:21Z

Monyo: /* 仮想マシン作成の手順 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== How to create VM ==

Run the Virtual Machine Wizard

* Select ''Custom''
* Select ''Workstation 5'' as Hardware compatibility
** Do not check ''ESX Server''
* Select ''Linux'' as guest OS
* Select ''Debian 5'' as version
* Set ''sambapdc'' as VM's name
* Set ''1'' as number of CPU
* Set ''256MB'' as available memory
* Leave ''NAT'' at Network Connection
* Leave ''LSI Logic'' at I/O controller type
* Select ''Create new virtual disk''
* Select ''SCSI'' as type of virtual disk and leave other settings

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== Installing crackcheck command ===

* Installing cracklib package

# apt-get install libcrack2

: used by crackcheck command

Run on the box where development packages are installed.

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

Copy '''crackcheck''' binary to /usr/local/sbin/crackcheck on sambapdc

=== Installing mgrshare script ===

Extract mgrshare script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install:

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== Installing smbchsh ===

Extract smbchsh script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install to /usr/local/bin/smbchsh.

Here is the content of smbchsh:

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== Installing remove-old-files-in-recycle-bin ===

Extract remove-old-files-in-recycle-bin script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install as /usr/local/sbin/remove-old-files-in-recycle-bin:

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== Creating home directory ===

# mkdir /home/SAMBADOM

=== Creating smbusers file ===

Extract smbusers file (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
Sambapdc4.tar.gz] ) and install as /etc/samba/smbusers

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

How to build Samba PDC (squeeze)

2011-08-15T08:08:25Z

Monyo: /* 動作確認 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== Installing crackcheck command ===

* Installing cracklib package

# apt-get install libcrack2

: used by crackcheck command

Run on the box where development packages are installed.

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

Copy '''crackcheck''' binary to /usr/local/sbin/crackcheck on sambapdc

=== Installing mgrshare script ===

Extract mgrshare script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install:

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== Installing smbchsh ===

Extract smbchsh script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install to /usr/local/bin/smbchsh.

Here is the content of smbchsh:

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== Installing remove-old-files-in-recycle-bin ===

Extract remove-old-files-in-recycle-bin script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install as /usr/local/sbin/remove-old-files-in-recycle-bin:

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== Creating home directory ===

# mkdir /home/SAMBADOM

=== Creating smbusers file ===

Extract smbusers file (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
Sambapdc4.tar.gz] ) and install as /etc/samba/smbusers

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

How to build Samba PDC (squeeze)

2011-08-15T08:08:05Z

Monyo: /* Installing and setting packages */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== Installing crackcheck command ===

* Installing cracklib package

# apt-get install libcrack2

: used by crackcheck command

Run on the box where development packages are installed.

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

Copy '''crackcheck''' binary to /usr/local/sbin/crackcheck on sambapdc

=== Installing mgrshare script ===

Extract mgrshare script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install:

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== Installing smbchsh ===

Extract smbchsh script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install to /usr/local/bin/smbchsh.

Here is the content of smbchsh:

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== Installing remove-old-files-in-recycle-bin ===

Extract remove-old-files-in-recycle-bin script (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
sambapdc4.tar.gz] ) and install as /usr/local/sbin/remove-old-files-in-recycle-bin:

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== Creating home directory ===

# mkdir /home/SAMBADOM

=== Creating smbusers file ===

Extract smbusers file (included in
[http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz
Sambapdc4.tar.gz] ) and install as /etc/samba/smbusers

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T08:06:46Z

Monyo: /* crackcheck コマンドのインストール */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== Installing crackcheck command ===

* Installing cracklib package

# apt-get install libcrack2

: used by crackcheck command

Run on the box where development packages are installed.

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

Copy '''crackcheck''' binary to /usr/local/sbin/crackcheck on sambapdc

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T08:06:30Z

Monyo: /* PAM の手動設定 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM configuration ===

'''Because pam-auth-update command automatically sets PAM
related-files, basically we do not need to edit them manually.'''

But we have to set these settings manually:

* /etc/pam.d/common-password
: Comment out pam_winbind.so line.

* /etc/pam.d/common-session
: Add mkhomedir option in pam_winbind.so line.

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T07:56:39Z

Monyo: /* Samba + LDAP 環境の設定 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Setting Samba + LDAP environment ==

=== Setting LDAP ===

Remember that LDAP settings are stored in LDAP after Squeeze

* Installing schema file for Samba

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

: samba-doc package is removed after extracting schema file

* Generating LDIF file for Samba schema

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:Creating /tmp/dummy_slapd.conf file as below:

include schema/core.schema
include schema/cosine.schema
include schema/inetorgperson.schema
include schema/nis.schema
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: Modifying LDIF file

Rename cn={4}samba.ldif under dummy_slapd.d/cn=config/cn=schema to samba.ldif

and modify as below:

** The top 3 lines before:

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** The top 3 lines after:

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

** The last 7 lines before:

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

** The last 7 line after:
(Removed)

: Register samba.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* Initial settings
: Create sambadom.ldif as below:

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== Create initial schema ===

* Create sambadom.local.ldif file as below:

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* Register sambadom.local.ldif with ldapadd :

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Setting Samba ===

* Stopping Samba

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* Installing smb.conf

Create smb.conf as /etc/samba/smb.conf (included in [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz])

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* Installing smbusers file

Create smbusers as /etc/samba/smbusers

* Store LDAP password

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Store initial settings into LDAP

Start winbindd (only) before running 'net sam provision'

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Initial settings for Administrator user

: Setting his password 'samba'

# smbpasswd Administrator
New SMB password: <== samba
Retype new SMB password: <== samba

* Starting Samba

=== Setting automated home directory creation ===

* Create a file as /usr/local/sbin/createhomedir and chmod +rx :

: This setting is needed because automated home directory creation via PAM cannot work with Samba.

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== Setting syslog ===

* Creating a file as /etc/rsyslog.d/samba.conf :

local1.* -/var/log/samba/log.audit

* And

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* Creating a file as /etc/logrotate.d/samba-syslog :

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T06:55:01Z

Monyo: /* Creating users */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

* Their home directory is set as \\sambapdc\''username'', mounted to H:
* Their username is set as "LDAP User ''nn''"
* Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T06:54:34Z

Monyo: /* Creating shares */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== Creating users ===

* Creating ldap01, ldap02 and ldap03 user

:ldap01 and ldap02 user belong to aclshare1rw and aclshare2rw group
:ldap03 user belongs to aclshare1ro and aclshare2ro group

** Their home directory is set as \\sambapdc\''username'', mounted to H:
** Their username is set as "LDAP User ''nn''"
** Their password is set not to expired.

: For ldap01 user

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== Installing SWAT (Option) ===

* Installing SWAT

# apt-get install swat

* Setting below to /etc/hosts.allow file
: Resticted access into local subnet.
ALL: LOCAL

=== Last of all ===

* Initialization WINS database

Remove wins.dat and wins.tdb under /var/lib/samba

* Removing VMware log files

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T06:45:47Z

Monyo: /* Creating shares */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* 'aclshare1' share
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== 試験用ユーザを作成 ===

* ldap01 / ldap02 / ldap03 ユーザを作成

:ldap01 / ldap02 ユーザは aclshare1rw および aclshare2rw グループに所属
:ldap03 ユーザは aclshare1ro および aclshare2ro グループに所属

** ホームディレクトリ \\sambapdc\ユーザ名を H: にマウント
** ユーザ名「LDAP User nn」
** パスワードを無期限にする

: 以下 ldap01 ユーザーの場合の実行例

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== SWAT のインストール（オプション） ===

* SWAT のインストール

# apt-get install swat

* /etc/hosts.allow ファイルに以下を設定
: アクセスをローカルサブネットに制限する
ALL: LOCAL

=== 最後に ===

* WINS データベースの初期化

/var/lib/samba 以下の wins.dat と wins.tdb を削除する

* VMware ログファイルの削除

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-15T06:45:27Z

Monyo: /* Samba ドメインで使用する共有の作成 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Creating shares ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* 'NETLOGON' share
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* 'profiles' share

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* 'shared' share
: shares where users who belong to Domain Users group can read and write

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* aclshare1 共有
: Create aclshare1ro and aclshare1rw group and confirm their GID before creating 'aclshare1'

# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* 'aclshare2' share
: Create aclshare2ro and aclshare2rw group and confirm their GID before creating 'aclshare2'
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* 'share_test' share

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* Installing var-check script
: works with "root preexec" line on share_test share and shows all value of Samba variables. Installing as /usr/local/sbin/var-check:

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== 試験用ユーザを作成 ===

* ldap01 / ldap02 / ldap03 ユーザを作成

:ldap01 / ldap02 ユーザは aclshare1rw および aclshare2rw グループに所属
:ldap03 ユーザは aclshare1ro および aclshare2ro グループに所属

** ホームディレクトリ \\sambapdc\ユーザ名を H: にマウント
** ユーザ名「LDAP User nn」
** パスワードを無期限にする

: 以下 ldap01 ユーザーの場合の実行例

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== SWAT のインストール（オプション） ===

* SWAT のインストール

# apt-get install swat

* /etc/hosts.allow ファイルに以下を設定
: アクセスをローカルサブネットに制限する
ALL: LOCAL

=== 最後に ===

* WINS データベースの初期化

/var/lib/samba 以下の wins.dat と wins.tdb を削除する

* VMware ログファイルの削除

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

メインページ

2011-08-09T23:53:58Z

Monyo: Samba 3.6.0 リリースによる安定版周りの記述変更

__NOTOC__
{|
!style="text-align:left"|<H1>Samba-JPにようこそ</H1>
|+
|style="width:55%"|
このページは、[[Sambaとは|Samba]]に関する技術情報やその他の情報を提供するページです。 このWebの変更情報は、[[特別:Recentchanges|最近更新したページ]]を参照してください。 技術資料、マニュアル、その他情報についてはページ左のナビゲーションから選択してください。 
 現在3.6系列の翻訳作業中です。ご協力できる方は、Samba-JP MLまでご連絡ください。 
|
{| class="wikitable" style="text-align:left" style="background-color:#fdd"
|+現在のバージョン
|-
!style="text-align:left"|安定版
|[ftp://ftp.samba.gr.jp/pub/samba/ Samba 3.6.0]|| (2011/08/09)
|-
!style="text-align:left"|旧安定版
|[ftp://ftp.samba.gr.jp/pub/samba/ Samba 3.5.11]|| (2011/08/04)
|-
!style="text-align:left"|旧旧安定版
|[ftp://ftp.samba.gr.jp/pub/samba/ Samba 3.4.14]|| (2011/07/26)
|-
!style="text-align:left"|次世代版
|[ftp://ftp.samba.gr.jp/pub/samba/samba4/ Samba 4.0.0alpha16]||(2011/06/24)
|-
!style="text-align:left" style="background-color:#ddf"|日本語manual
|[http://sourceforge.jp/projects/samba-jp/releases/ 0.5.6(3.3.12対応)]||(2010/03/27)
|-
!style="text-align:left" style="background-color:#ddf"|日本語manual
|[http://sourceforge.jp/projects/samba-jp/releases/ 3.4.11-1]||(2011/01/26)
|-
!style="text-align:left" style="background-color:#ddf"|日本語manual
|[http://sourceforge.jp/projects/samba-jp/releases/ 3.5.9-1]||(2011/06/23)
|}
|-
|||'''3.3系列以前はサポート終了'''です。
|-
|||Samba日本語版のサポートは終了しています。
|}
== お知らせ ==

