なかのにっき

samba-tool user add のときには設定するオプションがあるが、あとから書き換えるのは samba-tool user edit でエディタ使わないといけないので結構たいへん。

謎の sssd 起動時エラーに延々悩んでいたら sssd-ldap が入っていなかった… こんなのでもずっと付き合ってくれる ChatGPT さん素敵。

匿名バインドができないので、読み取りのユーザを作る。

samba-tool user add ldapbind (PASSWORD) --description="LDAP Bind account"

配布用の証明書 /var/lib/samba/private/tls/ca.pem を取り出しておく。

1. パッケージのインストール

   apt install sssd sssd-tools libpam-sss libnss-sss
   

2. サーバの証明書をコピーして読み込み

   # cp ca.pem /usr/local/share/ca-certificates/samba-ca.crt
   # update-ca-certificate
   

3. /etc/sssd/sssd.conf を編集する

   [sssd]
   services = nss, pam
   config_file_version = 2
   domains = EMPLAB.ST.SEIKEI.AC.JP
   
   [domain/EMPLAB.ST.SEIKEI.AC.JP]
   id_provider = ldap
   auth_provider = ldap
   ldap_uri = ldaps://migrate.emplab.st.seikei.ac.jp:636
   ldap_search_base = dc=emplab,dc=st,dc=seikei,dc=ac,dc=jp
   ldap_default_bind_dn = cn=ldapbind,cn=Users,dc=emplab,dc=st,dc=seikei,dc=ac,dc=jp
   ldap_default_authtok = パスワード
   ldap_id_mapping = False
   

   という感じで。ldap_uri は FQDN にしておかないと warning が出る。ファイルは 600 にしておく。
4. /etc/nsswitch.conf を編集 こんな感じになるはず

   passwd:		files systemd sss
   group:		files systemd sss
   shadow:		files systemd sss
   

5. pam の更新 /etc/pam.d/ の common-account, common-auth, common-password, common-session に nss のエントリーが入っていることを確認し（これはパッケージャが実行）、pam-auth-update で sssd を有効化
6. デーモンを起動

   sudo systemctl enable sssd --now
   

7. 動作確認

   getent passwd nakano
   id nakano
   

   という感じで。

タイミングは微妙だが、nscd と nslcd は停止、パッケージごと削除したほうがよさげ。

やさしくメールファイリングと Creative Cloud。 （反省：iTunes の deactivate もしておくのであった…）

• 学生 PC と共通→Chrome / 秀丸 / Sma4Win / Office LTSC ProPlus 2021 / Visio / Teams
• Dropbox
• Box
• Adobe Creative Cloud, Photoshop, Illustrator
• やさしく名刺ファイリング（ライセンス情報は ここ ）
• 1password
• CorvusSKK
• ScanSnap ix1400 / ブラザー MFC-L2730DN / OKI c332 各ドライバ
• Thunderbird
• Evernote

Roaming Profile (%USER%\AppData\Roaming\\CorvusSKK) にある config.xml が設定ファイル、userdict.txt が辞書なので旧機からコピー

Debian をインストール。ときどき止まったが、結局手順は以下のような感じ？

管理者の PowerShell から

dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

をして再起動。再び（こんどは通常の）PowerShell から

wsl --set-default-version 2
wsl --install -d Debian

参考情報：

• 【エラー】WSL2をインストールできない
• WSL 2 に Debian をインストールする方法

%LOCALAPPDATA%\Packages\Microsoft.WindowsTerminal_8wekyb3d8bbwe\LocalState

に settings.json があるので旧機からコピー。

Windows 10 のときのオーナーになってたのでセキュリティから修正。 このせいで Dropbox の sync ができなくなってた。 一応ぜんぶ新ユーザの nakano の所有にできたと思うが…

ということで 昨日のつづき から。 こちら に従って作業。 DNS サーバを手動に切り替え、 なんのことはない、これまでのように、

システム→システムの詳細設定→コンピュータ名→変更、

でまずマシン名を変え、いちど再起動して同様のメニューから、ドメイン EMPLAB.ST.SEIKEI.AC.JP に参加すれば OK。 昨日決めた Administrator / (Password) であっさりドメインに参加できた。うへー簡単だ。

旧サーバの ldap の内容を slapcat で取り出し。

% sudo slapcat > slapcat.ldif

これを新サーバに食わせることを提案されたのだが、unix uid/gid が保存され、 あとの情報は後付けで追加できれば十分そうなので、この ldif の情報をもとにして samba-tool でユーザひとりずつ登録することにした。 slapcat.ldif からの情報抽出の awk スクリプトは ChatGPT さんとの会話 を参考にしつつ ldif_to_samba-tool.awk のような感じに。出力が

samba-tool user create 'nakano' 'nakano-Initial-PW2505' \
  --uid-number=10000 \
  --gid-number=100 \
  --unix-home='/home/nakano' \
  --login-shell='/usr/bin/tcsh'

というような感じで出るので（パスワードはもちろんあとで変える）、これをシェルで実行すれば ok。 まずは 1 名だけ追加して、 nakano での Windows クライアントからのログオンと PW 変更を（後述のように設定を変えたあとで）確認できた。

smb.conf に

[homes]
        browseable = no
        writable = yes
        comment = Home Directories

