Samba4の自動起動スクリプト

Samba4の自動起動スクリプト

Samba4をソースからインストールした場合、自動起動スクリプトを環境に合わせて準備する必要がある。
・Samba4のパス： /opt/app/samba4/sbin/samba

#! /bin/bash
#
# samba4       Bring up/down samba4 service 
#
# chkconfig: - 90 10
# description: Activates/Deactivates all samba4 interfaces configured to \
#              start at boot time.
#
### BEGIN INIT INFO
# Provides: 
# Should-Start: 
# Short-Description: Bring up/down samba4
# Description: Bring up/down samba4
### END INIT INFO
# Source function library.
. /etc/init.d/functions

if [ -f /etc/sysconfig/samba4 ]; then
    . /etc/sysconfig/samba4
fi

CWD=$(pwd)
prog="samba4"

start() {
      # Attach irda device 
      echo -n $"Starting $prog: "
    /opt/app/samba4/sbin/samba
    sleep 2
    if ps ax | grep -v "grep" | grep -q /sbin/samba ; then success $"samba4 startup"; else failure $"samba4 startup"; fi
      echo
}
stop() {
      # Stop service.
      echo -n $"Shutting down $prog: "
    killall samba
    sleep 2
    if ps ax | grep -v "grep" | grep -q /sbin/samba ; then failure $"samba4 shutdown"; else success $"samba4 shutdown"; fi
      echo
}
status() {
    /opt/app/samba4/sbin/samba --show-build
}

# See how we were called.
case "$1" in
start)
    start
      ;;
stop)
    stop
      ;;
status)
    status irattach
    ;;
restart|reload)
    stop
    start
    ;;
*)
      echo $"Usage: $0 {start|stop|restart|status}"
      exit 1
esac

exit 0

サーバ構築の実例がわかる Samba[実践]入門 著者：高橋 基信 出版日：2010-10-02 出版社：技術評論社

改訂版 Sambaのすべて 著者：高橋 基信 出版日：2011-04-23 出版社：翔泳社

SAMBA4を２台目ドメインコントローラ(DC)サーバとして稼働させる

SAMBA4を２台目ドメインコントローラ(DC)サーバとして稼働させる

WindowsでActiveDirectoryを構築したが、予算の関係で２台目のDCサーバをCentOS6.5のSAMBA4で構築した際の導入手順です。 SAMBA4だけでもActiveDirecoryを構築できますし、Windowsサーバと混在環境でも構築可能です。

■想定システム構成

　・ActiveDirectoryはWindowsServer2012サーバで下記内容で構築済み
　　　フォレストの機能レベル：Windows Server 2008 R2
　　　ドメインの機能レベル：Windows Server 2008 R2
　・既存ActiveDirectoryに２台目(BDC)のDCサーバとしてSAMBA4を導入する

　※2014年6月14日現在のSAMBA4は、WindowsServer2012R2で構築したActiveDirectoryには対応しておりません。「フォレストの機能レベル」および「ドメインの機能レベル」をWindowsServer2008R2以下にしてもエラーがでます。

■ActiveDirectory情報

フォレストの機能レベル	Windows Server 2008 R2
ドメインの機能レベル	Windows Server 2008 R2
ドメイン名	ad.hogehoge.jp
NetBiosドメイン名	ad
１台目DCサーバIP	172.20.1.203
１台目DCサーバ名	dc01.ad.hogehoge.jp
２台目DCサーバIP	172.29.1.204
２台目DCサーバ名	dc02.ad.hogehoge.jp

SAMBA4のDC構築手順(2台目以降)

PDCがWindowsでもSAMBAでも、２台目以降のSAMBA4の構築手順は同じである。
DNSはbindではなくSAMBAのDNS機能を利用するので、BINDを起動している場合は停止する必要がある
CentOS6の標準Sambaパッケージでは、ActiveDirectoryドメインコントローラー機能が含まれていない。
今回の手順は、Samba4のソースコードからインストールする手順である。