:最新情報は、[http://news.samba.org/ NEWS.samba.org(英語)] も参照してください。
* 2011/08/10 Samba 3.6.0リリースに伴い、[http://lists.samba.org/archive/samba-technical/2011-August/078925.html Samba 3.3系列はサポート終了、Samba 3.4系列はセキュリティ修正のみ]となります。[https://wiki.samba.org/index.php/Samba3_Release_Planning リリースポリシー]も適宜ご参照ください。
* 2011/08/09 Samba 3.6.0がリリースされました([http://samba.org/samba/history/samba-3.6.0.html リリースノート(英語)])。
* 2011/08/04 Samba 3.5.11がリリースされました。バグフィックスです。
* 2011/07/26 Samba 3.6.0rc3がリリースされました。
* 2011/07/26 Samba 3.5.10,3.4.14,3.3.16がリリースされました。セキュリティフィックスです。
* 2011/07/19 OSC2011 Kyotoにて行いました「Samba最新動向＆Active Directory連携のすべて」の資料を[[イベント|公開]]しました。
* 2011/07/19 [[Sambaドメイン評価環境(squeeze)|Debian GNU/Linux 6.0版Sambaドメイン評価環境]]をリリースしました。
* 2011/07/16 OSC2011 Kyotoにて、[https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43 Samba最新動向＆Active Directory連携のすべて]というセミナーを行います。是非ご参加ください。
* [[過去のお知らせ]]

== [[メーリングリスト]] ==
日本 Samba ユーザ会が主催するメーリングリストです。

== 本 Wiki サイトの更新について ==


本 Wiki サイトは、一部のページを除き、アカウントがある方はどなたでも編集できるようになっています。

アカウントについては、[http://wiki.samba.gr.jp/mediawiki/index.php?title=%E7%89%B9%E5%88%A5:Userlogin&returnto=%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8 ログインまたはアカウント作成] より、どなたでも作成可能です。

皆様の積極的な投稿をお待ちしております。

== その他 ==
*[http://www.samba.gr.jp 日本Sambaユーザー会旧ページ]
*[[その他のドキュメント]]
*[[リンク]]

メインページ

2011-08-09T23:51:47Z

Monyo: /* お知らせ */ Samba 3.6.0 リリース

__NOTOC__
{|
!style="text-align:left"|<H1>Samba-JPにようこそ</H1>
|+
|style="width:55%"|
このページは、[[Sambaとは|Samba]]に関する技術情報やその他の情報を提供するページです。 このWebの変更情報は、[[特別:Recentchanges|最近更新したページ]]を参照してください。 技術資料、マニュアル、その他情報についてはページ左のナビゲーションから選択してください。 
 現在3.6系列の翻訳作業中です。ご協力できる方は、Samba-JP MLまでご連絡ください。 
|
{| class="wikitable" style="text-align:left" style="background-color:#fdd"
|+現在のバージョン
|-
!style="text-align:left"|安定版
|[ftp://ftp.samba.gr.jp/pub/samba/ Samba 3.5.11]|| (2011/08/04)
|-
!style="text-align:left"|旧安定版
|[ftp://ftp.samba.gr.jp/pub/samba/ Samba 3.4.14]|| (2011/07/26)
|-
!style="text-align:left"|旧旧安定版
|[ftp://ftp.samba.gr.jp/pub/samba/ Samba 3.3.16]|| (2011/07/26)
|-
!style="text-align:left"|次世代版
|[ftp://ftp.samba.gr.jp/pub/samba/samba4/ Samba 4.0.0alpha16]||(2011/06/24)
|-
!style="text-align:left" style="background-color:#ddf"|日本語manual
|[http://sourceforge.jp/projects/samba-jp/releases/ 0.5.6(3.3.12対応)]||(2010/03/27)
|-
!style="text-align:left" style="background-color:#ddf"|日本語manual
|[http://sourceforge.jp/projects/samba-jp/releases/ 3.4.11-1]||(2011/01/26)
|-
!style="text-align:left" style="background-color:#ddf"|日本語manual
|[http://sourceforge.jp/projects/samba-jp/releases/ 3.5.9-1]||(2011/06/23)
|}
|-
|||'''3.2.xと3.0.xはサポート終了'''です。
|-
|||Samba日本語版のサポートは終了しています。
|}
== お知らせ ==

:最新情報は、[http://news.samba.org/ NEWS.samba.org(英語)] も参照してください。
* 2011/08/10 Samba 3.6.0リリースに伴い、[http://lists.samba.org/archive/samba-technical/2011-August/078925.html Samba 3.3系列はサポート終了、Samba 3.4系列はセキュリティ修正のみ]となります。[https://wiki.samba.org/index.php/Samba3_Release_Planning リリースポリシー]も適宜ご参照ください。
* 2011/08/09 Samba 3.6.0がリリースされました([http://samba.org/samba/history/samba-3.6.0.html リリースノート(英語)])。
* 2011/08/04 Samba 3.5.11がリリースされました。バグフィックスです。
* 2011/07/26 Samba 3.6.0rc3がリリースされました。
* 2011/07/26 Samba 3.5.10,3.4.14,3.3.16がリリースされました。セキュリティフィックスです。
* 2011/07/19 OSC2011 Kyotoにて行いました「Samba最新動向＆Active Directory連携のすべて」の資料を[[イベント|公開]]しました。
* 2011/07/19 [[Sambaドメイン評価環境(squeeze)|Debian GNU/Linux 6.0版Sambaドメイン評価環境]]をリリースしました。
* 2011/07/16 OSC2011 Kyotoにて、[https://www.ospn.jp/osc2011-kyoto/modules/eguide/event.php?eid=43 Samba最新動向＆Active Directory連携のすべて]というセミナーを行います。是非ご参加ください。
* [[過去のお知らせ]]

== [[メーリングリスト]] ==
日本 Samba ユーザ会が主催するメーリングリストです。

== 本 Wiki サイトの更新について ==


本 Wiki サイトは、一部のページを除き、アカウントがある方はどなたでも編集できるようになっています。

アカウントについては、[http://wiki.samba.gr.jp/mediawiki/index.php?title=%E7%89%B9%E5%88%A5:Userlogin&returnto=%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8 ログインまたはアカウント作成] より、どなたでも作成可能です。

皆様の積極的な投稿をお待ちしております。

== その他 ==
*[http://www.samba.gr.jp 日本Sambaユーザー会旧ページ]
*[[その他のドキュメント]]
*[[リンク]]

How to build Samba PDC (squeeze)

2011-08-09T12:32:09Z

Monyo: /* Samba / OpenLDAP のインストール */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Installing Samba and OpenLDAP ===

* installing slapd package

# apt-get install slapd ldap-utils

: Set '''ldap''' as Admin password

ldap-utils package is for management purpose, so it is not required for running, although the description is assumed it is installed.

* Installing Samba packages

# apt-get install samba winbind smbclient

: Set ''SAMBADOM'' as workgroup/domain name

smbclient package is for management and test purpose, so it is not required for running.

* Installing pam_smbpass package

# apt-get install libpam-smbpass

* Removing nscd
: Running nscd sometime makes a trouble that adding or removing an user or a group is not affected immediately.
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Samba ドメインで使用する共有の作成 ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* NETLOGON 共有
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* profiles 共有

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* shared 共有
:Domain Usersグループに所属するユーザであれば、誰でも読み書き可能な共有ディレクトリ

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* aclshare1 共有

:あらかじめ aclshare1ro および aclshare1rw グループを作成の上、GID を確認しておく
# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* aclshare2 共有

:あらかじめ aclshare2ro および aclshare2rw グループを作成の上、GID を確認しておく
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* share_test 共有

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* var-check スクリプトのインストール
:share_test 共有の root preexec 行と連動して動作し、現在設定されている
Samba 変数の内容を表示させるためのスクリプト。
/usr/local/sbin/var-check としてインストール。

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== 試験用ユーザを作成 ===

* ldap01 / ldap02 / ldap03 ユーザを作成

:ldap01 / ldap02 ユーザは aclshare1rw および aclshare2rw グループに所属
:ldap03 ユーザは aclshare1ro および aclshare2ro グループに所属

** ホームディレクトリ \\sambapdc\ユーザ名を H: にマウント
** ユーザ名「LDAP User nn」
** パスワードを無期限にする

: 以下 ldap01 ユーザーの場合の実行例

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== SWAT のインストール（オプション） ===

* SWAT のインストール

# apt-get install swat

* /etc/hosts.allow ファイルに以下を設定
: アクセスをローカルサブネットに制限する
ALL: LOCAL

=== 最後に ===

* WINS データベースの初期化

/var/lib/samba 以下の wins.dat と wins.tdb を削除する

* VMware ログファイルの削除

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-09T12:24:24Z

Monyo: /* Samba + LDAP 環境の設定 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Build Samba + LDAP environment =

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Samba / OpenLDAP のインストール ===

* slapd パッケージのインストール

# apt-get install slapd ldap-utils

: Admin password には ldap を指定する。

ldap-utils パッケージは管理用。動作上は不要だが、以降の説明ではインス
トールされていることを前提とする。

* Samba 関連パッケージのインストール

# apt-get install samba winbind smbclient

: workgroup/domain name に ''SAMBADOM'' を指定

smbclient パッケージは管理およびテスト用。動作上は不要。

* pam_smbpass パッケージのインストール

# apt-get install libpam-smbpass

* nscd を削除
: nscd が動作していると、ユーザやグループの追加、削除が（少なくとも即時には）反映されないというトラブルが発生することがあり、動作検証を行う上では面倒なため、ここでは削除している。
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Samba ドメインで使用する共有の作成 ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* NETLOGON 共有
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* profiles 共有

