本稿ではLinux認定試験のLPICで必要とされる知識のうち見直すべきポイントをまとめます。
問題演習で引っかかったポイント
smbdのポート番号
- Direct Hosting SMB:445/TCP(最近はこちら)
- NetBIOS:139/TCP(古くはこちら)
nmbdのポート番号
nmbdはその名の通りNetBIOSのデーモンであるため,smbdでTCP/445を利用していたら無効化することが多い。NetBIOSを利用する場合は以下の通り。
- NetBIOS Name Service:137/UDP
- NetBIOS Datagram Service:138/UDP
グローバルカタログとは
検索を高速化するため,フォレスト・ドメイン内の全オブジェクトの情報から頻繁に利用される属性を抽出したデータベースのこと。
グローバルカタログのポート番号
- 非セキュア:3268/TCP
- セキュア:3269/TCP
samba4.xのデーモン
Samba4.xをドメインコントローラとして動作させる場合,sambaプロセスがsmbd, winbindd, dns, kerberos, ldap, global catalogなどを含む統合プロセスが起動する
sambaの中にsmbd, winbinddというデーモンが含まれるような書き方になっていますが,実際には個別のデーモンを動かすのではなくsambaが統合プロセスとしていい感じに処理してくれているみたいです。個別のデーモンを動かすことも可能ではあるみたいです。
新規作成時のパーミッションが770でcreate maskが755の場合
ANDが適用されるため750
新規作成時のパーミッションが770でforce directory modeが755の場合
ORが適用されるため775
プリンタ共有でsamba側では印刷データのレンダリングを行わない設定
[printers]
cups options = raw
CUPSはCommon Unix Printing Systemの略称です。
ワークグループ名(ドメイン名)を表すSamba変数
%D
NetBIOS名(Sambaサーバに接続しているマシン名)を表すSamba変数
%m
smbclientで使用するSMBのプロトコルを指定するオプション
smbclient -m
max-protocolの略称です。
passdb backendとして標準の設定
tdbsam
Trivial Database Security Account Managerの略称です。他には旧方式のsmbpasswdやldapsamが指定できます。
sambaの設定をレジストリに入れる場合の設定
config backend = registry
分散ファイルシステムを有効化する設定
msdfs root = yes
DCに昇格させるコマンド
samba-tool domain provision
FSMOとは
flexible single master operationの略称で,フォレスト・ドメイン内にDCがある場合に特定の役割を1台のDCに割り当てる操作のこと。分業や移譲みたいなイメージ。
フォレスト単位のFSMOのロールを3つ挙げよ
- スキーママスター(ADのデータ構造を変更できる唯一のDC)
- ドメイン名前付けマスター(フォレスト内のドメインの追加・削除を管理)
- RIDマスター(RIDと呼ばれるユーザやグループの識別子を管理)
RIDはRelative Identifierの略称です。
ドメイン単位のFSMOのロールを2つ挙げよ
- PDCエミュレータ(パスワード反映や時刻同期基準の担保など)
- インフラマスター(他ドメインのオブジェクト情報を最新化する)
PDCはPrimary Domain Controllerの略称です。レプリケーションにおけるPrimaryの意味。
krb5.confにおいてlibdefaults/appdefaultsとは何を意味するか
- libdefaults:Kerberosライブラリ全体のデフォルト設定を定義する。ticket_lifetimeのイメージ。
- appdefaults:特定のアプリケーションに対してKerberosのデフォルト設定を定義する。PAMのイメージ。
krb5.confにおいてrealms/domain_realmとは何を意味するか
- realms:realmごとの設定を定義する。kdc/admin_server/default_domainのイメージ。
- domain_realm:ホスト名やドメイン名とrealmの対応を定義する。lpic.com=LPIC.COMのイメージ。
default_realmが含まれるkrb5.confの項目
libdefaults
krb5.confにおいてcapaths/pluginsとは何を意味するか
- capaths:realm間の相互認証pathを定義する。異なるrealm間でチケットを転送する際の経路。
- plugins:拡張機能の管理。それぞれのpluginでmoduleとdisableを指定するイメージ。
krb5.confにsecureというセクションは存在するか
存在しない
krb5.confにcryptoというセクションは存在するか
存在しない
Sambaのステータスフラグとは
samba(smbd・nmbd・winbinddなど)の動作状態や構成に関する情報を示すフラグのこと
winbindデーモンに情報を問い合わせるコマンド
wbinfo
smbclientでTDBファイルの内容をダンプできるか
できない。tdbtoolかtdbdumpでダンプする。
SYSVOL共有とは
AD環境のDCで利用される共有フォルダ。FRSによってDC間レプリケーションする。
FRSはFile Replication Serviceの略称です。
ipactlにresetは存在するか
存在しない。start/stop/restartだけ。
SambaサーバをADドメインのメンバーとして参加させるコマンド
- net ads join
- samba-tool domain join {ドメイン名}
samba-toolの方が新しいコマンドです。net adsではsmb.confにドメイン名が記述されています。
Sambaでプリンター共有を行うためには[print$]セクションの記述に加えて何が必要か
- クライアント側(Windows端末)でGUI上のプリンターの追加ウィザードを実行する
- クライアント側(Windows端末)でCUIのrpcclientを実行する
SambaのACLを設定するコマンド
setfacl
NFSv4のACLをエディタ設定するコマンド
- nfs4_setfacl
- nfs4_editfacl
Linuxでパスワードを変更する際にSambaのパスワードも自動的に変更させるモジュール
