スライド 1 - PDF 無料ダウンロード

講師紹介 Linux Network の基礎から現場経験を活かしたトラブルシュートまで幅広い講義を行います! [ プロフィール ] LPIC レベル 3 情報処理技術者資格などを保有し現場ではネットワーク構築海外メーカー国内一次代理店でのテクニカルサポート業務を経験現在は人事管理の傍ら講師として IT 未経験から学んできた経験を交えた講義を行っている他にも LPI-Japan 認定トレーナーオープンソース技術開発研究所日本 Nginx ユーザー会やいろんなイベントに出没中技術的な事を中心にブログ (http://opensourcetech.hatenablog.jp/) も書いてます [ 保有資格 ] LPIC レベル 3 Core(301) Mixed Environment(302) Security(303) Virtualization & High Availability(304) HTML5 プロフェッショナルレベル 1 ACCEL(Apache CloudStack 技術者認定資格 by LPI-JAPAN) 認定第 1 号!! 情報セキュリティスペシャリストネットワークスペシャリスト応用情報処理技術者 / 基本情報処理技術者情報セキュリティマネジメント MCP70-640 Microfoft Windows Server 2008 Active Directory ITIL Foundation CCNA MOS(Word2010/Excel2010) LPI-Japan 2017. All rights reserved. 2

講師紹介 Linux 開発者の Linus Torvalds さんと私 ( ゼウスラーニングパワー Carl 先生も一緒 ) in LinuxConJapan nginx 開発者の Igor Sysoev さんと私 in 日本 Nginx ユーザー会鯨井貴博 BLOG http://opensourcetech.hatenablog.jp/ お気軽に連絡下さい!! LPI-Japan 2017. All rights reserved. 3

主題 390: OpenLDAP の設定 390.1 OpenLDAPのレプリケーション ( 重要度 : 3) 390.2 ディレクトリの保護 ( 重要度 : 3) 390.3 OpenLDAPサーバのパフォーマンスチューニング ( 重要度 : 2) 主題 391: OpenLDAP の認証バックエンドとしての利用 391.1 PAMおよびNSSとLDAPの統合 ( 重要度 : 2) 391.2 アクティブティレクトリおよびKerberosとLDAPの統合 ( 重要度 : 2) 主題 392: Samba の基礎 392.1 Sambaの概念とアーキテクチャ ( 重要度 : 2) 392.2 Sambaを設定する ( 重要度 : 4) 392.3 Sambaの保守 ( 重要度 : 2) 392.4 Sambaのトラブルシュート ( 重要度 : 2) 392.5 国際化 ( 重要度 : 1) 主題 393: Samba の共有の設定 393.1 ファイルサービス ( 重要度 : 3) 393.2 Linuxファイルシステムと共有 / サービスのパーミッション ( 重要度 : 3) 393.3 プリントサービス ( 重要度 : 2) LPI-Japan 2017. All rights reserved. 8

主題 394: Samba のユーザーとグループの管理 394.1 ユーザアカウントとグループアカウントの管理 ( 重要度 : 4) 394.2 認証と許可およびWinbind ( 重要度 : 5) 主題 395: Samba のドメイン統合 395.1 SambaのPDCとBDC( 重要度 : 3) 395.2 Samba4のAD 互換ドメインコントローラ ( 重要度 : 3) 395.3 Sambaをドメインメンバーサーバとして設定する ( 重要度 : 3) 主題 396: Samba のネームサービス 396.1 NetBIOSとWINS( 重要度 : 3) 396.2 アクティブディレクトリの名前解決 ( 重要度 : 2) 主題 397: Linux および WIndows クライアントの操作 397.1 CIFS 連携 ( 重要度 : 3) 397.2 Windowsクライアントの操作 ( 重要度 : 2) LPI-Japan 2017. All rights reserved. 9

OpenLDAP とは OpenLDAP Foundation が運営する OpenLDAP プロジェクトにより開発されている LDAP サーバーでありディレクトリサービスを利用可能とします https://www.openldap.org/ LDAP とは Lightweight Directory Access Protocol の略でディレクトリサービスに接続するためのプロトコルです TCP389(ldap) と TCP636(ldaps) を使用します LPI-Japan 2017. All rights reserved. 14