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* shared 共有
:Domain Usersグループに所属するユーザであれば、誰でも読み書き可能な共有ディレクトリ

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* aclshare1 共有

:あらかじめ aclshare1ro および aclshare1rw グループを作成の上、GID を確認しておく
# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* aclshare2 共有

:あらかじめ aclshare2ro および aclshare2rw グループを作成の上、GID を確認しておく
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* share_test 共有

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* var-check スクリプトのインストール
:share_test 共有の root preexec 行と連動して動作し、現在設定されている
Samba 変数の内容を表示させるためのスクリプト。
/usr/local/sbin/var-check としてインストール。

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== 試験用ユーザを作成 ===

* ldap01 / ldap02 / ldap03 ユーザを作成

:ldap01 / ldap02 ユーザは aclshare1rw および aclshare2rw グループに所属
:ldap03 ユーザは aclshare1ro および aclshare2ro グループに所属

** ホームディレクトリ \\sambapdc\ユーザ名を H: にマウント
** ユーザ名「LDAP User nn」
** パスワードを無期限にする

: 以下 ldap01 ユーザーの場合の実行例

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== SWAT のインストール（オプション） ===

* SWAT のインストール

# apt-get install swat

* /etc/hosts.allow ファイルに以下を設定
: アクセスをローカルサブネットに制限する
ALL: LOCAL

=== 最後に ===

* WINS データベースの初期化

/var/lib/samba 以下の wins.dat と wins.tdb を削除する

* VMware ログファイルの削除

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

How to build Samba PDC (squeeze)

2011-08-09T12:23:59Z

Monyo: /* libnss-ldap / libpam-ldap のインストールと設定 */

= Get release image for Debian GNU/Linux =
[http://www.debian.org/distrib/netinst#smallcd small CD] にある 180MB
以下のイメージを入手。

* debian-6.0.0-i386-netinst.iso を使用

= Build VMware Virtual Machine =

== 仮想マシン作成の手順 ==

仮想マシン作成ウィザードで以下を指定 (VMware Workstation 7.1.1 日本語
版環境で構築)

* ''カスタム'' を選択
* ハードウェア互換性として ''Workstation 5'' を選択（なるべく多くのバー
* ジョンで動作するように）
** ''ESX Server'' はチェックしない
* ゲストOSとして ''Linux''を選択
* バージョンとして ''Debian 5'' を選択
* 仮想マシン名として ''sambapdc'' を指定
* プロセッサ数として ''1'' を指定
* メモリ容量を ''256MB'' に変更
* ネットワーク接続を ''NAT を使用'' のまま
* I/O コントローラタイプは''LSI Logic'' のまま
* ''仮想ディスクの新規作成''を選択
* 仮想ディスクタイプとして ''SCSI'' を選択
* ディスクサイズほかは規定値のまま（8.0 GB / あらかじめ割り当てない /
* 仮想ディスクを単一ファイル）

== Squeeze インストール ==

=== インストーラでの設定 ===
インストーラで以下を指定

* 初期画面で「Install」を選択（Graphical Installではなく）
* 「Choose language」で「English」を選択
* 「Choose country」で「Japan」を選択
* 「Default locale」で「United States」を選択
* 「Keymap to use」で「American English」を選択
* 「Configure network」で以下を指定
** ホスト名「sambapdc」
** ドメイン名「sambadom.local」
* 「Set up users and passwords」で以下を指定
** 「Root password」に「samba」を指定
** ''「Set up users and passwords」の「Full name for new user」で
* 「Debian installer main menu」になるまで、何度か「<Go back>」を選択''
: これを行わずに普通にインストールを続行すると、無用なパッケージがイン
* ストールされるので注意。
* 「Partition disks」で以下を指定
** 「Guided - use entire disk（デフォルト）」を選択
** パーティション構成で「All files in one partition（デフォルト）」を
* 選択
** 「Finish partitioning and write changes to disk」を押す
** 「Write changes to disks?」に <Yes>を選択
* ここで「Installing the base system」画面になり、基本的なパッケージが
* インストールされる
* 「Install the GRUB boot loader on a hard disk」を選択
** Install the GRUB boot loader to the master boot record? に <yes> を
* 選択
* Installation complete で <Continue>
: ここで再起動が行われる

このほか聞かれた場合は、以下のように選択

* Install the base system を選択
* Kernel to install で「linux-image-2.6-686」を選択
* Use a network mirror で <No>

=== 基本的な設定 ===

* eth1 用の設定を追加（オプション）

: 仮想マシンのイメージを他で転用すると、仮想マシン起動時に「Create new identity」といったメッセージが表示される。ここで Yes を選択した場合は MAC アドレスが変更されるため、 OS から認識されるインタフェース名も eth0 ではなく eth1 や eth2 などになる。そのための設定

: /etc/network/interfaces に以下を追加（eth1の場合）
allow-hotplug eth1
iface eth1 inet dhcp

* APT コマンドの設定とパッケージの更新

: /etc/apt/sources.list の内容を以下に変更
<pre>
deb http://ftp.jp.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main
</pre>

: ディスク容量節約のため、'''main''' しか設定していないので注意。必要に応じて '''contrib''' や '''non-free''' も設定すること。

* /tmp を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /tmp tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

* /var/cache/apt を tmpfs にする（オプション→設定済）
: /etc/fstab に以下の設定を追加
/dev/shm /var/cache/apt tmpfs defaults 0 0

: これは、今後のインストール作業に際して、可能な限りディスク領域を消費しないためのもので、必須ではない。

: 設定を行った場合は、一度再起動するか、以下のように mount コマンドで上記設定を有効にする
# mount /tmp
# mount /var/cache/apt

* ftp のインストール（オプション→設定済）
: ファイルの受渡し用であり、動作上は不要
# apt-get install ftp
# apt-get clean

* ssh のインストール（オプション）
# apt-get install ssh
# apt-get clean

: SSH クライアントも併せてインストールされる。

* lv（ページャ）のインストール（オプション）
# apt-get install lv

* ACLおよび拡張属性関連のパッケージインストール
# apt-get install attr acl

* /etc/fstab で acl,user_xattr をマウントオプションに追加

: ''errors=remount-ro'' を ''defaults,acl,user_xattr,errors=remount-ro''
に変更する。

: 変更後再起動するか、例えば以下のように remount オプションにより動的にマウントオプションを変更する。
mount -o remount,rw,acl,user_xattr,errors=remoun-ro /dev/sda1 /

= Samba + LDAP 環境の設定 =

== パッケージのインストールと基本設定 ==

== Installing and setting packages ==

=== Install and Configuring libnss-ldap and libpam-ldap ===

apt-get install libnss-ldap libpam-ldap

* Setting of libnss-ldap
: URL is '''ldapi:///'''
: DN is '''dc=sambadom,dc=local'''
: LDAP version is '''3'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Settings of libpam-ldap
: Allow LDAP admin account ... is '''<Yes>'''
: Does the LDAP database require login? is '''<No>'''
: LDAP account for root is '''cn=admin,dc=sambadom,dc=local'''
: Password is '''ldap'''

* Adding '''LDAP''' into /etc/nsswitch.conf file

--- nsswitch.conf.org 2009-09-10 03:02:29.000000000 +0900
+++ nsswitch.conf 2009-09-07 22:10:09.000000000 +0900
@@ -4,9 +4,9 @@
# If you have the `glibc-doc-reference' and `info' packages
installed, try:
# `info libc "Name Service Switch"' for information about this file.

-passwd: compat
-group: compat
+passwd: compat ldap
+group: compat ldap
shadow: compat

hosts: files dns
networks: files

=== Samba / OpenLDAP のインストール ===

* slapd パッケージのインストール

# apt-get install slapd ldap-utils

: Admin password には ldap を指定する。

ldap-utils パッケージは管理用。動作上は不要だが、以降の説明ではインス
トールされていることを前提とする。

* Samba 関連パッケージのインストール

# apt-get install samba winbind smbclient

: workgroup/domain name に ''SAMBADOM'' を指定

smbclient パッケージは管理およびテスト用。動作上は不要。

* pam_smbpass パッケージのインストール

# apt-get install libpam-smbpass

* nscd を削除
: nscd が動作していると、ユーザやグループの追加、削除が（少なくとも即時には）反映されないというトラブルが発生することがあり、動作検証を行う上では面倒なため、ここでは削除している。
# apt-get remove nscd

=== PAM の手動設定 ===

'''Squeeze において、PAM関連ファイルは、pam-auth-update コマンドが内部
的に実行されて自動で設定されるため、基本的に修正は不要。'''

ただし、残念ながら、以下の設定を手動で設定を行う必要がある

* /etc/pam.d/common-password

pam_winbind.so 行をコメントアウト

* /etc/pam.d/common-session

pam_winbind.so 行に mkhomedir オプションを追加

=== crackcheck コマンドのインストール ===

* cracklib パッケージのインストール

# apt-get install libcrack2

: crackcheck コマンドが使用する。

開発環境のあるマシン上で以下を実施

# apt-get install cracklib2-dev

# apt-get install samba-doc
# cd /usr/share/doc/samba-doc/examples/auth/crackcheck
# make
# strip crackcheck

生成された crackcheck バイナリを、今回構築するマシンの
/usr/local/sbin/crackcheck にインストール。

=== mgrshare スクリプトのインストール ===

mgrshare スクリプトを作成の上、以下を実施（ mgrshare は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）

# mv mgrshare /usr/local/sbin/mgrshare
# chmod +x /usr/local/sbin/mgrshare

=== smbchsh のインストール ===

一般ユーザがシェルを変更できるように以下のスクリプトを
/usr/local/bin/smbchsh としてインストール

#!/bin/sh

SHELL=$1

echo "dn: uid=${USER},ou=users,dc=samba,dc=local
changetype: modify
replace: loginShell
loginShell: $1
" | ldapmodify -x -D "uid=${USER},ou=users,dc=samba,dc=local" -W

=== remove-old-files-in-recycle-bin

ごみ箱内の古いファイルを削除するスクリプト例
/usr/local/sbin/remove-old-files-in-recycle-bin としてインストール

#!/bin/sh

trashdir=.recycle
rootdir=/var/lib/samba/shares
olddays=14

cd ${rootdir}

for targetdir in *; do
if [ -d ${targetdir}/${trashdir} ]; then
cd ${targetdir}/${trashdir}
find . -atime +${olddays} -exec rm {} \;
fi
done