pam_smbpass.so
Sambaでパスワードを変更する際にLinuxのパスワードも自動的に変更させるモジュール
pam_smbpass.soを導入した上で/etc/samba/smb.confでunix password sync = yesを設定する
pam_mountの設定ファイル
/etc/security/pam_mount.conf.xml
LDIFファイルでchangetypeにmodifyを指定したときに指定できる変更種別
add・delete・replace
removeではなくdeleteです。
NFS共有を設定するファイルのパス
/etc/exports
/etc/exportfsのようにexport"fs"としないように。
Windows NT上のファイルやディレクトリのACLを表示する
smbcacls
SMB client ACLsで覚えてしまいましょう。
Winbindが生成するユーザーやグループの情報を指定する設定
/etc/samba/smb.confで[global]セクションにshellやhomedirを指定する
VFSモジュールを使用してNTFSのACL設定を行うコマンド
vfs objects = acl_xattr
VFSはSambaがファイルシステムの操作を行う際に使用するプラグインのことで,NTFSはWIndowsにおける標準的なファイルシステムのことです。xattrはExtended Attributesのことを指します。xattrを追加しないとWindowsと互換性を保てないというイメージをもつとよいでしょう。
デフォルトで作成されるADドメインポリシー
- Default Domain Policy
- Default Domain Controllers Policy
デフォルトで作成されるADドメインのグループ
- Domain Admins
- Domain Users
- Domain Guests
- Default Security Group
Winbindの設定ファイル
/etc/samba/smb.conf
SMBにおける排他制御を説明せよ
便宜的ロックと呼ばれる制御で,ファイルが開かれたときにクライアントがファイルのロックを取得するのではなくサーバーがクライアントに対してロックを通知するという仕組み
FreeIPAのIDビューとは
複数のドメインのIDを同じFreeIPAサーバー上で管理できる機能
ユーザがビューに属すると元々の情報が上書きされてしまう挙動になります。
ディレクトリレプリケーションを管理するsamba-toolのサブコマンド
drs
samba-tool domain passwordsettingsには最長のパスワード文字列の設定は存在するか
存在しない
smb.confのidmapオプションで指定できるnssとは
Name Service Switchのこと
DFSの仕組みを一言でまとめよ
DFS名前空間を共通化することにより分散ファイルシステム上のファイル共有を可能にするという仕組み
ローミングファイルとは
ユーザごとの設定ファイルやデータそのもののこと。ホームディレクトリの中身など。プロファイルとして保持しておけばどの環境からログインしてもデータを再現できるイメージ。
Windowsでログイン時に自動でドライブを作成する方法
- グループポリシーオブジェクト
- ログオンスクリプト
ドライブレターとはドライブの識別子で,C:やD:などが該当します。
Kerberosにおいて認可チケット(TGT)の取得を行うコマンド
kinit
lpic.example.comのLDAPルートオブジェクト
DC=lpic,DC=example,DC=com
ユーザーとグループを格納できるSambaバックエンド
- ldapsam
- smbpasswd
SELinuxが利用するFreeIPAのHBACルールとは
Host-Based Access Controlの略称で,ユーザーやホスト間のアクセス制御を管理するルールのこと
SSSDでsmbは利用できるか
できない
UNCパスとは
Universal Naming Conventionの略称で,Windows環境で使用されるネットワーク上のリソースを指定するための標準的な形式
Sambaの共有一覧を表示するコマンドとそのオプション
smbclient -L
smbcontrolなどと間違わないように。
DNSリクエストの転送先となるサーバを指定するオプション
dns forwarder
dnsが必要でforwarderだけで記述しないようにしてください。また,forwardersのように複数形にしないように注意してください。
LDBファイルのバックアップを行うコマンド
tdbbackup
Sambaサーバーの設定をレジストリ形式で表示編集するコマンド
samba-regedit
Microsoft RSAT Toolsとは
Remote Server Administration Toolsの略称で,Windowsサーバーのリモート管理を行うためのツールセット
Microsoft MMCとは
Management Consoleの略称で,Windows管理ツールの統合プラットフォーム
SambaのDB整合性チェックを行うコマンド
samba-tool dbcheck
SambaでDNSレコードを更新するコマンド
samba_dnsupdate
Windowsドメインに存在するユーザーアカウントを一覧表示するためのコマンド
winbind enumerate users
NSSでldapは扱えるか
扱えない
ipa-useraddとipa user-addはどちらが正しいか
ipa user-add
LDBからエントリを削除するコマンド
ldbdel
ldbdeleteでもldbremoveでもない点に注意してください。
PAMのモジュールタイプにpasswordはあるか
ある
PAMのモジュールタイプにauthenticationはあるか
ない。authがある。
krb5.confにsecureはあるか
ない
krb5.confにauthはあるか
ない
idmapのバックエンドにldapは使えるか
使えない。tdbやnssを使う。
smbclientでTDBはダンプできるか
できない
samba-toolでグループにユーザを追加するサブコマンド
group addmembers
user addgroupではないため注意してください。
nmbはActive directoryのユーザアカウントをLinuxユーザとして使えるようにしてくれるか
してくれない。あくまでもSamba旧方式の名前解決だけ。
samba-tool group add --group-typeで指定できるタイプ
- Security(基本はこちら)
- Distribution(メール配布リストなど特別な用途で利用される)
コメント