以下の DIT において usera は dc=jp,dc=co.dc=example,ou=sales,ou=sectiona,cn=usera と表しそれを DN(Distinguished Name 識別名 ) と呼ぶ dc: ドメイン構成要素 (domain component) ou: 組織単位 (organizational unit) cn: 共通名 (common name) LPI-Japan 2017. All rights reserved. 18

LDAP スキーマ LDAP において利用するオブジェクトクラスとその属性を定義したものである標準的な LDAP スキーマはあらかじめスキーマファイルとして用意されているものがあるファイル名説明 core.schema コアスキーマ ( 必須 ) cosine.schema CosineとInternet X.500スキーマ (RFC1274) inetorgperson.schema InetOrgPersonスキーマ (RFC2798) corba.schema Corbaスキーマ (RCF2714) nis.schema Nisスキーマ (RFC2307) java.schema Javaスキーマ (RFC2713) openldap.schema OpenLDAPプロジャクトスキーマ misc.schema 実験的なスキーマ ppolicy.schema パスワードポリシースキーマ LPI-Japan 2017. All rights reserved. 19

オブジェクトクラスの定義 (core.schema からの抜粋 ) 4 3 2 1 5 番号 1 2 3 4 5 説明 OID(Object Identifier) と名前オブジェクトクラスの説明オブジェクトクラスの形式 (ABSTRACT 抽象型 /STRUCTURAL 構造型 /AUXILIARY 補助型 ) 必須となる属性オプションである属性 LPI-Japan 2017. All rights reserved. 21

LDIF LPIC 300 技術解説セミナー LDIF とは LDAP Data Interchange Format の略で RFC2849 によって定められた LDAP 用のフォーマットです RFC2849 については以下を参照 https://www.ietf.org/rfc/rfc2849.txt dn: cn=usera,ou=sales,ou=sectiona,dc=example,dc=co,dc=jp 1 cn: usera objectclass: posixaccount homedirectory: /home/usera 2 loginshell: /bin/bash 番号説明 1 dn(distinguished Name 識別名 ) 2 属性記述子 : 属性値 LPI-Japan 2017. All rights reserved. 23

よく利用される属性属性説明 c country name( 国名 ) cn common name( 一般名 ) o organization name( 組織名 ) ou organization unit( 組織単位 ) dc domain component( ドメイン構成要素 ) mail mail(e-mailアドレス ) LPI-Japan 2017. All rights reserved. 24

ldap で使用するコマンド ldapsearch ldapsearch は DIT からデータを検索するオプション効果 -x 簡易認証を使用 (SASL を使用しない ) -f LDIF が記載されたファイルを指定 -D バインドに使用する dn を指定 -W 簡易認証のプロンプトを出力 -b ベース dn を指定 -h 接続先の LDAP サーバを指定 -H LDAP サーバの URI を指定使用例 ldapsearch x D cn=manager,dc=my-domain,dc=com W b dc=my-domain,dc=com LPI-Japan 2017. All rights reserved. 25

ldapmodify ldapmodify は DIT に登録されたエントリを変更する使用例 ldapmodify x D cn=manager,dc=my-domain,dc=com W f test.ldif ldapdelete ldapdelete は DIT からデータを削除する使用例 ldapdelete x D cn=manager,dc=my-domain,dc=com W cn=kujirai,ou=teacher,dc=mydomain,dc=com ldapadd ldapadd は DIT へデータを追加する使用例 ldapadd x D cn=manager,dc=my-domain,dc=com W f test.ldif LPI-Japan 2017. All rights reserved. 26

3 設定 (/etc/opanldap/slapd.d) /etc/openldap/slapd.d/cn=config/olcdatabase={2}hdb.ldif を以下のように編集する olcsuffix: dc=my-domain,dc=com( ドメイン ) olcrootdn: cn=manager,dc=my-domain,dc=com( 管理者名 ) olcrootpw: secret( 管理者パスワード ) 各自必要に合わせて変更下さい 2009 年 9 月 22 日にリリースされたバージョン 2.4.18-2 より slapd.conf へ設定を記述する方法から /etc/openldap/slapd.d ディレクトリ内へ LDIF 形式で設定を記述する方式へ変更されています LPI-Japan 2017. All rights reserved. 30