=== ホームディレクトリの作成 ===

# mkdir /home/SAMBADOM

=== smbusers ファイルの作成 ===
# touch /etc/samba/smbusers

=== リモートログイン用アカウントの作成（オプション） ===
# groupadd -g 999 local
# useradd -u 999 -g 999 -m local
# passwd local
:パスワードは「local」に設定。

== Samba + LDAP 環境の設定 ==

=== LDAP の設定 ===

Squeeze からは、設定を LDAP 中に保持する設定となっているため、注意が必要。

* Samba スキーマファイルをインストール
: ここでは、スキーマファイルの抽出後に不要となった samba-doc パッケージを削除している

# apt-get install samba-doc
# apt-get clean

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

# apt-get remove samba-doc
# apt-get clean

* Samba 用スキーマの LDIF ファイル作成

# cd /tmp
# ln -s /etc/ldap/schema .
# mkdir dummy_slapd.d

:以下の内容で /tmp/dummy_slapd.conf ファイルを作成

include schema/core.schema"
include schema/cosine.schema"
include schema/inetorgperson.schema"
include schema/nis.schema"
include schema/samba.schema

# slaptest -f dummy_slapd.conf -F dummy_slapd.d
config file testing succeeded

: 上記の例では、dummy_slapd.d/cn=config/cn=schema 以下にある cn={4}samba.ldif を samba.ldif にリネームの上、以下の修正を行い、LDIF ファイルを作成する

** 変更前: samba.ldifの先頭3行

dn: cn={4}samba
objectClass: olcSchemaConfig
cn: {4}samba

** 変更後: samba.ldifの先頭3行

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

変更前: samba.ldifの最後7行

structuralObjectClass: olcSchemaConfig
entryUUID: a671adca-3aa0-1030-8ae6-516ef773ec5f
creatorsName: cn=config
createTimestamp: 20110704154721Z
entryCSN: 20110704154721.872107Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110704154721Z

変更後: (削除)

: 最後に、samba.ldif を登録する

# ldapadd -Y EXTERNAL -H ldapi:/// -f samba.ldif
adding new entry "cn=samba,cn=schema,cn=config"

* 初期設定
: 以下の LDIF ファイルを sambadom.ldif というファイル名で作成

dn: olcDatabase={1}hdb,cn=config
changetype:modify
add: olcDbIndex
olcDbIndex: uidNumber,gidNumber,uid,sambaSID,cn,memberuid eq
-
add: olcAccess
olcAccess: to attrs=loginShell by dn="cn=admin,dc=samba,dc=local" write by self write by * read
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=admin,dc=samba,dc=local" write by self write by * none

# ldapadd -Y EXTERNAL -H ldapi:/// -f sambadom.ldif
adding new entry "olcDatabase={1}hdb,cn=config"

=== 初期スキーマの作成 ===

* sambadom.local.ldif ファイルの作成

dn: ou=users,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=idmap,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: idmap

dn: ou=computers,dc=sambadom,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

* ldapadd コマンドで上記 LDIF ファイルの内容を登録

# cat sambadom.local.ldif | ldapadd -D
cn=admin,dc=sambadom,dc=local -W -x -H ldapi:///
Enter LDAP Password:
adding new entry "ou=users,dc=samba,dc=local"

adding new entry "ou=groups,dc=samba,dc=local"
...

=== Samba の設定 ===

* Samba の停止

# /etc/init.d/samba stop
# /etc/init.d/winbind stop

* smb.conf のインストール

smb.conf ファイルを /etc/samba/smb.conf に作成（ smb.conf は [http://wiki.samba.gr.jp/mediawiki/images/1/10/Sambapdc4.tar.gz sambapdc4.tar.gz] 内にあります）の上、以下を実施

# mv /etc/samba/smb.conf /etc/samba/smb.conf.org
# mv smb.conf /etc/samba/smb.conf

* smbusers ファイルのインストール

smbusers ファイルを /etc/samba/smbusers として作成
ldap01 =

* LDAP パスワードの格納

# smbpasswd -w ldap
Setting stored password for "cn=admin,dc=sambadom,dc=local" in secrets.tdb

* Samba の基本ユーザ情報を LDAP に格納

net sam provision コマンドを実行する前に、あらかじめ winbindd （のみ）
を起動しておく必要がある。

# /etc/init.d/winbind start
Starting the Winbind daemon: winbind.
# net sam provision
Checking for Domain Users group.
Adding the Domain Users group.
Checking for Domain Admins group.
Adding the Domain Admins group.
Check for Administrator account.
Adding the Administrator user.
Checking for Guest user.
Adding the Guest user.
Checking Guest's group.
Adding the Domain Guests group.

* Administrator アカウントの初期設定

: パスワードを「samba」に設定

# smbpasswd Administrator
New SMB password:
Retype new SMB password:

* Samba の起動

=== ホームディレクトリ自動作成の設定 ===

* /usr/local/sbin/createhomedir として以下の内容のファイルを作成

: なぜか PAM によるホームディレクトリ自動作成が Samba 経由だとうまく動作しないため

#!/bin/bash

homedir=/home/$1/$2

if [ ! -d $homedir ]; then
mkdir $homedir
chmod 700 $homedir
chown $2:domusers $homedir
fi
exit 0

=== syslog の設定 ===

* 以下の内容で /etc/rsyslog.d/samba.conf ファイルを作成

local1.* -/var/log/samba/log.audit

* さらに

# touch /var/log/samba/log.audit
# /etc/init.d/rsyslog restart

* /etc/logrotate.d/samba-syslog として以下の内容のファイルを作成

/var/log/samba/log.audit
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}

== Samba ドメインで使用する共有の作成 ==

# mkdir /var/lib/samba/shares
# cd /var/lib/samba/shares

* NETLOGON 共有
# mkdir /var/lib/samba/shares/netlogon

# mkdir /var/lib/samba/shares/printers
# chmod 775 domadmins
# chgrp domadmins printers

* profiles 共有

# mkdir /var/lib/samba/shares/profiles
# chmod 1777 /var/lib/samba/shares/profiles

* shared 共有
:Domain Usersグループに所属するユーザであれば、誰でも読み書き可能な共有ディレクトリ

# mkdir /var/lib/samba/shares/shared
# chgrp domusers shared
# chmod g+ws shared

* aclshare1 共有

:あらかじめ aclshare1ro および aclshare1rw グループを作成の上、GID を確認しておく
# net sam createlocalgroup aclshare1ro
Created local group aclshare1ro with RID 1001
# net sam createlocalgroup aclshare1rw
Created local group aclshare1rw with RID 1002

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1001) -> 10011
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1002) -> 10012

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10011:r-x aclshare1
# setfacl -m group:10012:rwx aclshare1
# setfacl -d -m group:10011:r-x aclshare1
# setfacl -d -m group:10012:rwx aclshare1

* aclshare2 共有

:あらかじめ aclshare2ro および aclshare2rw グループを作成の上、GID を確認しておく
# net sam createlocalgroup aclshare2ro
Created local group aclshare1ro with RID 1003
# net sam createlocalgroup aclshare2rw
Created local group aclshare1rw with RID 1004

# net groupmap list ntgroup=aclshare1ro
aclshare1ro (S-1-5-21-3643489711-3443204727-2039806625-1003) -> 10013
# net groupmap list ntgroup=aclshare1rw
aclshare1rw (S-1-5-21-3643489711-3443204727-2039806625-1004) -> 10014

# mkdir /var/lib/samba/shared/aclshare1
# chown root:root aclshare1
# chmod 770 aclshare1
# setfacl -m group:10014:rwx aclshare2
# setfacl -m group:10013:r-x aclshare2
# setfacl -d -m group:10014:rwx aclshare2
# setfacl -d -m group:10013:r-x aclshare2

* share_test 共有

# mkdir /var/lib/samba/shares/share_test
# chmod 1777 share_test

# mkdir share_test/hide_unreadable
# cd share_test/hide_unreadable
# touch normal.txt
# touch secure.txt
# chmod 600 secure.txt

# mkdir share_test/veto_files
# cd share_test/veto_files
# touch dummy.exe
# mkdir GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

* var-check スクリプトのインストール
:share_test 共有の root preexec 行と連動して動作し、現在設定されている
Samba 変数の内容を表示させるためのスクリプト。
/usr/local/sbin/var-check としてインストール。

#!/bin/sh

VARLIST='%U %G %h %L %m %M %R %d %a %I %i %T %D %w %v %V %S %P %u %g %H %N %p e1 e2'

rm /tmp/var.txt

for var in $VARLIST; do
echo "$var : $1" >> /tmp/var.txt
shift
done

=== 試験用ユーザを作成 ===

* ldap01 / ldap02 / ldap03 ユーザを作成

:ldap01 / ldap02 ユーザは aclshare1rw および aclshare2rw グループに所属
:ldap03 ユーザは aclshare1ro および aclshare2ro グループに所属

** ホームディレクトリ \\sambapdc\ユーザ名を H: にマウント
** ユーザ名「LDAP User nn」
** パスワードを無期限にする

: 以下 ldap01 ユーザーの場合の実行例

# smbpasswd -a ldap01
# pdbedit -c "[X]" -f "LDAP01 user" -h '\\sambapdc\ldap01' -D h: ldap01

# net sam addmem aclshare1rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare1rw
# net sam addmem aclshare2rw ldap01
Added SAMBADOM\ldap01 to SAMBADOM\aclshare2rw

=== SWAT のインストール（オプション） ===

* SWAT のインストール

# apt-get install swat

* /etc/hosts.allow ファイルに以下を設定
: アクセスをローカルサブネットに制限する
ALL: LOCAL

=== 最後に ===

* WINS データベースの初期化

/var/lib/samba 以下の wins.dat と wins.tdb を削除する

* VMware ログファイルの削除

== 動作確認 ==

=== Windows XP Professional SP3 から Samba ドメインに参加 ===

* ドメインに参加
* Administrator としてログオン

=== 動作確認 ===

* 初期状態で

** ssh をインストールした上で、ldap01 として ssh でリモートマシンからログインが成功する。その際、ホームディレクトリが自動で作成される

** smbchsh コマンドによりシェルを変更できる

ldap01@sambapdc:~$ /usr/local/bin/smbchsh /bin/sh
Enter LDAP Password:
modifying entry "uid=ldap01,ou=users,dc=samba,dc=local"

ldap01@sambapdc:~$ getent passwd ldap01
ldap01:*:10002:10000:ldap01:/home/SAMBADOM/ldap01:/bin/sh

