AWSのWinbind認証+RIDでWindowsとLinuxにユーザを作成するサンプルです。
目次
サンプル | 目的 |
SIDとRIDとは | |
sambaの設定ファイルを修正する | |
ユーザを作成して確認する |
目的
- ADでユーザ作成し、Linuxでそのユーザが作成されます。
- RIDを使用してADに振られた値がLinuxでも使用されるようにします。
- AWS Winbind認証でWinとLinuxにユーザを作成の設定は完了している前提です。
AWS sambaでWindowsとLinuxのファイル共有をする
SIDとRIDとは
SIDは、Windowsでユーザやグループ等に振られる固有の識別番号です。
RIDは、SIDの中の右端の数値です。
以下は、WindowsサーバーのPowerShellで検索したユーザです。
PS C:\Users\Administrator> Get-ADUser -Filter {SamAccountName -like "t.tanaka"}
DistinguishedName : CN=Taro Tanaka,CN=Users,DC=testdomain1,DC=local
Enabled : True
GivenName : Taro
Name : Taro Tanaka
ObjectClass : user
ObjectGUID : f26341fc-06c5-403b-ad02-527b31a53e84
SamAccountName : T.Tanaka
SID : S-1-5-21-1982188251-3569139106-3058498453-1118
Surname : Tanaka
UserPrincipalName : T.Tanaka@testdomain1.local
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/8/html/deploying_different_types_of_servers/proc_using-the-rid-id-mapping-back-end_assembly_understanding-and-configuring-samba-id-mapping
sambaの設定ファイルを修正する
1.ADでユーザ作成時に、LinuxユーザにもRIDが使用されるようにsmb.confを修正します。
sudo vi /etc/samba/smb.conf
workgroup = TESTDOMAIN1
password server = win-jfilnhj6c81
realm = TESTDOMAIN1.LOCAL
security = ads
idmap config TESTDOMAIN1:backend = rid
idmap config TESTDOMAIN1:range = 300000-500000
idmap uid = 300000-500000
idmap gid = 300000-500000
template homedir = /home/%U
template shell = /bin/bash
kerberos method = secrets only
winbind use default domain = true
winbind offline logon = false
12,13行目を新規追加しました。
12行目は、値としてridを設定しています。
smb.confを修正した場合は、サーバー再起動が必要です。
ユーザを作成して確認する
1.WindowsサーバのActive Directoryで新規ユーザを作成しました。
PS C:\Users\Administrator> Get-ADUser -Filter {SamAccountName -like "t.test1"}
DistinguishedName : CN=taro test1,CN=Users,DC=testdomain1,DC=local
Enabled : True
GivenName : taro
Name : taro test1
ObjectClass : user
ObjectGUID : 6ec9fc84-8506-44f9-8e9d-ab6f9402c4da
SamAccountName : t.test1
SID : S-1-5-21-1982188251-3569139106-3058498453-1124
Surname : test1
UserPrincipalName : t.test1@testdomain1.local
RIDは、1124です。
2.Linuxで確認すると301124になっています。
[ec2-user@ip-10-0-10-12 ~]$ id t.test1
uid=301124(t.test1) gid=300000(domain users) groups=300000(domain users),301124(t.test1)
[ec2-user@ip-10-0-10-12 ~]$
関連の記事