4 起動 systemctl start slapd.service (systemctl start slapd でも OK) systemctl status slapd.service( 起動確認 ) systemctl is-enabled slapd.service( 自動起動設定の確認 ) systemctl enable slapd.service( 自動起動設定 ) LPI-Japan 2017. All rights reserved. 31

5 firewalld/selinux の無効化 systemctl status firewalld systemctl stop firewalld systemctl is-enabled firewalld systemctl disable firewalld( 自動起動設定の解除 ) setenforce 0 /etc/sysconfig/selinux を以下のように編集する SELINUX=permissive LPI-Japan 2017. All rights reserved. 32

トラブルシュート上記は ldapadd や ldapsearch などコマンドを実行時に管理者パスワードを求められ認証失敗した場合に出力されます上記が出力された場合 /etc/openldap/slapd.d/cn=config/olcdatabase={2}hdb.ldif に設定した olcrootpw の確認等を行って下さいその他エラーメッセージについては Google など検索サイトにて openldap エラーメッセージで検索するといいでしょう LPI-Japan 2017. All rights reserved. 40

OpenLDAP のレプリケーション設定 ( コンシューマ ) ldapadd Y EXTERNAL H ldapi:/// f syncprov.ldif OpenLDAP のレプリケーション設定 ( プロバイダ及びコンシューマ ) 設定の再読み込みを行います systemctl reload slapd.service LPI-Japan 2017. All rights reserved. 45

Apache の認証バックエンドとして利用 Apache の設定 (httpd.conf) モジュール読み込み設定に以下を追加 LoadModule authnz_ldap_module modules/mod_authnz_ldap.so LoadModule ldap_module modules/mod_ldap.so 公開ディレクトリ設定に以下を追加 AuthName LDAP User Authentication AuthType Basic AuthBasicProvider ldap AuthLDAPbindDN cn=manager,dc=my-domain,dc=com AuthLDAPURL ldap://192.168.1.10/ou=system,dc=my-domain,dc=com?cn?sub Require ldap-attribute objectclass=person LPI-Japan 2017. All rights reserved. 47

Samba とは LPIC 300 技術解説セミナー 1992 年オーストラリアの学生だった Andrew Tridgell 氏により開発されたソフトウェアファイル共有サービスプリントサーバ機能などを実現するソフトウェアである Windows ネットワーク上のファイル共有を実現する SMB プロトコルや SMB を拡張しその他 OS やアプリケーションでも利用できるようにした CIFS プロトコルを使用する Samba で使用するポート UDP137(NetBIOS ネームサービス名前登録 ) UDP138(NetBIOS データグラムサービスブラウジング ) TCP139(NetBIOS over TCP ファイル共有 / プリントサービス ) TCP445(Direct Hosting SMB ファイル共有 / プリントサービス ) LPI-Japan 2017. All rights reserved. 49

SMB プロトコルのバージョンバージョン実装されているOS SMB1.0 WIndows 2000 Server WIndows XP Windows 2003 Server SMB2.0 Windows 2008 Server WIndows Vista SMB2.1 Windows 2008 Server R2 Windows 7 SMB3.0 Windows 2012 Server Windows 8 SMB3.02 Windwos 2012 Server R2 Windows 8.1 SMB3.11 Windows 2016 Windows 10 LPI-Japan 2017. All rights reserved. 50

/etc/samba/smb.conf セクション説明 [global] Samba 全体に関する設定を記述するセクション [homes] ユーザーのホームディレクトリに関する設定を記述するセクション [printers] プリントサービスに関する設定を記述するセクション [ その他共有 ] その他名前を付けた共有を作成するセクション [ 任意名 $] 隠し共有を作成するセクションまた smb.conf の設定では多くのパラメータが存在する https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html LPI-Japan 2017. All rights reserved. 55

