ちょっと前から、ランサムウェア「WannaCrypt」が流行しているが、これの感染経路はWindows(Windows 10未満のバージョン)で利用されているSMBv1の脆弱性らしい。 で、Linuxだとその脆弱性には影響を受けないのだが、そういえばSambaでSMBv1を無効化するのってどうすりゃ良いんだっけと思ったので、備忘で残しておく。

SambaでSMBv1を無効化するには、設定ファイルである「/etc/samba/smb.conf」にて、[global]配下に以下の項目を追記してやる。


ふと、sambaで共有しているファイルへの操作ログを記録できないかと調べてみたところ、VFSモジュールを使うことで設定ができるようなのでやってみることにした。 追記する設定例は以下。 ちなみに以下の例だと、「test」という共有ディレクトリでの操作ログについて取得するようになっている。 全部取得するには"full_audit:success"の値を"vfs_full_audit"に設定してやれば良いのだが、それだと不要なログで溢れてしまうので、必要になるログだけを出力させている(また、failureログについても出力させないようにしている。)。

/etc/samba/smb.conf
...

CentOS 7をActive Directoryのドメインに参加させる

自宅にSamba4を用いたDomain Controllerを構築したので、それにCentOS 7を参加させてみる事にする。
まずは参加させるCentOS 7側で、以下のコマンドを実行し必要になるパッケージをインストールする。

1.必要パッケージの導入

yum -y install realmd sssd oddjob oddjob-mkhomedir adcli samba-common

2.AD参加設定

次に、参照するDNSサーバをDCのアドレスに変更する。

nmcli c modify インターフェイス名 ipv4.dns DCのアドレス
nmcli c down...

Samba4とrsync、シャドウコピーを用いたファイルのバージョン管理が出来るファイルサーバーの構築

ファイルサーバを利用している環境は多いと思うが、よくあるトラブルがファイルを間違えて上書きや削除してしまい、過去のファイルに戻したい、というもの。
それも、数日や場合によっては数ヶ月前のファイルに戻したいという時もあるだろう。rysncとSamba4、そしてクライアントとしてWindowsのシャドウコピー機能を用いれば、これは実現可能となる。

ディスク容量に余裕が無い状態であればおすすめ出来ないが、もしディスクの容量がものすごく余っている状態なのであれば、ファイルサーバのバックアップも兼ねたバージョン管理ファイルサーバを構築すると良いだろう。
今回は同一ディスク上にファイルサーバでの共...


CentOS 7とSamba4で自宅用Active Directory Domain Controller (AD DC)を構築する⑤ 移動ユーザープロファイルの設定を行う

さて、今回はCentOS 7とSamba4で構築したDomain Controllerを用いて、移動ユーザプロファイルの設定を行う。
移動ユーザプロファイルというのは、ユーザごとに持っている環境設定(壁紙の設定やマイドキュメント配下のファイルなど)をドメインごとに共通で保持させる設定だ。

この機能を利用することで、ログイン時にフォルダの中身が自動的にADサーバ上のフォルダと同期される。ただ、あまり容量が大きくなるとログイン時に時間がかかるようになってしまうので、今回は参考サイトと同じく、この移動ユーザプロファイルとセットで使われる事の多いフォルダリダイレクト機能(各マシンで共有するフ...


CentOS 7とSamba4で自宅用Active Directory Domain Controller (AD DC)を構築する④ アカウントポリシー(パスワードポリシー)を設定する

今回は、CentOS 7上で作成したドメインコントローラーで、パスワードのルールなどを管理するアカウントポリシーの設定を行う。
なお、Samba 4のドメインコントローラーでは一部(アカウントのロックアウトなど)の機能が正常に動作しないようなので、実質的にはパスワードポリシーのみとなっている。

1.Windows(クライアント)から管理する

Windows上からのパスワードポリシーの設定は、「グループポリシーの管理」から設定する。
まずは、「グループポリシーの管理」から、[フォレスト] > [ドメイン] > [管理するドメイン名] > [Default Domain Policy]...


CentOS 7とSamba4で自宅用Active Directory Domain Controller (AD DC)を構築する② リモートサーバ管理ツールの導入

さて、前回CentOS 7上にSamba4を用いてドメインコントローラーを構築したが、今のままだとLinux上からしかActive Directoryの管理が出来ない。
そこで、管理を簡単にするために、クライアントであるWindows 7上にリモートサーバー管理ツール(Active Directory のドメインコントローラーに接続し、管理を行うソフトウェア)をインストールする。

前提条件としてインストールを行うクライアント機は対象ドメインにAdministratorユーザでログインしている必要がある。

1.インストーラーのダウンロード

まずは、リモートサーバー管理ツールのインス...


CentOS 7とSamba4で自宅用Active Directory Domain Controller (AD DC)を構築する① インストール編

一定の規模を持つWindows環境を構築する上で、無くてはならないのがActive Directoryだ。 そのActive Directoryを使う上で欠かせないDomain Controllerだが、実はSamba 4で構築可能となったのだ。

今までのバージョンでは別途必要であったLDAPサーバやDNSサーバの導入も不要となっており、Samba 4でのDomain Contorllerでのドメインの連動テストにはMicrosoftも協力していることから、普通に利用する分には問題なく動作するだろう事が伺える。

それでは、早速インストールをしてみよう。なお、今回の構築・検証はこち...


CentOS7にSambaをインストール

Sambaは、Linuxでファイルサーバを作る際は必須と言ってもいいパッケージだ。
今回は、CentOS 7にSambaをインストールする方法について。

1.sambaのインストール

まずは必要なパッケージのインストール。
以下のコマンドを実行する。

yum install samba samba-client samba-common -y

2.sambaの初期設定

次に、sambaの設定ファイルである「smb.conf」をバックアップ、編集する。

mv /etc/samba/smb.conf /etc/samba/smb.conf.bk
vi /etc/samb...