** ldap01 として Windows XP Professional にログオンできる（パスワード ldap01）

* smbpasswd コマンドによりパスワードを変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 としてログインが成功する（パスワードは変更後）

* passwd コマンドによりパスワードを変更できる

: 変更後のパスワードでコンソールログインと smbclient によるアクセスが成功する

** ldap01 として Windows XP Professinal にログオンできる（パスワードは変更後）
** ldap01 として変更後のログインが成功する（パスワードは変更後）

* Windows XP Professional 以降で Ctrl+Alt+Del した画面のパスワードの変更、からパスワードが変更できる
: その際、crackcheck コマンドにより、簡単なパスワードは設定できない

** ldap01 として NTWS40 にログオンできる（パスワードは変更後）
** ldap01 として ssh でリモートマシンからログインが成功する（パスワードは変更後）

* Windows 2000 に Administrator としてログオンして、「コンピュータ管理」ツールから
** ファイル共有が作成できる
** 作成したファイル共有にアクセスできる
** ファイル共有が削除できる

デモ手順 - Samba PDC (squeeze)

2011-08-08T12:30:11Z

Monyo: /* アクセスできないファイルの表示、読み取りを禁止する */

= [[Sambaドメイン]] =

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

=== Samba変数の値確認 ===

==== 関連パラメータなど ====

* [share_test] 共有
* root preexec = /usr/local/sbin/var-check
* /usr/local/sbin/var-check

==== 確認手順 ====

* [share_test] 共有内の、以下の設定のコメントをはずす
# List all variables
root preexec = /usr/local/sbin/var-check '%U' '%G' '%h' '%L' '%m' '%M' '%R' '%d' '%a' '%I' '%i' '%T' '%D' '%w' '%v' '%V' '%S' '%P' '%u' '%g' '%H' '%N' '%p' '%$(PATH)' '%$(USER)'

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンから share_test 共有にアクセスする
: アクセスした時点で、root preexec パラメータにより、/usr/local/sbin/var-check スクリプトが実行され、/tmp/var.txt ファイルが生成される。

* /tmp/vat.txt の内容を参照する

<pre>
# cat /tmp/var.txt
%U : ldap02
%G : domusers
%h : sambapdc
%L : sambapdc
%m : winxppro-sp3-3
%M : ::ffff:192.168.135.130
%R : NT1
%d : 2382
%a : WinXP
%I : 192.168.135.130
%i : ::ffff:192.168.135.222
%T : 2011/08/06 23:22:40
%D : SAMBADOM
%w : \
%v : 3.5.6
%V : 4294967295
%S : share_test
%P : /var/lib/samba/shares/share_test
%u : ldap02
%g : domusers
%H : /home/SAMBADOM/ldap02
%N : sambapdc
%p :
e1 : /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
e2 : root
</pre>

最後の e1 と e2 は、おのおの PATH および USER 環境変数の値を表示させている。このように、任意の環境変数の値を Samba 変数として用いることも可能である。

==== 注意事項 ====

このスクリプトおよび設定は、あくまで Samba 変数の値を確認する方法を示すためのものであり、実環境では用いないこと。内容を確認したら、速やかに設定を基に戻し、本スクリプトの機能を無効化すること。

==== 応用 ====
Samba 変数の値を確認する方法として、他にも comment パラメータや server string パラメータを用いることも可能である。

なお、パラメータによっては、パラメータ固有の Samba 変数を持っている場合があるが、本スクリプトでは、パラメータに依存しない一般的な Samba 変数のみを扱っている。

=== アクセス権のないファイルを非表示にする ===

設定を行うことで、アクセス権のないファイルが非表示になることを確認する。

==== 関連パラメータなど ====

* [share_test] 共有
* hide unreadable パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt と normal.txt が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Hide unreadable files
hide unreadable = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt が表示されていないことを確認する

==== 応用設定 ====

hide unwriteable パラメータの動作確認、'''フォルダを作成した際の挙動の確認。'''

=== 特定のファイル名のファイルを非表示にする ===

==== 関連パラメータなど ====

* [share_test] 共有
* veto files パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の veto_files フォルダにアクセスする

* GodMode という特殊なフォルダ（Windows XPの場合は普通のフォルダ）と dummy.exe が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Prohibit to put EXE files and files with GUID
veto files = /*.exe/*.{*}/
delete veto files = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の veto_files フォルダにアクセスする

* GodMode と dummy.exe の両方が表示されていないことを確認する

* .EXE ファイルを Windows マシンから share_test 共有内にコピーできないことを確認する
: '''パーミッションが 755 になっているので、あらかじめ 1777 などに変更した上で確認すること。'''
: '''share_test 共有に writeable = yes の設定が抜けているので、あらかじめ設定しておくこと'''

=== ファイルアクセスの監査設定を行う ===

==== 関連パラメータなど ====

* [share_test] 共有
* vfs objects = full_audit
* full_audit:* パラメータ
* /etc/rsyslog.d/samba.conf

==== 確認手順 ====

* [share_test] 共有内の、以下の設定のコメントをはずす

# Audit
vfs objects = full_audit
full_audit:facility = local1
full_audit:success = connect disconnect
full_audit:failure = connect disconnect mkdir rmdir open close rename unlink

share_test 共有に、既に有効な vfs objects 行がある場合は、その行の末尾に full_audit を追記するか、一旦既存の vfs objects 行をコメントアウトすること。

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* /var/log/samba/log.audit に、以下のようなログが記録されていることを確認する

Aug 7 00:54:14 sambapdc smbd[2833]: ldap02|192.168.135.130|connect|ok|share_test

==== 応用 ====
full_audit:success および full_audit:failure パラメータの値をいろいろと書き換えて検証してみる。

/etc/rsyslog.d/samba.conf の内容と full_audit:facility パラメータの内容を変更して、Samba がログを出力するファシリティや出力先をいろいろ変えてみる。

=== シンボリックリンクの有効化 ===

==== 関連パラメータなど ====

* [share_test] 共有
* unix extensionsパラメータ
* wide links パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* [share_test] 共有内の、wide_links フォルダにある passwd.txt （/etc/passwdにリンク）をクリックし、ファイル内容が読み取れないことを確認する。

* [share_test] 共有内の、以下の設定のコメントをはずし、値を yes に設定する

# Prohibit to symlink outside the share (by default after Samba 3.5.0)
wide links = yes

* [global] セクション内の、以下の設定のコメントをはずす

unix extensions = no

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* [share_test] 共有内の、wide_links フォルダにある passwd.txt をクリックし、ファイル内容が読み取れることを確認する

= ファイルサービスとアクセス制御 =

== 共有のアクセス制御 ==

=== IPアドレス単位のアクセス制御 ===

==== 関連パラメータなど ====

* share_test 共有
* hosts allow パラメータ
* hosts deny パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.142 - 143

=== ユーザ、グループ単位でのアクセス制御 ===

==== 関連パラメータなど ====

* shared 共有
* valid users パラメータ
* invalid users パラメータ

==== 参照 ====

* 「[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]」P.144 - 145

=== 読み込み、書き込み単位でのアクセス制御 ===

==== 関連パラメータなど ====

* shared 共有
* read only パラメータ
* write list パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.148 - 149

=== 指定した時間帯に共有を読み取り専用にする ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.149 - 150

=== 複数人から互いに書き込み可能なファイル共有 ===

==== 関連パラメータなど ====

* shared 共有

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.154 - 155

=== 書き込み専用のファイル共有 ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」なし

=== ACL の操作 ===

==== 関連パラメータなど ====

* aclshare1 共有
* aclshare2 共有
* acl map full control パラメータ
* dos filemode パラメータ
* inherit owner パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.155 - 187

== ファイル共有機能の基本 ==

=== ファイル共有一覧画面での表示制御 ===

ファイル共有の一覧画面で、任意のファイル共有を非表示にできることを確認する。

==== 関連パラメータなど ====

* share_test 共有
* browseable パラメータ

==== 確認手順1 ====

* 1. Windows マシンに任意のユーザでログオンし、例えば「ファイル名を指定して実行」で「\\sambapdc」と入力する。
: 共有の一覧が表示され、share_test 共有も'''表示されている'''ことを確認する。

[[画像:Sambapdc4-sharelist01.png|「共有の一覧」画面]]

* 2. share_test 共有内の、以下の設定のコメント「;」をはずす

# Do not list the share list
; browseable = no

* 3. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* 4. Windows マシンに任意のユーザでログオンし、例えば「ファイル名を指定して実行」で「\\sambapdc」と入力する
: 共有の一覧が表示されるが、share_test 共有は'''表示されていない'''ことを確認する。

[[画像:Sambapdc4-sharelist02.png|「共有の一覧」画面]]

* 5. 例えば「ファイル名を指定して実行」で「\\sambapdc\share_test」と入力する
: 共有一覧では非表示となったが、UNC パスを直接指定することで、図のように share_test 共有自体にはアクセス可能であることを確認する。

[[画像:Sambapdc4-sharelist03.png|「共有の一覧」画面]]

==== 確認手順2 ====

* 確認手順1の 2. の設定の代わりに、share_test セクションのセクション名を share_test$ に変更する

* 確認手順1の 5. の操作において、「\\sambapdc\share_test$」と入力し、共有内のフォルダ一覧が表示できることを確認する

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.194

=== ユーザ、グループ単位に隠し共有にする ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.195

=== 共有への同時アクセス数の上限設定 ===

==== 関連パラメータなど ====

* share_test 共有
* max connections パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.198

=== ホームディレクトリの自動共有 ===

==== 関連パラメータなど ====

* homes 共有

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.199 - 201

=== ファイル属性 ===

==== 関連パラメータなど ====

* store dos attributes パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.207

=== 指定したファイル、ディレクトリ名の表示、アクセスを禁止する ===

==== 関連パラメータなど ====

* [share_test] 共有
* veto files パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の veto_files フォルダにアクセスする

* GodMode という特殊なフォルダ（Windows XPの場合は普通のフォルダ）と
dummy.exe が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Prohibit to put EXE files and files with GUID
veto files = /*.exe/*.{*}/
delete veto files = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の veto_files フォルダにアクセスする

* GodMode と dummy.exe の両方が表示されていないことを確認する

* .EXE ファイルを Windows マシンから share_test 共有内にコピーできない
ことを確認する
: '''パーミッションが 755 になっているので、あらかじめ 1777 などに変更
した上で確認すること。'''
: '''share_test 共有に writeable = yes の設定が抜けているので、あらか
じめ設定しておくこと'''