SAMBA4で２台目以降のDCサーバ構築前の事前作業

■不要パッケージを削除
　SAMBA3がインストールされている場合は、アウンインストールする。

 # yum remove samba-client samba-winbind samba-winbind-clients samba-common

■リゾルバ設定

 # vi /etc/resolv.conf

#DC01(172.20.1.203)
nameserver 172.20.1.203
domain=ad.hogehoge.jp

※DNSサーバIPとドメイン名は環境に合わせて変更する

SAMB4インストール

■SAMB4の依存関係パッケージインストール

# yum install gcc libacl-devel libblkid-devel gnutls-devel  \
 python-devel pkgconfig krb5-workstation zlib-devel libaio-devel  \
 policycoreutils-python libsemanage-python setools-libs-python  \
 setools-libs popt-devel libpcap-devel sqlite-devel libidn-devel \
 libxml2-devel libsepol-devel keyutils-libs-devel \
  cyrus-sasl-devel bind-utils 

■Samba4最新版ダウンロード

# cd /usr/local/src
# wget http://ftp.samba.org/pub/samba/samba-latest.tar.gz

■Samba4展開

# tar zxvf samba-latest.tar.gz
# cd samba-4.1.6/

■Samba4インストール
SAMBAインストール先：/opt/app/samba4

# ./configure --prefix=/opt/app/samba4/ --enable-selftest

※赤字のインストール先は環境に合わせること。

# make
   :
Waf: Leaving directory `/usr/local/src/samba-4.1.6/bin'
'build' finished successfully (14m45.145s)

# make install 
   :
Waf: Leaving directory `/usr/local/src/samba-4.1.6/bin'
'install' finished successfully (3m12.883s)

■Samba起動スクリプト作成

# vi /etc/init.d/samba4

Samba起動スクリプト作成内容はこちらを参照。

■Samba標準パッケージのインストール除外
CentOSの標準SAMBAパッケージがインストールきされないように、yumのインストール除外設定をしておく。

# vi /etc/yum.conf

[main]
   exclude=kernel* samba* bind-utils

SAMBA4のDC昇格

■kerberos関連設定

# cp /etc/krb5.conf /etc/krb5.conf.org

# vi /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AD.HOGEHOGE.JP
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AD.HOGEHOGE.JP = {
  kdc = dc01.ad.hogehoge.jp
 }

[domain_realm]
 .ad.hogehoge.jp = AD.HOGEHOGE.JP
 ad.hogehoge.jp = AD.HOGEHOGE.JP

※大文字小文字の区別があるので注意を！！
※赤文字は環境に合わせて変更すること

■Kerberos設定の確認

# kinit administrator@AD.HOGEHOGE.JP

・エラーメモ

kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials	ドメインが存在しない
kinit(v5): Client not found in Kerberos database while getting initial credentials	ユーザーが存在しない
kinit(v5): KDC reply did not match expectations while getting initial credentials	ドメインが小文字を指定している
kinit(v5): Preauthentication failed while getting initial credentials	パスワードが違う
kinit(v5): Clock skew too great while getting initial credentials	Linuxと ActiveDirectoryの DCの時刻が 5分以上ずれている

■ドメインへの参加
sambaを起動し、ドメイン参加する

# /etc/rc.d/init.d/samba4 start

# /opt/app/samba4/bin/samba-tool domain join ad.hogehoge.jp DC -U administrator --realm=AD.HOGEHOGE.JP
Committing SAM database
descriptor_sd_propagation_recursive: DC=DomainDnsZones,DC=ad,DC=hogehoge,DC=jp not found under DC=ad,DC=hogehoge,DC=jp
descriptor_sd_propagation_recursive: DC=ForestDnsZones,DC=ad,DC=hogehoge,DC=jp not found under DC=ad,DC=hogehoge,DC=jp
Sending DsReplicateUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain AD(SID S-1-5-xx-3469xxxxxx-26xxxxxxx-249xxxxxxxxx) as a DC

※赤文字は環境に合わせて変更すること

■DCの動作確認
・共有ディレクトリの確認
作業ターミナルウィンドと別にSambaサーバにログインし、netlogon,sysvol が表示されることを確認する

# /opt/app/samba4/bin/smbclient -L localhost -U%

Domain=[AD] OS=[Unix] Server=[Samba 4.1.6]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.1.6)
Domain=[AD] OS=[Unix] Server=[Samba 4.1.6]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

