🛂 🧔🏼 🍧 Samba4-Pythonスクリプトインターフェイスの使用 🤱 🗻 👱🏿

Samba4には統合されたPythonインターフェイスがあります。多くのユーティリティ（たとえば、samba-tool）は、このインターフェイスを使用してPythonで完全に実装されています。

LDAPインターフェースから行われたすべてのことは、Samba 4 Python Scriptingで行うことができます。利点-ファイルアクセス。これは、LDAPにはない高速でいくつかの機能を意味します。たとえば、あるデータベースからユーザーパスワードのハッシュを取得して、別のデータベースに転送できます。また、SID、パスワード、その他すべてを備えたユーザー自身を別のドメインに転送する必要があります（SIDの履歴に問題はありません）。

ドキュメントだけでは十分ではありませんが、 ソースがある場合は<samba-source> / python / sambaディレクトリにあり、それ以外の場合は/usr/lib/python2.7/dist-packages/sambaにあります。

最も興味深いのは、samdb.pyファイルです。これは、ADのほとんどの操作の実装です。

ADドメインコントローラーの構成にSamba4がインストールされているとします。 PythonプログラムからADデータベースに接続してみましょう。まず、必要なライブラリをインポートします。

#!/usr/bin/env python # -*- coding: utf-8 -*- import ldb from samba.samdb import SamDB from samba.auth import system_session from samba.ndr import ndr_pack, ndr_unpack from samba.dcerpc import security import samba.param import base64 import binascii

メインデータベース/sam.ldbへの接続：

 lp = samba.param.LoadParm() lp.load(samba.param.default_path()) # lp.load("/etc/samba/smb.conf") sam = SamDB(lp=lp,session_info=system_session())

（Samba4インストールのファイルおよびディレクトリの非標準の配置、さらには別の一時ベースに接続することも可能です。これについては以下を参照してください。）

これで、samオブジェクトを使用して、LDAP構文に完全に従ってADデータベースを検索および変更できます。

たとえば、データベース検索（ベースは「CN =ユーザー、DC = myDom、DC = lan」タイプのLDAPツリーノード、式はオプションの選択条件、attrsは必要な属性のリストです）：

 res = sam.search(base=base, expression=expression, attrs=[*])

ユーザーがOSに横たわることを許可します。

 base = "OU=myUsers,DC=myDom,DC=lan" #        base = "CN=Users,DC=myDom,DC=lan"

パスワード「secret」でユーザー「tst」を作成します。 SamDBクラスには既製のメソッド-newuser（）がありますが、これも試すことができます。

 newUsr = "tst" usrPass = "secret" ld = {'dn': 'CN=%s,%s' % (newUsr,base), "sAMAccountName": newUsr, "userPrincipalName": "%s@%s" % (newUsr,"myDom.lan"), "objectClass": "user", "displayName": newUsr, "description": newUsr, "homeDirectory": r"\\%s\users\%s" % ("myHost",newUsr), 'scriptPath': "loginScr.cmd", } sam.transaction_start() try: sam.add(ld) sam.setpassword("(samAccountName=%s)" % ldb.binary_encode(newUsr), usrPass, False) except: sam.transaction_cancel() print '!!!error' else: sam.transaction_commit()

ご覧のとおり、SamDBはトランザクションをサポートしています。

ADデータベース全体がそれほど大きくない場合は、次のコマンドで表示（および編集）できます。

 :~# ldbedit -e nano -H /var/lib/samba/private/sam.ldb

ただし、-sまたは-b（ベース）オプションを使用して選択を制限することをお勧めします。たとえば、 -b 'CN = RID Manager $、CN = System、DC = myDom、DC = com'です。

パスワードハッシュの転送は、次のように実行できます。

Samba4にも古いADベースがあるとします。新しいSamba4インストールを追加のAD DCとして接続することにより、Windows ADからデータベースのレプリカを取得できます-よく文書化された簡単な手順- こちらを参照してください。

コピーして接続します-接続sam0を呼び出しましょう。非標準パスとの接続（同じ場所で/ tmp / privとsmb.confにコピーさせてください）：

 lp0 = samba.param.LoadParm() lp0.load('/tmp/priv/smb.conf') lp0.set('private directory','/tmp/priv') sam0 = SamDB(lp=lp0,session_info=system_session())