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.216 - 217

=== アクセスできないファイルの表示、読み取りを禁止する ===

設定を行うことで、アクセス権のないファイルが非表示になることを確認する。

==== 関連パラメータなど ====

* share_test 共有
* hide unreadable パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt と normal.txt が表示されていることを確認する

* share_test 共有内の、以下の設定のコメントをはずす

# Hide unreadable files
; hide unreadable = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt が表示されていないことを確認する

==== 応用設定 ====

hide unwriteable パラメータの動作確認、'''フォルダを作成した際の挙動の確認。'''

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.217 - 218

=== シンボリックリンクの追跡 ===

==== 関連パラメータなど ====

* [share_test] 共有
a* unix extensions パラメータ
* wide links パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有にアクセスする

* [share_test] 共有内の、wide_links フォルダにある passwd.txt
（/etc/passwdにリンク）をクリックし、ファイル内容が読み取れないこと
を確認する。

* [share_test] 共有内の、以下の設定のコメントをはずし、値を yes に設定
する

# Prohibit to symlink outside the share (by default after Samba
3.5.0)
wide links = yes

* [global] セクション内の、以下の設定のコメントをはずす

unix extensions = no

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* [share_test] 共有内の、wide_links フォルダにある passwd.txt をクリッ
クし、ファイル内容が読み取れることを確認する

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.221 - 223

=== Windows Vista からアクセスした際のパフォーマンスの向上 ===

==== 関連パラメータなど ====

* share_test 共有
* vfs objects = readahead 行

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.224 - 225

=== Windows マシンからのファイル共有管理 ===

==== 関連パラメータなど ====

* add share comand パラメータ
* change share comand パラメータ
* delete share comand パラメータ
* mgrshare スクリプト

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.227 - 236

== 高度なファイル共有機能 ==

=== ごみ箱機能 ===

=== ファイルアクセスの監査 ===

==== 関連パラメータなど ====

* share_test 共有
* vfs objects = full_audit 行
* full_audit:* パラメータ
* /etc/rsyslog.d/samba.conf ファイル

==== 確認手順 ====

* share_test 共有内の、以下の設定のコメントをはずす

# Audit
vfs objects = full_audit
full_audit:facility = local1
full_audit:success = connect disconnect
full_audit:failure = connect disconnect mkdir rmdir open close rename unlink

share_test 共有に、既に有効な vfs objects 行がある場合は、その行の末尾に full_audit を追記するか、一旦既存の vfs objects 行をコメントアウトすること。

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* /var/log/samba/log.audit に、以下のようなログが記録されていることを確認する

Aug 7 00:54:14 sambapdc smbd[2833]: ldap02|192.168.135.130|connect|ok|share_test

==== 応用 ====
full_audit:success および full_audit:failure パラメータの値をいろいろと書き換えて、ログに記録する項目を変更して確認してみる。

/etc/rsyslog.d/samba.conf の内容と full_audit:facility パラメータの内容を変更して、Samba がログを出力するファシリティや出力先をいろいろ変えてみる。

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.259 - 261

= [[Sambaドメイン]] =

Sambaドメイン

2011-08-07T17:29:03Z

Monyo: /* ユーザの管理 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== Samba ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。
; 複雑なパスワードの強制を有効化する
:
:* 1. [global] セクション内の、以下の設定のコメントをはずす

# forcibly apply complex password
; check password script = /usr/local/sbin/crackcheck -c -s
:* 2. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる
; 複雑なパスワードの強制の確認
: 再度パスワードを変更する。たとえば Windows マシンからアルファベット英小文字のみのパスワードを指定しようとしても、パスワードは要求された複雑さを満たさないというエラーとなり、変更できない。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。
* 管理ユーザによるパスワード変更は、本制限の対象外となる（NTドメインと同様）。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

=== Windows ユーザと Samba ユーザとのマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 補足 ====

* /etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行える。

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.109 - 110

=== ユーザー属性一般 ===

=== ユーザー権利 ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.611 - 614

=== 移動プロファイル ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.615 - 617

=== グローバルグループ ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.594 - 601

=== ローカルグループ ===

== UNIX ユーザの管理ほか ==

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

Sambaドメイン

2011-08-07T17:27:35Z

Monyo: /* ユーザの管理 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。
; 複雑なパスワードの強制を有効化する
:
:* 1. [global] セクション内の、以下の設定のコメントをはずす

# forcibly apply complex password
; check password script = /usr/local/sbin/crackcheck -c -s
:* 2. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる
; 複雑なパスワードの強制の確認
: 再度パスワードを変更する。たとえば Windows マシンからアルファベット英小文字のみのパスワードを指定しようとしても、パスワードは要求された複雑さを満たさないというエラーとなり、変更できない。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。
* 管理ユーザによるパスワード変更は、本制限の対象外となる（NTドメインと同様）。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

=== Windows ユーザと Samba ユーザとのマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 補足 ====

* /etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行える。

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.109 - 110

=== ユーザー属性一般 ===

=== ユーザー権利 ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.611 - 614

=== 移動プロファイル ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.615 - 617

=== グローバルグループ ===

==== 参照 ====

* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.594 - 601

=== ローカルグループ ===

== UNIX ユーザの管理ほか ==

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

Sambaドメイン

2011-08-07T17:17:14Z

Monyo: /* ファイルサーバ編 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。
; 複雑なパスワードの強制を有効化する
:
:* 1. [global] セクション内の、以下の設定のコメントをはずす

# forcibly apply complex password
; check password script = /usr/local/sbin/crackcheck -c -s
:* 2. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる
; 複雑なパスワードの強制の確認
: 再度パスワードを変更する。たとえば Windows マシンからアルファベット英小文字のみのパスワードを指定しようとしても、パスワードは要求された複雑さを満たさないというエラーとなり、変更できない。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。
* 管理ユーザによるパスワード変更は、本制限の対象外となる（NTドメインと同様）。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

=== Windows ユーザと Samba ユーザとのマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 補足 ====

* /etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行える。

==== 参照 ====

* 「[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]」P.109 - 110

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

デモ手順 - Samba PDC (squeeze)

2011-08-07T17:16:51Z

Monyo: /* 参照 */

= [[Sambaドメイン]] =

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

=== Samba変数の値確認 ===

==== 関連パラメータなど ====

* [share_test] 共有
* root preexec = /usr/local/sbin/var-check
* /usr/local/sbin/var-check

==== 確認手順 ====

* [share_test] 共有内の、以下の設定のコメントをはずす
# List all variables
root preexec = /usr/local/sbin/var-check '%U' '%G' '%h' '%L' '%m' '%M' '%R' '%d' '%a' '%I' '%i' '%T' '%D' '%w' '%v' '%V' '%S' '%P' '%u' '%g' '%H' '%N' '%p' '%$(PATH)' '%$(USER)'

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンから share_test 共有にアクセスする
: アクセスした時点で、root preexec パラメータにより、/usr/local/sbin/var-check スクリプトが実行され、/tmp/var.txt ファイルが生成される。

* /tmp/vat.txt の内容を参照する

<pre>
# cat /tmp/var.txt
%U : ldap02
%G : domusers
%h : sambapdc
%L : sambapdc
%m : winxppro-sp3-3
%M : ::ffff:192.168.135.130
%R : NT1
%d : 2382
%a : WinXP
%I : 192.168.135.130
%i : ::ffff:192.168.135.222
%T : 2011/08/06 23:22:40
%D : SAMBADOM
%w : \
%v : 3.5.6
%V : 4294967295
%S : share_test
%P : /var/lib/samba/shares/share_test
%u : ldap02
%g : domusers
%H : /home/SAMBADOM/ldap02
%N : sambapdc
%p :
e1 : /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
e2 : root
</pre>

最後の e1 と e2 は、おのおの PATH および USER 環境変数の値を表示させている。このように、任意の環境変数の値を Samba 変数として用いることも可能である。

==== 注意事項 ====

このスクリプトおよび設定は、あくまで Samba 変数の値を確認する方法を示すためのものであり、実環境では用いないこと。内容を確認したら、速やかに設定を基に戻し、本スクリプトの機能を無効化すること。

==== 応用 ====
Samba 変数の値を確認する方法として、他にも comment パラメータや server string パラメータを用いることも可能である。

なお、パラメータによっては、パラメータ固有の Samba 変数を持っている場合があるが、本スクリプトでは、パラメータに依存しない一般的な Samba 変数のみを扱っている。

=== アクセス権のないファイルを非表示にする ===

設定を行うことで、アクセス権のないファイルが非表示になることを確認する。

==== 関連パラメータなど ====

* [share_test] 共有
* hide unreadable パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt と normal.txt が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Hide unreadable files
hide unreadable = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt が表示されていないことを確認する

==== 応用設定 ====

hide unwriteable パラメータの動作確認、'''フォルダを作成した際の挙動の確認。'''

=== 特定のファイル名のファイルを非表示にする ===

==== 関連パラメータなど ====

* [share_test] 共有
* veto files パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の veto_files フォルダにアクセスする

* GodMode という特殊なフォルダ（Windows XPの場合は普通のフォルダ）と dummy.exe が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Prohibit to put EXE files and files with GUID
veto files = /*.exe/*.{*}/
delete veto files = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有内の veto_files フォルダにアクセスする

* GodMode と dummy.exe の両方が表示されていないことを確認する

* .EXE ファイルを Windows マシンから share_test 共有内にコピーできないことを確認する
: '''パーミッションが 755 になっているので、あらかじめ 1777 などに変更した上で確認すること。'''
: '''share_test 共有に writeable = yes の設定が抜けているので、あらかじめ設定しておくこと'''

=== ファイルアクセスの監査設定を行う ===

==== 関連パラメータなど ====

* [share_test] 共有
* vfs objects = full_audit
* full_audit:* パラメータ
* /etc/rsyslog.d/samba.conf

==== 確認手順 ====

* [share_test] 共有内の、以下の設定のコメントをはずす

# Audit
vfs objects = full_audit
full_audit:facility = local1
full_audit:success = connect disconnect
full_audit:failure = connect disconnect mkdir rmdir open close rename unlink

share_test 共有に、既に有効な vfs objects 行がある場合は、その行の末尾に full_audit を追記するか、一旦既存の vfs objects 行をコメントアウトすること。

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* /var/log/samba/log.audit に、以下のようなログが記録されていることを確認する

Aug 7 00:54:14 sambapdc smbd[2833]: ldap02|192.168.135.130|connect|ok|share_test

==== 応用 ====
full_audit:success および full_audit:failure パラメータの値をいろいろと書き換えて検証してみる。

/etc/rsyslog.d/samba.conf の内容と full_audit:facility パラメータの内容を変更して、Samba がログを出力するファシリティや出力先をいろいろ変えてみる。