・レプリケーションの確認

# /opt/app/samba4/bin/samba-tool drs showrepl

■Samba４の自動起動設定

# chmod 755 /etc/init.d/samba4
# chkconfig --add samba4
# chkconfig --level 345 samba4 on

DC構築後の環境整備

■Samabサーバのリゾルバ設定

# vi /etc/resolv.conf

nameserver 127.0.0.1 nameserver 172.20.1.203
Samba4にはADの機能を実現するためにDNSが必要ですが、Samba4でDNSを利用するためには2つの方法があります。

・SAMBA4のDNS利用方法１
1つめは内部DNSの使用でSamba4にDNSサーバを取り込んだものでデフォルトではこの内部DNSが使用されます。この場合、特別な設定を実施せずともコンピュータやDCの名前解決ができます。また、DNSのゾーン情報はSamba4のデータベースに登録されるため別のDCにレプリケーションされます。これにより複数のサーバでDNSのゾーン情報を更新可能となります。
・SAMBA4のDNS利用方法２
2つ目の方法はBINDと連携する方法でこの場合、BINDを通常のDNSサーバとして設定しSamba4用のゾーン情報を追記すれば連携が可能となります。

■名前解決のForword設定
ADのドメイン以外の名前解決をさせるために、smb.confファイルに「dns forwarder」を設定する。

# vi /opt/app/samba4/etc/smb.conf

[global] workgroup = AD realm = ad.hogehoge.jp netbios name = DC02 server role = active directory domain controller dns forwarder = 8.8.8.8

・設定反映

# /etc/init.d/samba4 restart

※8.8.8.8はGOOGLEのDNSサーバです。

■NTP設定
・NTP_SIGND_SOCKET_DIRを調べる
Sambaが作るntp_signdの場所は、sambaのビルド情報のNTP_SIGND_SOCKET_DIRに示されている。

# /opt/app/samba4/sbin/samba -b | grep NTP_SIGND_SOCKET_DIR
   NTP_SIGND_SOCKET_DIR: /opt/app/samba4/var/lib/ntp_signd

# chgrp ntp /opt/app/samba4/var/lib/ntp_signd

・NTP設定
ntp_signdの場所をntpsigndsocketとして反映させたntpの設定ファイル(/etc/ntp.conf)を作成して、ntpを起動させる

# vi /etc/ntp.conf

#NTP Server
#アクセス許可
restrict 127.0.0.1
restrict 172.20.1.0 mask 255.255.255.0
restrict 172.20.2.0 mask 255.255.255.0

# 同期サーバとのアクセス許可
restrict 172.20.1.203 noquery
restrict 133.100.11.8 noquery
#同期するNTPServer指定
# DC01(172.20.1.203)
server 172.20.1.203
# clock.tl.fukuoka-u.ac.jp
server 133.100.11.8
ntpsigndsocket /opt/app/samba4/var/lib/ntp_signd
restrict default mssntp

includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys

・NTP起動

# /etc/init.d/ntpd start
# chkconfig ntpd on

・NTP同期確認

# grep MS-SNTP /var/log/messages
May 15 18:38:17 dc02 ntpd[25887]: MS-SNTP signd operations currently block ntpd degrading service to all clients.
May 15 18:43:46 dc02 ntpd[25917]: MS-SNTP signd operations currently block ntpd degrading service to all clients.

Esxi5.1/ESXi5.0上でハイパーバイザーを稼動させる

Esxi5.1/ESXi5.0上でハイパーバイザーを稼動させる

「KVM on ESXi」、「ESXi on ESXi」、「Hyper-V on ESXi」などESXi上のゲストOSとして ハイパーバイザーを稼動させるための設定手順を示します。

■Esxi5.1/ESXi5.0上でハイパーバイザーを稼動させる概要手順

　・事前確認
　・仮想ホスト(ESXi5.1/ESXi5.0)の設定変更
　・仮想マシンの設定変更

ESXi上でハイパーバイザーを稼動させるための事前確認

■ESXi5.1の事前確認
　nestedHVSupportedの値が有効になっていることを確認する。

https://[your-esxi-host-ip-address]/mob/?moid=ha-host&doPath=capability

※有効になっている場合は、「ESXiの設定変更」は行う必要はありません。
　 　※ESXi5.0では、「nestedHVSupported」項目がない。

仮想ホスト側(ESXi5.1/ESXi5.0)の設定変更

■/etc/vmware/config追記
　SSHでESXi5にアクセスし、/etc/vmware/configファイルに下記を追加する
参考：[ESXiのSSHアクセスを許可する手順]
　・ESXi5.0の場合