[usrhome]
        path = /home
        browseable = yes
        writable = yes
        guest ok = No

[profiles]
        path = /var/lib/samba/profiles/
        browseable = yes
        read only = no
        guest ok = yes
        store dos attributes = yes
#       force uesr = %U
        csc policy = disable
	create mask = 0600
	directory mask = 0700

などを追加。force user の行は warning が出るのでコメントアウト。 ほんとは profile はもうちょいちゃんとしないといけないようだが。

HomePath や ProfilePath を指定するのは samba-tool ではできないようで、

#!/bin/bash

# ユーザ一覧
USERS=( nakano foo bar baz )

# ドメインDN
BASEDN="DC=example,DC=com"

for USER in "${USERS[@]}"; do
  cat <<EOF | ldbmodify -H /var/lib/samba/private/sam.ldb
dn: CN=$USER,CN=Users,$BASEDN
changetype: modify
replace: homeDirectory
homeDirectory: \\\\your_server\\users\\$USER
-
replace: homeDrive
homeDrive: U:
-
replace: profilePath
profilePath: \\\\your_server\\profiles\\$USER
EOF
done

というのの USERS を編集して実行すれば OK だった。

最初初期パスワードの設定をしくって変更しようとしたら嵌まり。これも会話して

% sudo samba-tool domain passwordsettings set --min-pwd-age=0
Minimum password age changed!
All changes applied successfully!
% sudo samba-tool domain passwordsettings set --max-pwd-age=0
Maximum password age changed!
All changes applied successfully!

ということにした。

せっかく出ているので trixie にしてからやろうと。 Trexie の Release-notes, Debian 12(bookworm) からのアップグレード の通り、bookworm を最新にしたあと /etc/apt/sources.list で 1,$s/bookworm/trixie/ して

apt update
apt upgrade --without-new-pkgs
apt full-upgrade

動作を確認して

apt autoremove --purge

ChatGPT さんにも聞くけど、技評の「Sambaで作るActive Directory互換環境」の連載も平行して確認しつつ。

• (1) その特性と1台目のドメインコントローラーの構築
• (2) 2台目のドメインコントローラーの作成とSYSVOLフォルダの同期設定
• (3) ドメインコントローラーの基本操作
• (4) UNIX属性の利用

% sudo apt install samba-ad-dc krb-user bind9-dnsutils

Kerberos 関係で聞かれたことと答は：

デフォルトの Realm 名→EMPLAB.ST.SEIKEI.AC.JP
Kerberos server→空白
Kerberos administrative server→空白

続いて技評連載(1)の通り

% sudo systemctl disable --now smbd nmbd winbind
% sudo systemctl mask smbd nmbd winbind

でサーバをいったん停止。

smb.conf を退避

% cd /etc/samba; sudo mv smb.conf smb.conf.dpkg-dist

プロビジョニング。

% samba-tool domain provision --use-rfc2307 --interactive
Realm [FSLAB.ST.SEIKEI.AC.JP]:  EMPLAB.ST.SEIKEI.AC.JP
Domain [EMPLAB]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [172.28.0.130]:
Administrator password:
Retype password:

だーっと表示が出て停止。

その後技評の記述に従い、/etc/resolv.conf を編集

#domain fslab.st.seikei.ac.jp
#search fslab.st.seikei.ac.jp
#nameserver 172.28.0.130
nameserver 127.0.0.1
search emplab.st.seikei.ac.jp

その後

% sudo systemctl disable systemd-resolved --now

これはそもそも実行されていなかったようだけど。

% diff -u krb5.conf /var/lib/samba/private/krb5.conf | lv 
% sudo mv krb5.conf krb5.conf.dpkg-dist
% sudo cp /var/lib/samba/private/krb5.conf .

までやって、サーバを起動

% sudo systemctl enable samba-ad-dc --now

ということで samba のプロセスは起動した模様。

これも技評 (1) の記述に従って：

% kinit Administrator
Password for Administrator@EMPLAB.ST.SEIKEI.AC.JP:
Warning: Your password will expire in 41 days on 2025年10月01日 17時50分14秒
% klist
Ticket cache: FILE:/tmp/krb5cc_10001
Default principal: Administrator@EMPLAB.ST.SEIKEI.AC.JP

Valid starting       Expires              Service principal
2025-08-20T18:01:59  2025-08-21T04:01:59  krbtgt/EMPLAB.ST.SEIKEI.AC.JP@EMPLAB.ST.SEIKEI.AC.JP
        renew until 2025-08-21T18:01:57

DNS の確認

% foreach srv (_ldap._tcp _kerberos._tcp _kerberos._udp _kpasswd._udp)
foreach? dig @localhost +short -t srv $srv.emplab.st.seikei.ac.jp
foreach? end
0 100 389 migrate.emplab.st.seikei.ac.jp.
0 100 88 migrate.emplab.st.seikei.ac.jp.
0 100 88 migrate.emplab.st.seikei.ac.jp.
0 100 464 migrate.emplab.st.seikei.ac.jp.

ということで大丈夫みたい。

明日以降に。

R&S の佐伯さんからお返事いただいた。Sample Rate は設定できないとのこと。そうか…