=== シンボリックリンクの有効化 ===

==== 関連パラメータなど ====

* [share_test] 共有
* unix extensionsパラメータ
* wide links パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* [share_test] 共有内の、wide_links フォルダにある passwd.txt （/etc/passwdにリンク）をクリックし、ファイル内容が読み取れないことを確認する。

* [share_test] 共有内の、以下の設定のコメントをはずし、値を yes に設定する

# Prohibit to symlink outside the share (by default after Samba 3.5.0)
wide links = yes

* [global] セクション内の、以下の設定のコメントをはずす

unix extensions = no

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* [share_test] 共有内の、wide_links フォルダにある passwd.txt をクリックし、ファイル内容が読み取れることを確認する

= ファイルサービスとアクセス制御 =

== 共有のアクセス制御 ==

=== IPアドレス単位のアクセス制御 ===

==== 関連パラメータなど ====

* share_test 共有
* hosts allow パラメータ
* hosts deny パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.142 - 143

=== ユーザ、グループ単位でのアクセス制御 ===

==== 関連パラメータなど ====

* shared 共有
* valid users パラメータ
* invalid users パラメータ

==== 参照 ====

* 「[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]」P.144 - 145

=== 読み込み、書き込み単位でのアクセス制御 ===

==== 関連パラメータなど ====

* shared 共有
* read only パラメータ
* write list パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.148 - 149

=== 指定した時間帯に共有を読み取り専用にする ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.149 - 150

=== 複数人から互いに書き込み可能なファイル共有 ===

==== 関連パラメータなど ====

* shared 共有

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.154 - 155

=== 書き込み専用のファイル共有 ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」なし

=== ACL の操作 ===

==== 関連パラメータなど ====

* aclshare1 共有
* aclshare2 共有
* acl map full control パラメータ
* dos filemode パラメータ
* inherit owner パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.155 - 187

== ファイル共有機能の基本 ==

=== ファイル共有一覧画面での表示制御 ===

ファイル共有の一覧画面で、任意のファイル共有を非表示にできることを確認する。

==== 関連パラメータなど ====

* share_test 共有
* browseable パラメータ

==== 確認手順1 ====

* 1. Windows マシンに任意のユーザでログオンし、例えば「ファイル名を指定して実行」で「\\sambapdc」と入力する。
: 共有の一覧が表示され、share_test 共有も'''表示されている'''ことを確認する。

[[画像:Sambapdc4-sharelist01.png|「共有の一覧」画面]]

* 2. share_test 共有内の、以下の設定のコメント「;」をはずす

# Do not list the share list
; browseable = no

* 3. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* 4. Windows マシンに任意のユーザでログオンし、例えば「ファイル名を指定して実行」で「\\sambapdc」と入力する
: 共有の一覧が表示されるが、share_test 共有は'''表示されていない'''ことを確認する。

[[画像:Sambapdc4-sharelist02.png|「共有の一覧」画面]]

* 5. 例えば「ファイル名を指定して実行」で「\\sambapdc\share_test」と入力する
: 共有一覧では非表示となったが、UNC パスを直接指定することで、図のように share_test 共有自体にはアクセス可能であることを確認する。

[[画像:Sambapdc4-sharelist03.png|「共有の一覧」画面]]

==== 確認手順2 ====

* 確認手順1の 2. の設定の代わりに、share_test セクションのセクション名を share_test$ に変更する

* 確認手順1の 5. の操作において、「\\sambapdc\share_test$」と入力し、共有内のフォルダ一覧が表示できることを確認する

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.194

=== ユーザ、グループ単位に隠し共有にする ===

未設定

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.195

=== 共有への同時アクセス数の上限設定 ===

==== 関連パラメータなど ====

* share_test 共有
* max connections パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.198

=== ホームディレクトリの自動共有 ===

==== 関連パラメータなど ====

* homes 共有

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.199 - 201

=== ファイル属性 ===

==== 関連パラメータなど ====

* store dos attributes パラメータ

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.207

=== 指定したファイル、ディレクトリ名の表示、アクセスを禁止する ===

==== 関連パラメータなど ====

* [share_test] 共有
* veto files パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の veto_files フォルダにアクセスする

* GodMode という特殊なフォルダ（Windows XPの場合は普通のフォルダ）と
dummy.exe が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Prohibit to put EXE files and files with GUID
veto files = /*.exe/*.{*}/
delete veto files = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の veto_files フォルダにアクセスする

* GodMode と dummy.exe の両方が表示されていないことを確認する

* .EXE ファイルを Windows マシンから share_test 共有内にコピーできない
ことを確認する
: '''パーミッションが 755 になっているので、あらかじめ 1777 などに変更
した上で確認すること。'''
: '''share_test 共有に writeable = yes の設定が抜けているので、あらか
じめ設定しておくこと'''

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.216 - 217

=== アクセスできないファイルの表示、読み取りを禁止する ===

設定を行うことで、アクセス権のないファイルが非表示になることを確認する。

==== 関連パラメータなど ====

* [share_test] 共有
* hide unreadable パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt と normal.txt が表示されていることを確認する

* [share_test] 共有内の、以下の設定のコメントをはずす

# Hide unreadable files
hide unreadable = yes

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有内の hide_unreadable フォルダにアクセスする

* secure.txt が表示されていないことを確認する

==== 応用設定 ====

hide unwriteable パラメータの動作確認、'''フォルダを作成した際の挙動の確認。'''

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.217 - 218

=== シンボリックリンクの追跡 ===

==== 関連パラメータなど ====

* [share_test] 共有
a* unix extensions パラメータ
* wide links パラメータ

==== 確認手順 ====

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、
share_test 共有にアクセスする

* [share_test] 共有内の、wide_links フォルダにある passwd.txt
（/etc/passwdにリンク）をクリックし、ファイル内容が読み取れないこと
を確認する。

* [share_test] 共有内の、以下の設定のコメントをはずし、値を yes に設定
する

# Prohibit to symlink outside the share (by default after Samba
3.5.0)
wide links = yes

* [global] セクション内の、以下の設定のコメントをはずす

unix extensions = no

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コ
マンドなどで、変更を反映させる

* [share_test] 共有内の、wide_links フォルダにある passwd.txt をクリッ
クし、ファイル内容が読み取れることを確認する

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.221 - 223

=== Windows Vista からアクセスした際のパフォーマンスの向上 ===

==== 関連パラメータなど ====

* share_test 共有
* vfs objects = readahead 行

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.224 - 225

=== Windows マシンからのファイル共有管理 ===

==== 関連パラメータなど ====

* add share comand パラメータ
* change share comand パラメータ
* delete share comand パラメータ
* mgrshare スクリプト

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.227 - 236

== 高度なファイル共有機能 ==

=== ごみ箱機能 ===

=== ファイルアクセスの監査 ===

==== 関連パラメータなど ====

* share_test 共有
* vfs objects = full_audit 行
* full_audit:* パラメータ
* /etc/rsyslog.d/samba.conf ファイル

==== 確認手順 ====

* share_test 共有内の、以下の設定のコメントをはずす

# Audit
vfs objects = full_audit
full_audit:facility = local1
full_audit:success = connect disconnect
full_audit:failure = connect disconnect mkdir rmdir open close rename unlink

share_test 共有に、既に有効な vfs objects 行がある場合は、その行の末尾に full_audit を追記するか、一旦既存の vfs objects 行をコメントアウトすること。

* Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる

* Windowsマシンに一般のユーザ（ldap01ユーザなど）でログオンし、share_test 共有にアクセスする

* /var/log/samba/log.audit に、以下のようなログが記録されていることを確認する

Aug 7 00:54:14 sambapdc smbd[2833]: ldap02|192.168.135.130|connect|ok|share_test

==== 応用 ====
full_audit:success および full_audit:failure パラメータの値をいろいろと書き換えて、ログに記録する項目を変更して確認してみる。

/etc/rsyslog.d/samba.conf の内容と full_audit:facility パラメータの内容を変更して、Samba がログを出力するファシリティや出力先をいろいろ変えてみる。

==== 参照 ====

* 「[[http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて]]」P.259 - 261

= [[Sambaドメイン]] =

Sambaドメイン

2011-08-07T17:13:14Z

Monyo: /* 補足 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。
; 複雑なパスワードの強制を有効化する
:
:* 1. [global] セクション内の、以下の設定のコメントをはずす

# forcibly apply complex password
; check password script = /usr/local/sbin/crackcheck -c -s
:* 2. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる
; 複雑なパスワードの強制の確認
: 再度パスワードを変更する。たとえば Windows マシンからアルファベット英小文字のみのパスワードを指定しようとしても、パスワードは要求された複雑さを満たさないというエラーとなり、変更できない。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。
* 管理ユーザによるパスワード変更は、本制限の対象外となる（NTドメインと同様）。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

Sambaドメイン

2011-08-07T17:12:32Z

Monyo: /* パスワードの変更と複雑なパスワードの強制 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。
; 複雑なパスワードの強制を有効化する
:
:* 1. [global] セクション内の、以下の設定のコメントをはずす

# forcibly apply complex password
; check password script = /usr/local/sbin/crackcheck -c -s
:* 2. Samba サーバを再起動する、もしくは smbcontrol smbd reload-config コマンドなどで、変更を反映させる
; 複雑なパスワードの強制の確認
: 再度パスワードを変更する。たとえば Windows マシンからアルファベット英小文字のみのパスワードを指定しようとしても、パスワードは要求された複雑さを満たさないというエラーとなり、変更できない。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

Sambaドメイン

2011-08-07T17:05:10Z

Monyo: /* 信頼関係 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* 各種コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。