4 起動 LPIC 300 技術解説セミナー service nmb start service smb start service nmb status service smb status chkconfig nmb on chkconfig smb on chkconfig --list grep nmb chkconfig --list grep smb LPI-Japan 2017. All rights reserved. 58

Samba3 と Samba4 の比較 Samba3 Samba4 ファイルサーバ機能ファイルサーバ機能プリントサーバ機能プリントサーバ機能ドメインコントローラ機能 (NTドメイン) ドメインコントローラ機能 (ADドメイン) 名前解決 (NetBIOS) 名前解決 (NetBIOS) グループポリシー管理 RSAT(Remote Server Administration Tool) 対応 LPI-Japan 2017. All rights reserved. 63

NT ドメインとは Windows NT などを基盤としたネットワーク NetBIOS で名前解決 PDC( プライマリドメインコントローラ ) でユーザ情報等の登録等を実施 BDC( バックアップドメインコントローラ ) が PDC のバックアップを保持 PDC の障害時には BDC を PDC に昇格させる必要がある NT ドメイン BDC ( 参照のみ ) PDC ( 更新 & 参照 ) BDC ( 参照のみ ) LPI-Japan 2017. All rights reserved. 64

kerberos LPIC 300 技術解説セミナー 1 度の認証でネットワーク内のサーバリソースを利用可能にする SSO( シングルサインオン ) を可能にする仕組みクライアント 1 認証要求 2 チケット発行 3 アクセス要求 ( チケット ) 4 4アクセス許可 ( チケット有効 ) 3 メインコントローラサーバー 1 サーバー 2 LPI-Japan 2017. All rights reserved. 66

2 依存するパッケージのインストール yum install gcc libacl-devel libblkid-devel gnutls-devel python-devel pkgconfig krb5-workstation zlib-devel libaio-devel policycoreutils-python libsemanage-python setools-libs-python setoolslibs popt-devel libpcap-devel sqlite-devel libidn-devel libxml2-devel libsepol-devel keyutils-libsdevel cyrus-sasl-devel bind-utils openldap-devel その他使用する Samba4 のバージョンや環境によって必要なパッケージがあれば追加する Samba4 ソースパッケージインストール時のログからも必要パッケージを判断する必要がある LPI-Japan 2017. All rights reserved. 69

3Samba4 のインストール ( ソースパッケージ ) ソースパッケージのダウンロード wget http://ftp.samba.org/pub/samba/samba-latest.tar.gz 解凍 tar zxvf samba-latest.tar.gz 環境調査./configure 不足するパッケージがあれば追加インストールの事コンパイル make インストール make install LPI-Japan 2017. All rights reserved. 70

5NTP サーバの設定 kerberos が発行するチケットでは有効期間が有り端末間の時刻情報を統一する為に ntp サーバを設定します yum install ntpd vi /etc/ntp.conf server ntp1.jst.mfeed.ad.jp server ntp2.jst.mfeed.ad.jp server ntp3.jst.mfeed.ad.jp service ntpd start chkconfig ntpd on LPI-Japan 2017. All rights reserved. 72

samba-tool によるユーザー登録 /usr/local/samba/bin/samba-tool user add kujirai パスワード samba-tool によるユーザー削除 /usr/local/samba/bin/samba-tool user delete kujirai samba-tool によるユーザー無効化 /usr/local/samba/bin/samba-tool user disable kujirai samba-tool によるユーザー有効化 /usr/local/samba/bin/samba-tool user enable kujirai samba-tool によるユーザーパスワード変更 ( 管理者の場合 ) /usr/local/samba/bin/samba-tool user setpassword newpassword= パスワード kujirai Windows クライアントに RSAT をインストールしても同様のことは実施出来ます LPI-Japan 2017. All rights reserved. 78

RSAT(Remote Server Administrator Tool) 以下から RSAT をインストールしてコントロールパネルより機能を有効化などする必要がある Windows7 向けの RSAT ダウンロード URL https://www.microsoft.com/ja-jp/download/details.aspx?id=7887 Windows10 向けの RSAT ダウンロード URL https://www.microsoft.com/ja-jp/download/details.aspx?id=45520 LPI-Japan 2017. All rights reserved. 83

