目的
・WindowsとSambaのユーザ共有

仕様
・ユーザの登録、グループの登録、パスワードの変更はWindows（ActiveDirectory）のみで行う。
・Sambaサーバは、将来にわたって使えるように複数サーバに対応するようにする。

手順
１．SambaをWinbindでユーザー参照できるようにする。
２．ActiveDirectoryをWinbindで参照できるようにする。
３．OpenLDAPを設定し、ActiveDirecotryとユーザー参照をできるようにする。
４．WinbindがOpenLDAPにユーザー参照するようにする。

で、ようやく１だけ終わったのでメモ残し

VirtualPC上での設定はうまくいかない。（実機では同じ設定でいくがVirtualPC上ではうまくいかなかった。）

１．Portsでインストール。Sambaでのオプション変更。winbinddを入れる。

２．smb.confとnsswitch.confの編集。

smb.conf

workgroup　domain名？必要かどうか微妙。

server string　サーバ一覧に載るときの説明

security = ads
昔はdomainだったらしいがadsでうまくいった。

password server = *
よく分からんけど同一セグメントなら*でいいらしい。

realm　ドメイン名

passdb
backend　これもよく分からんからコメントアウトしただけ

socket options = TCP_NODELAY
昔こうだったきがしたので変えてみた。

netbios name = サーバー一覧に載るときの名前

winbind separator = +　FreeBSDでは、/は、
処理が変になる可能性があるので、+にdomainとグループと個人を

分ける際の/を+に置換する。

winbind uid =
10000-12000　winbindで使用するユーザーID、10000からはじめる場合が多いのかな？
ローカルとかぶらなければOK

winbind gid =
10000-12000　winbindで使用するグループID、10000からはじめる場合が多い。
ローカルとかぶらなければOK

ldap ssl =
no　Samba3.3以降ではこれがないとうまくいかないとのこと「Softwareデザイン」に書いてあった。

winbind use default domain =
yes　いちいちドメインから表示されたり打つのが面倒なため短縮用。

nsswitch.conf

group = files winbind

passwd = files winbind

どっちとも意味がいまいち分からんけどこうしろと書いてあったのでしてみる。

３．ADへの参加「net join ads -U ユーザー名」で参加。この地点でAD上にPCが追加されます。

４．SambaとWinbinddを起動し、wbinfoで、ユーザ一覧やグループ一覧が表示されるか調べる。

５．smb.confにADのユーザからアクセスできる領域の設定を行う。

私は、特に考えずに

Valid usersとforce user、force groupを使用して強制的に読み書きできるようにした。

force user、force groupは、ローカルのユーザーとIDでいいと思われる。

※Valid usersでアクセス権を定義するのだが、

・AD上のグループは、グローバルグループでないとならない。

・個人->グループ１->グループ２となっている場合。グループ２でアクセス定義してあってもうまくいかない。

・スペースを含むグループやユーザ名の場合。”（ダブルクオテーション）で囲む。

・2つ以上のグループや個人を定義する場合は、,（コロン）で列挙する。

・グループの場合は、@（アットマーク）を前につける。

これで一応動いているがまだ問題は山済み。

・ローカルユーザが作成されない。

・ローカルグループが作成されない。

この２つは、もしADが落ちたりした場合に、単体での運用ができなくなる。