Sambaドメイン

2011-08-07T17:02:45Z

Monyo: /* 確認手順 */

== ドメインの管理 ==

=== Windowsマシンのドメイン参加 ===

各種 Windows プラットフォームのマシンが Samba ドメインに参加できることを確認する。

Windows 7 Professional についても、レジストリを変更することで、Samba ドメインに参加できることを確認する。

==== 関連パラメータなど ====

* workgroup = SAMBADOM 行
* domain logons = yes 行
* LDAP関連パラメータほか

==== 確認手順 ====

; 1. レジストリの編集（Windows 7 / Windows Server 2008 R2以降のみ）
: ドメインに参加させるWindowsマシンがWindows 7もしくはWindows Server 2008 R2以降の場合は、[[Windows 7からSambaドメインにログオンできない]] に従い、レジストリを変更する。
: ドメインに参加させるWindowsマシンがWindows Server 2008の場合は、'''未確認'''
; 2. NetBIOS名の名前解決の確認
: SambaサーバとWindowsマシンが同一IPサブネットに存在していない場合は、WINSやLMHOSTSファイルを設定してNetBIOS名の名前解決を適切に行う。
; 3. Samba ドメインへの参加
: NTドメインへの参加と同様にして、Sambaドメインに参加する。ドメイン参加の際のユーザ名とパスワードとして、administratorとsambaを用いる。
; 4. ドメインのユーザとしてログオン
: 再起動後、以下のユーザでSAMBADOMドメインにログオン可能なことを確認する
:;Administrator
:: パスワード samba
:;ldap01
:: パスワードldap01
: '''注意''': ldap01ユーザは一般ユーザのため、サーバOSの場合は、事前に該当ユーザにローカルログオン権限を付与しておく必要がある。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.557 - 558

=== NTドメインの管理ツールのインストールと実行 ===

Windows マシンから NTドメインの管理ツールである「ドメインユーザーマネージャ」および「サーバーマネージャ」でアクセスできることを確認する。

==== 関連パラメータなど ====

* 特になし

==== 確認手順 ====

; 1. NTドメインの管理ツールの入手
: [http://support.microsoft.com/kb/173673/ja Windows NT Workstation 4.0 用の Windows NT サーバーツール] より、あらかじめ管理ツールのアーカイブファイル srvtools.exe を入手の上、適宜展開する
: MS-DOS 形式の自己展開ファイルとなっているが、ファイルの拡張子を zip に変更することで、普通の zip 形式の圧縮ファイルとして扱うことも可能
; 2. 管理ユーザとしてログオン
: ドメインに参加している Windows マシンに Administrator などの管理ユーザとしてログオンする。
: ドメイン外のマシンから、\\sambapdc\IPC$ 共有に SAMBADOM\Administrator としてアクセスすることで、要件を満たすことなども可能。
: '''管理ツールは Windows XP もしくは Windows Server 2003 R2 以前のプラットフォームでしか起動しない'''ので、当該プラットフォームの Windows マシンにログオンする必要がある。
; 3. ドメインユーザーマネージャの起動
: 展開した管理ツール内にある usrmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で usrmgr.exe を起動するなどの方法を取ることも可能
; 4. サーバーマネージャの起動
: 展開した管理ツール内にある srvmgr.exe を起動する。
: 一般ユーザとしてログオンした上で、「別のユーザーとして実行」メニューから SAMBADOM\Administrator 権限で srvmgr.exe を起動するなどの方法を取ることも可能

==== 補足 ====

* フォントが見づらい場合は、各ツールの「Options」－「Fonts」メニューから「ＭＳゴシック」などの非プロポーショナルフォントに変更する。
* Windows NT Workstation 4.0 用の Windows NT サーバーツールへのリンクファイルが shared 共有直下にあるので、これを用いてアクセスすることもできる。'''要リンク設置'''

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.559 - 560

=== アカウントポリシー ===

==== 確認手順 ====

* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.601 - 611

=== 信頼関係 ===

==== 確認手順 ====

* Samba ドメイン検証環境では検証できない
* 基本的に NT ドメインと同様の手順で確認可能
* pdbedit コマンドにより、Samba サーバ上で設定を行うことも可能

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.621 - 632

== ユーザの管理 ==

=== ユーザの追加 ===

ユーザの追加方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
:
:* 1. usrmgr.exe のメニューで「User」－「New User」とたどり、表示された画面で Username 欄に任意のユーザ名を指定する。
::必要に応じて、適宜 Password欄や他の欄も設定する。なお、Username 欄以外をまったく変更しなかった場合、ユーザのパスワードは空となり、初回ログオン時にパスワード変更を要求される。
:* 2. 「Add」を押す。
:* 3. 「Close」を押す。
; 追加されたユーザの確認
: 改めて usrmgr.exe の画面を確認し、追加したユーザ名のユーザがユーザ一覧に表示されていることを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから追加しようとしているユーザ名のユーザが存在していないことを確認する。
; ユーザ追加
: pdbedit -a ''username'' を実行する。
: '''ldapsam:editposix 環境では、事前に UNIX ユーザを LDAP 上に作成しておく必要はない。'''
; 追加されたユーザの確認
: 改めて pdbedit -L コマンドを実行し、追加したユーザ名のユーザが表示されていることを確認する。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== ユーザの削除 ===

ユーザの削除方法を確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* ldap delete dn パラメータ

==== 確認手順1(GUI) ====
; 現在のユーザ一覧の確認
: usrmgr.exe を起動し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
:
:* 1. usrmgr.exe のユーザ一覧画面で削除したいユーザをフォーカスし、「DEL」キーを押下する
:* 2. 警告画面で「OK」を押す。最終確認画面でも「はい」を押す。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて usrmgr.exe の画面を確認し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 確認手順2(CUI) ====
; 現在のユーザ一覧の確認
: pdbedit -L コマンドを実行し、これから削除しようとしているユーザ名のユーザが存在していることを確認する。
; ユーザ削除
: pdbedit -x ''username'' もしくは smbpasswd -x ''username'' を実行する。
: ldap delete dn パラメータにより、LDAP 上に格納されている、Samba ユーザに対応する UNIX ユーザの DN も削除される。
; ユーザ削除の確認
: 改めて pdbedit -L コマンドを実行し、削除したユーザ名のユーザがユーザ一覧に表示されていないことを確認する。

==== 補足 ====

* CUI で作成したユーザを GUI で削除したり、その逆を行ったりしても構わない。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.569

=== パスワードの変更と複雑なパスワードの強制 ===

一般ユーザがパスワードを変更する際に、複雑なパスワードを強制する機構について確認する。

==== 関連パラメータなど ====

* LDAP関連パラメータ
* check password script パラメータ

==== 確認手順 ====
; パスワードの変更
: 以下のいずれかの方法でパスワードを変更する
:* 1. 「ようこそ画面」を用いない設定の Windows マシンにログオン後、Ctrl + Alt + Del を押下すると表示される画面から、「パスワードの変更」をクリックし、パスワードの変更を行う
:: 現在ログオンしているユーザ以外の任意のユーザのパスワードを変更できる。
:: このほか、ADSI による変更など、Windows で可能な様々な方法を用いたパスワード変更が可能。
:* 2. Samba サーバに一般ユーザとしてログオンし、smbpasswd コマンドを用いて、自身のパスワードを変更する
:: オプションを指定することで、Windows マシンを含む任意のサーバの任意のユーザのパスワード変更が可能。
; パスワード変更の確認
: パスワードが変更されたユーザでログオン中の場合は一旦ログオフし、再度該当のユーザとしてログオンする。
: 変更前のパスワードではログオンできず、変更後のパスワードでログオンできることを確認する。

==== 補足 ====

* 最小パスワード長や、パスワードヒストリ等については、アカウントポリシーにより制御される。

==== 参照 ====
* [http://www.seshop.com/product/detail/13141/| 改訂版 Sambaのすべて] P.114 - 118

= ファイルサーバ編 =

=== ユーザ名のマッピング ===

任意のユーザ名と Samba ユーザとのマッピングができることを確認する。

==== 関連パラメータなど ====

* username map = /etc/samba/smbusers
* /etc/samba/smbusers ファイル

==== 確認手順 ====

* Windows マシンから、以下のユーザ名でログオンする（パスワードはldap01）
** LDAP01 user
** 00000001
** LDAPユーザー 01

* いずれの場合も ldap01 としてログオンしていることを確認する
: たとえば、コマンドプロンプトから net use コマンドを実行すると、ホームディレクトリが \\sambapdc\ldap01 になっていることがわかる。

==== 応用 ====

/etc/samba/smbusers ファイルを編集することで、上記以外のマッピングも行えることを確認する。

=== ホームディレクトリの設定および自動作成 ===

ドメインの個々のユーザに対して、ホームディレクトリの設定（マウント先の共有、マウントするドライブ）が設定できることを確認する。

併せて新規ユーザーのログオン時にホームディレクトリが自動的に作成されることを確認する。

==== 関連パラメータなど ====

* logon home =
* (logon drive)
* root preexec = /usr/local/sbin/createhomedir %D %S
:本来であれば、上記設定を行わずとも、PAM の設定によりホームディレクトリが自動作成されるはずだが、今回の環境で検証した限り、自動作成がうまくいかなかったため、暫定的に root preexec パラメータを用いて自動作成を行っている。
* [homes] 共有
* (template homedir)

==== 確認手順 ====

* たとえば以下のようにして、 testuser という名前で、新規ユーザを作成する
# pdbedit -a testuser
GUIから作成しても構わない。

* たとえば以下のようにして、ホームディレクトリを /home/SAMBADOM/testuser に設定し、H: ドライブにマウントするように設定する
# pdbedit -h \\\\sambapdc\\testuser -D h: testuser
GUIから設定しても構わない。なお、Samba サーバ上では、[homes] 共有により、testuser でログオンすると /home/SAMBADOM/testuser が \\sambapdc\testuser という名前で共有される。

* たとえば以下のようにして、 testuser ディレクトリが存在しないことを確認する
root@sambapdc:/home/SAMBADOM# ls -l
total 8
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02

* Windows マシンから testuser でログオンする

* 再び ls -l /home/SAMBADOM を実行し、以下のように testuser ディレクトリが作成されていることを確認する

root@sambapdc:/home/SAMBADOM# ls -l
total 12
drwx------ 2 ldap01 domusers 4096 Jul 8 21:21 ldap01
drwx------ 2 ldap02 domusers 4096 Jul 8 21:24 ldap02
drwx------ 2 testuser domusers 4096 Aug 6 19:31 testuser

* Windows マシン上でコマンドプロンプトを起動し、先ほどホームディレクトリのマウント先として指定したドライブがカレントドライブとなっていることを確認する。

* net use コマンドを実行し、カレントドライブがホームディレクトリとして指定した共有になっていることを確認する。

* たとえば以下のようにして、何かファイルを書き込み、その内容が Samba サーバ上からも参照できることを確認する。
H:\> echo test1 > test1.txt

# cat ~testuser/test1.txt
test1

==== 応用 ====

* logon home パラメータと logon drive パラメータにより、新規作成するユーザに設定するホームディレクトリの共有パスおよびマウント先のドライブ名を指定することができる。Samba PDC では、logon home ドライブを明示的に空文字に指定しているため、デフォルトでは、ホームディレクトリのマウントは行われない。