問題 1 OpenLDAP のインデックスのオプションの説明として適切なものを選択してください 1. pres は近似値の検索のインデックスを作成するオプションである 2. sub は文字列の部分一致検索のインデックスを作成するオプションである 3. eq は値の存在を検索する場合のインデックスを作成するオプションである 4. approx は値の完全一致検索のインデックスを作成するオプションである LPI-Japan 2017. All rights reserved. 87

問題 2 OpenLDAP のレプリケーションの説明として間違っているものを選びなさい 1. コンシューマーが多数ある場合レプリカハブを用意することで負荷を低減できる 2. スレーブサーバがマスターサーバに接続して差分データを取得する 3. マルチマスターレプリケーションではデータの整合性が取れなくなる可能性がある 4. refreshandpersist を設定すると複製したデータが永続化される LPI-Japan 2017. All rights reserved. 88

問題 3 Samba に関する説明で正しくないものを選びなさい 1. Samba3 から DNS/LDAP の機能を包括するようになり ActiveDirectory の代替となることができる 2. smbd はファイル共有印刷サービスを提供するデーモンである 3. winbind を使用することで Windows と Linux のログインを統合することができる 4. nmbd は SMB/CIFS クライアントのネームサービスリクエスト要求に応答することが出来る LPI-Japan 2017. All rights reserved. 89

問題 5 LDAP と Active Directory の統合についての説明で間違っているものを選びなさい 1. Active Directory の Kerberos 認証を使って Linux を認証できる 2. Kerberos 認証はシングルサインオンを実現する認証の仕組みである 3. シングルサインオンは 1 回の認証で複数サービスの認証が行える 4. Linux は Active Directory のドメインには参加できない LPI-Japan 2017. All rights reserved. 91

問題 6 Windows クライアントについての解説で間違っているものを選びなさい 1. ネットワークを開くと Windows ネットワークのブラウジングが行われる 2. net view コマンドで Windows ネットワーク上のすべてのコンピューターをブラウジングできる 3. 自分の参加しているドメインまたはワークグループを確認するには net config workstation コマンドを実行する 4. Windows クライアントからファイル共有にアクセスするとデフォルトでログオン認証に使用したユーザ名とパスワードが認証に利用される LPI-Japan 2017. All rights reserved. 92

問題 7 OpenLDAP のレプリケーションの説明として間違っているものを選びなさい 1. マスタースレーブ方式ではマスターへの変更がスレーブに適用される 2. マスタースレーブ方式ではスレーブに対する更新要求はエラーになる 3. マルチマスター方式では一方への更新が他方に反映される 4. マルチマスター方式では処理性能に合わせて負荷が自動的に分散される LPI-Japan 2017. All rights reserved. 93

問題 8 smb.conf についての解説で間違っているものを選びなさい 1. smb.conf には全体設定のほかファイルプリンタの共有を記述する 2. Samba 全体の設定はすべて [global] セクションに設定する 3. プリンタ共有は [printers] またはプリンタ名のセクションに設定する 4. ファイル共有はすべて [shares] セクションに設定する a LPI-Japan 2017. All rights reserved. 94

問題 9 Samba の AD ドメイン参加についての解説で間違っているものを選びなさい 1. Samba4 のみ AD ドメインに参加させることができる 2. クライアントはアクティブディレクトリで認証を行う 3. Samba へのアクセス認証は Kerberos 認証を利用する 4. AD ドメインへの参加には net コマンドを利用する LPI-Japan 2017. All rights reserved. 95

問題 10 Samba のプリンタ共有についての解説で間違っているものを選びなさい 1. Samba は Linux で設定されたプリンタを自動的にプリンタ共有として Windows クライアントに提供することができる 2. Samba のプリンタ共有を利用するには Windows クライアントにプリンタドライバをインスト - ルする必要がある 3. Samba のプリンタ共有を利用するには Linux にプリンタドライバをインスト - ルする必要がある 4. Samba は Windows クライアントのプリンタドライバを自動でインストールさせることができる LPI-Japan 2017. All rights reserved. 96