UNAB を Samba と統合する方法

UNAB 管理者は、UNIX エンドポイントにエンタープライズ ユーザのアクセスを管理します。 UNAB を Samba と統合し、 Active Directory ドメインのユーザが UNIX エンドポイント上の共有リソースにアクセスできるようにします。
cminder12901jp
UNAB 管理者は、UNIX エンドポイントにエンタープライズ ユーザのアクセスを管理します。 UNAB を Samba と統合し、 Active Directory ドメインのユーザが UNIX エンドポイント上の共有リソースにアクセスできるようにします。
Integrate UNAB with Samba
大まかな作業の流れは以下のとおりです。
2
注:
任意の順序で同じエンドポイント上で動作するように UNAB および Samba を設定できます。
前提条件
UNAB を Samba と統合する前に、以下の前提条件を確認します。
  • UNIX エンドポイントに UNAB がインストールされている
  • UNIX エンドポイント上の Samba がインストールされている
注:
インストール UNAB と同じ UNIX エンドポイント上に UNAB と Samba をインストールします。
UNIX エンドポイントの登録
注: UNIX エンドポイントを Active Directory に登録し、UNIX エンドポイントに Active Directory ユーザをログインさせます。
以下の手順に従います。
  1. uxconsole ユーティリティを使用して、
    sso
    モードで UNIX エンドポイントを Active Directory に登録します。
    # <InstDir>/uxauth/bin/uxconsole -register [-d domain] [-v level] [-n] -sso
-register
UNIX エンドポイントを Active Directory に登録します。
- d
Active Directory ドメイン名を定義します。
-v
インストール プロセス中に使用する詳細レベルを定義します。
-n
登録完了後に uxauthd エージェントが実行されないよう指定します。
-sso
uxconsole がシングル サインオン(SSO)用の Kerberos ファイルを管理するように指定します。
sso
モードの Active Directory で UNIX エンドポイントを登録しました。
例: Windows 2008 Active Directory ドメインで UNIX エンドポイントを登録します。
以下の uxconsole ユーティリティは
sso
モードでは、Windows 2008 Active Directory に UNIX エンドポイント (たとえば UX-エンドポイント) を登録します。 Windows 2008 Active Directory ドメイン名は corp.example.co.il です。 Kerberos シングル サインオン(SSO)サービスで、ユーザを一度で認証します。 ユーザは、同じユーザ クレデンシャルを使用して複数の UNIX エンドポイントにログインします。 詳細レベルは 3 に設定します。 コマンド-n は、登録処理が完了した後、UNAB エージェントを実行できないように指定します。
# /<InstDir>/uxauth/bin/uxconsole -register -sso -n -v 3 -d corp.example.co.il
Samba 設定ファイルの編集
Kerberos を Samba 設定ファイルの認証方式として追加します。 Samba は Kerberos を使用して、Active Directory ユーザを認証します。
以下の手順に従います。
  1. Samba 設定ファイルを開きます。
    # vi/etc/opt/Samba/smb.conf
  2. Smb.conf ファイルに以下のテキストを追加します。
    kerberos method = system keytab
Samba 設定ファイルを編集しました。
Samba を使用してドメインに参加
Samba を使用して、UNIX エンドポイントを Active Directory ドメインに追加します。
以下の手順に従います。
  1. 以下のコマンドを実行します。
    # /opt/samba/bin/net ads join -U Administrator
    Join
    UNIX エンドポイントを Active Directory ドメインに登録します。
    -U
    ドメインに UNIX ホストを追加するために、権限を持つドメイン管理者を指定します。
  2. Samba を起動します。
    # /sbin/init.d/samba start
  3. 以下のコマンドを使用して、UNIX エンドポイント上のファイルのマッピングを確認します。
    # ls -l <path of the shared files on the UNIX endpoint>
  4. Windows コンピュータから UNIX 共有ファイルにアクセスして、Windows コンピュータへのファイル マッピングを確認します。
Samba を使用して、Active directory ドメインを UNIX エンドポイントに参加させます。
UNAB の起動
UNAB を起動して、エンドポイントに Active Directory ユーザがログインできるようにします。
以下の手順に従います。
  1. UNIX コンピュータにスーパユーザとしてログインします。
  2. UNAB lbin ディレクトリを検出して、以下のコマンドを実行します。
    ./uxauthd.sh start
これで、UNAB デーモンが起動されます。
UNAB のアクティブ化
UNIX エンドポイントで UNAB をアクティブにして、UNAB が Active Directory ユーザを認証できるようにします。
以下の手順に従います。
  1. UNIX コンピュータにスーパユーザとしてログインします。
  2. UNAB の bin ディレクトリに移動します。 デフォルトでは、ディレクトリは <インストール ディレクトリ>/uxauth/bin です。
  3. 以下のコマンドを実行します。
    ./uxconsole -activate
    -activate
    Active Directory ユーザのログインがアクティブ化されるように指定します。
UNIX エンドポイントで UNAB をアクティブにしました。
UNAB と Samba の統合の確認
UNAB と Samba のを確認しました。
以下の手順に従います。
  1. UNAB ステータスを確認します。
    # /<InstDir>/uxauth/bin/uxconsole -status -detail
    例:
    以下の例では、サンプル出力を示します。 ここで、corp.example.co.il ドメイン内の Active Directory のユーザが UX - エンドポイント上の共有ファイルにアクセスするように考慮します。
    CA Access Control UNAB uxconsole v12.55.0.945 - console utility Copyright (c) 2010 CA. All rights reserved. Client's site - Default-First-Site-Name Registration domain - corp.example.co.il DCs - corpdc1, corpdc2 User search base - DC=corp,DC=example,DC=co,DC=il Group search base - DC=corp,DC=example,DC=co,DC=il UNAB mode - full integration UNAB status - activated Agent status - running, pid = 22967 FIPS only mode - no Kerberos configuration - standard Time sync - disabled Nested groups ACL - enable login by nested groups Enterprise policy - [email protected]#05 (updated: Sun May 6 10:08:17 2012) Local policy - disabled Default login access   - deny AD Unix users - 236 (updated: Sun May 6 09:55:41 2012) AD Unix groups - 101 (updated: Sun May 6 09:55:41 2012) AD Windows groups - 6339 (updated: Sun May 6 09:55:41 2012) Migration - not migrated CA Access Control - installed Include AD users and groups in AC ladb : yes Display AD names in AC Audit: no Support AD non-Unix groups in AC: yes PAM authentication in AC utilities: yes AC Watchdog monitors UNAB agent : yes
  2. ユーザ tstuser を確認します。
    # id tstuser
Samba を使用する UNAB が設定されました。 Active Directory ユーザは Samba を使用して、UNIX エンドポイントにログインし、共有リソースにアクセスできます。 Samba は、Kerberos 認証サービスでユーザを認証します。