395.3 Sambaをドメインメンバーサーバとして設定する

今回は300試験の試験範囲から「395.3 Sambaをドメインメンバーサーバとして設定する」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜395.3 Sambaをドメインメンバーサーバとして設定する＞
重要度 3

＜説明＞
Linuxサーバをアクティブディレクトリが存在する環境と連携できること。

＜主要な知識範囲＞
・SambaをNT4ドメインに追加する
・SambaをADドメインに追加する
・KDCからTGTを得ることができる

＜重要なファイル、用語、ユーティリティ＞
・smb.conf
・サーバロール
・サーバのセキュリティ
・netコマンド
・kinitおよびTGTとREALM

■例題
SambaのADドメイン参加についての解説で間違っているものを選びなさい。

1. Samba4のみADドメインに参加させることができる
2. クライアントはアクティブディレクトリで認証を行う
3. Sambaへのアクセス認証はKerberos認証を利用する
4. ADドメインへの参加にはnetコマンドを利用する

※この例題は実際のLinuC試験とは異なります。

Sambaはドメインコントローラーだけでなく、ADドメインのメンバーサーバーとしてドメインに参加し、アクティブディレクトリで認証を行ったクライアントに対してファイル共有を提供することができます。

ADドメインのドメインコントローラーになることができる機能はSamba4からですが、ドメインメンバーになる機能はSamba3でも利用できます。

Sambaへのアクセス制御は、Kerberos認証を使います。Kerberos認証は、認証が行われるとKDC(Key Disstribution Center)からTGT(Ticket Granting Ticket)がクライアントに対して発行されます。クライアントはSambaにアクセスする時に、KDCに対してTGTを提示して、Sambaにアクセスするための認証チケットを要求します。発行されたチケットをSambaに提示することで、Sambaはクライアントに対してアクセスの許可を行う仕組みとなります。

SambaをADドメインのメンバーサーバーにするには、KDCを参照できるようにすること、Kerberos認証を行うREALM（レルム）に所属するように設定すること、そしてADドメインに参加する必要があります。ドメイン参加はnet ads joinコマンドを実行して、ADドメインにメンバーサーバーとして登録を行います。