AD統合Webメールサーバ(前準備)
ActiveDirectoryとアカウントを統合化するLinux(Debian GNU/Linux)を前やったわけで。
今回は、メールサーバを作ろう、と。
あー、仕事で使うかもしれない、その予備実験に近い形です。
今回のメールサーバ、目標仕様としては。
- OSはDebian GNU/Linux Sarge
- Webメール。IMAP4を使用
- アカウントとパスワードはAD連動。Winbind認証を使用
といきたいな、と。
まず、メール系アプリケーションを入れる前に、Winbind認証を準備。
手順は、経緯とまとめであった手順。
ただし、ログインは別にAD統合化する必要ないので、PAMの設定は行わない。
また、DNSの設定はすでに設定済みのDCを使うのでナシ。
今回の設定だけを書くのもアレなので、説明入りで設定を書く。
1.NTP設定
Debianインストール後、まずNTPの設定。
NTPインストールでも書いたけど、Kerberosは時計があってないとダメなので。
apt-get install ntpdate ntp-doc
よく考えたらntpもインストールしなきゃダメだな、ホントは。まぁ、aptのおかげでインストールされるからよしとしよう。
で、/etc/default/ntpdateを修正。ドメインコントローラに合わせる。
/etc/default/ntpdate NTPSERVERS="10.239.0.100" … DCのIPアドレス
変更後、ntpdateを起動。
/etc/init.d/ntpdate start
2.Kerberos5設定
これはKerberos5インストールを見てください。
3.Samba+Winbind設定
apt-get install samba samba-common winbind
で、ワークグループ名の入力がくるので、ドメイン名を入れる。
次に、/etc/samba/smb.confを変更。
/etc/samba/smb.conf [global] workgroup = R2N … ドメイン名(NT用) security = ADS … AD統合モードを指定 realm = R2N.LOCAL … Kerberosレルムを指定する。ドメイン名を大文字で netbios name = debian2 … Netbios名 idmap uid = 10000-20000 … ADのユーザをLinuxにマッピングする際のIDを決める idmap gid = 10000-20000 … ADのグループをLinuxにマッピングする際のIDを決める winbind cache time = 15 … WinbindでADの情報をどれだけキャッシュするか(分) winbind separator = @ … Linuxでは「/」が特別な意味を持つので、それを@に置き換える winbind use default domain = yes … 後述 template homedir = /home/%U … ユーザのホームディレクトリ template shell = /bin/false … ユーザのシェル。今回ADのユーザはメールだけなのでfalse obey pam restrictions = yes … PAMを使用して認証するかどうか
「winbind use default domain」は、本来、ADユーザはアカウント名@ドメイン名という形が正式なのだが。
これを毎回入力すると長いので、ユーザ名としてアカウントだけを入力し、ドメイン名はデフォルト(realm =の部分)を自動挿入する設定にするかしないか、の設定。
次は、nsswitchの設定。アカウント情報の取得をどこから行うかという設定。nssは「ネームサービススイッチ」のこと。/etc/nsswitch.confを書き換える。
/etc/nsswitch.conf passwd: compat winbind group: compat winbind shadow: compat winbind
winbindを起動。
/etc/init.d/winbind start
ここまできたら、コンピュータをADに登録。
net ads join -U Administrator
「-U」の後ろは、ADのDomain Adminで。パスワード入力があるのでパスワードを入れて。
#wbinfo -t checking the trust secret via RPC calls succeeded
になればOK。
念のため、wbinfo を -u や -g で実行してアカウント・グループを取得できるか試しておく。