  # vi /etc/vmware/config

   vhv.allow="TRUE"

　・ESXi5.1の場合

  # vi /etc/vmware/config

　vhv.enable = “TRUE”

■仮想スイッチのプロミスキャストモード有効化（無差別モード：承諾）
　「仮想スイッチ(vSwitch)」を無差別モードにすると、その他の構成「VM Network」、「Management Network」が自動で無差別モードになる。
　 逆に個別に制御したい場合は、「VM Network」、「Management Network」を個別に設定をすることもできる。

　「構成」メニュー -> 「ハードウェア」 「ネットワーク」 -> 「仮想スイッチ」->「プロパティ」
　「仮想スイッチ」プロパティ 編集
セキュリティ->ポリシー例外->無差別モード：承諾

参考:　ESXiのネットワークをプロミスキャスト設定

仮想マシン側の設定変更

■仮想マシンのプロパティ変更
　・パラメータ追加（(ESXi5.0/5.1の場合)） 　（hypervisor.cpuid.v0 =“FALSE”)

　対象の仮想マシンアイコン右クリック -> 「設定の編集」
　「仮想マシンのプロパティ」画面 -> 「オプション」タブ -> 「全般」->「構成パラメータ」
　「構成パラメータ」画面 -> 行の追加 -> 下記パラメータ記入 -> 「OK」
hypervisor.cpuid.v0 = “FALSE”

　・CPUID マスク(ESXi5.0の場合)

　「仮想マシンのプロパティ」画面 -> 「オプション」タブ -> 「CPUIDマスク」->「詳細」
「CPU認識マスク」画面 -> レベル「ecx」 -> 下記パラメータ記入 -> 「OK」
　　 Level1 ECX: ---- ---- ---- ---- ---- ---- --H- ----

　・intel VT-xを使用する

　「仮想マシンのプロパティ」画面 -> 「オプション」タブ -> 「CPU/MMU仮想化」-> 下記選択 ->「OK」
Intel VT-x/AMD-Vを命令セット仮想化に使用し、IntelEPT/AMD RVIをMMU仮想化に使用

　・ゲストOSの選択

　「仮想マシンのプロパティ」画面 -> 「オプション」タブ -> 「一般オプション」->「ゲストOS」 -> 「その他」-> 「VMware ESXi 5.x」 ->「OK」

■Upgrade Virtual Hardware to Version 9:(ESXi5.1の場合)
　ESXi5.1の場合、仮想ハードウェアのアップグレードを行う。

　対象の仮想マシンアイコン右クリック -> 「仮想ハードウェアのアップグレード」

■仮想マシンにハイパーバイザーをインストールする
通常のOSインストールと同様に仮想マシンに各ハイパーバイザーのOSをインストールする。 詳細は割愛する。


■仮想マシンにKVMをインストールする場合の確認
・CPUの仮想化支援機能の確認

grep --color=auto -E '(vmx|svm)' /proc/cpuinfo
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf pni pclmulqdq vmx ssse3 cx16 sse4_1 sse4_2 popcnt aes xsave avx lahf_lm ida arat xsaveopt pln pts dts tpr_shadow ept vpid
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf pni pclmulqdq vmx ssse3 cx16 sse4_1 sse4_2 popcnt aes xsave avx lahf_lm ida arat xsaveopt pln pts dts tpr_shadow ept vpid

※何も表示しない場合は、上記手順を再度見直してください。

・KVMモジュールが読み込まれていることを確認

# lsmod |grep kvm

kvm_intel              54285  0
kvm                   333172  1 kvm_intel

※インテルのCPU(Intel VT)の場合は、kvm_intelが読み込まれます。
※AMDのCPU(AMD-V)の場合は，kvm_amdが読み込まれます。