28.5 ログインサーバとしてのSamba

Windowsクライアントが大部分を占めるネットワークでは、ユーザが有効なアカウントとパスワードを持つ場合のみ登録できることが求められるのが普通です。Windowsベースのネットワークでは、このタスクはPDC (プライマリドメインコントローラ)として設定されているWindows NTサーバによって処理されますが、Sambaサーバを使用しても処理できます。例 28.3. 「smb.confファイルのグローバルセクション」に示すように、smb.conf[global]セクションにエントリを追加する必要があります。

例 28.3 smb.confファイルのグローバルセクション

       [global]
       workgroup = TUX-NET
       domain logons = Yes
       domain master = Yes

暗号化されたパスワードが検証に使用されている場合は(強固に保守されたMS Windows 9xインストール、MS Windows NT 4.0(サービスパック3以降)、およびそれ以降にリリースされた製品でのデフォルト設定)、Sambaサーバでこれを処理できる必要があります。これには、[global]セクションでエントリencrypt passwords = yesを指定します(Sambaバージョン3ではデフォルト)。また、ユーザアカウントとパスワードをWindowsに準拠した暗号化形式で作成する必要があります。そのためにはコマンドsmbpasswd -a nameを実行します。さらに次のコマンドを使用して、Windows NTドメイン概念で必要になるコンピュータのドメインアカウントを作成します。

例 28.4 マシンアカウントのセットアップ

       useradd hostname\$
       smbpasswd -a -m hostname

useraddコマンドを使用すると、ドル記号が追加されます。コマンドsmbpasswdを指定すると、パラメータ-mを使用したときにドル記号が自動的に挿入されます。コメント付きの設定例(/usr/share/doc/packages/Samba/examples/smb.conf.SuSE)には、この作業を自動化するための設定が含まれています。

例 28.5 マシンアカウントの自動セットアップ


       add machine script = /usr/sbin/useradd -g nogroup -c "NT Machine Account" \
       -s /bin/false %m\$
     

Sambaがこのスクリプトを確実に正しく実行できるようにするため、必要な管理者許可を持つSambaユーザを選択します。これには、1人のユーザを選択してntadminグループに追加します。これにより、このLinuxグループに属するすべてのユーザに対し、次のコマンドによってDomain Adminステータスを割り当てることができます。

     net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin
   

この詳細については、/usr/share/doc/packages/samba/Samba-HOWTO-Collection.pdfの『Samba HOWTO Collection』の第12章を参照してください。