ユーザーのリスト全体を取得し、パスワードを使用して、次のリクエストを行います。

 res = sam0.search(base="DC=oldDom,DC=myDom,DC=ru",expression="(&(objectCategory=person)(objectClass=user))", attrs=['*','unicodePwd'])

ユーザーベースを並べ替えて、新しいデータベースに追加します。概略的には、次のようになります。

 for r in res: dn = str(r.dn)#   DN ,     .  ! ------- sd = ndr_unpack(security.dom_sid,r['objectSid'][0])#  SID ,     (dom_sid, rid) = sd.split()#  SID   SID   RID ------- #....         - sam.add(ld). (  - ) #    : setpw = """ dn: %s changetype: modify replace: unicodePwd unicodePwd:: %s """ % (dn, base64.b64encode(str(r['unicodePwd']))) sam.transaction_start() try: sam.modify_ldif(setpw,["local_oid:1.3.6.1.4.1.7165.4.3.12:0"]) except: sam.transaction_cancel() print( '!!! ERROR SET PASSWORD USER : %s' % r['sAMAccountName']) else: sam.transaction_commit()

ここで、Win 2003のドメインからSamba4にユーザーを転送する実際の例です。

古いドメインには問題が蓄積されています（間違ったドメイン名で始まっていても）。 DCからSamba4への通常のレプリケーション（反対方向-Samba4 DC-> W2003 DC）は、おそらくドメイン内の問題が原因で開始されませんでした。

タスクはSamba3上のファイルサーバーの存在によって悪化したため、SAM3に既に存在するsAMAccountName <->マッピング（UID、GID）（通常は/var/lib/samba/winbindd_idmap.tdb ）を保存する必要がありました。実際には、タスクはここで説明したタスクに似ていました。

すべての実験と最終バージョンは、OpenVZコンテナー（CentOS 6）で実行されているUbuntu 14.04サーバーで行われました

Samba4のインストール、構成は何度も説明されています。たとえば、すでにここで言及されています。 rfc2307を使用したスキームでのUnix IDの通常の表示には、 sssdが使用されました。ちなみに、多くの人がお勧めするsernet Samba4アセンブリは使用しないほうがよい-sssdパッケージと友達になるのは難しい。

ユーザーのパスワードとSIDを保存するには、前述のように、古いADデータベースがプライベートディレクトリSamba4の形で既に存在している必要があります。詳細（ここを参照）、「samba-tool domain join samdom.example.com DC -Uadministrator --realm = samdom.example.com」をスキップすると、必要なデータベースが既に作成されているため、sambaサービスを開始せずにそこで停止できます。。データベースをさらに更新する必要がある場合は、sambaサービスを開始せずに行うことはできません。

既存のWin ADドメインへの影響は最小限です（ほとんどアイドル状態のコントローラーがもう1つ作成されるため、ログに多くのNTDSレプリケーションエラーが発生します）。スタンドアロンADデータベースを作成した後、リスクなしで仮想環境で実行できます。 MS Winドメインがしばらくの間正常に動作する必要がある場合、この一時的なSamba4を強制終了し、動作中のDCからこのDCに関する情報をクリーンアップすることをお勧めします。

結果のプライベートディレクトリ（通常/ var / lib / samba / privateまたは/ usr / local / samba / private ）は将来のSamba4にどこかにコピーし、/ etc / sambaからsmb.confもコピーする必要があります。これで、古いドメインに関するすべてのデータが1か所に保存され、ローカルFSでも使用できるようになりました。

Samba3にファイルサーバーがまだある場合、Samba3で開発したidmapを保持したい場合は、Samba3から/ var / lib / sambaディレクトリを置く必要があります（winbindd_idmap.tdbとgroup_mapping.tdbの2つのファイルが必要です）。。

conf.pyファイルの形式で初期パラメーターをフォーマットします。

 #!/usr/bin/env python # -*- coding: utf-8 -*- smb_conf = '/etc/samba/smb.conf' smb_priv = '/var/lib/samba/private' dom0 = 'olddom.mydom.ru' #    dom1 = 'newdom.lan' #   . (!)  ,    -      host = 'newdc' #    maildom = 'mydom.ru' # .  #homeDirectory, homeDrive = r'\\newdc\Users','Z:' #  smb_priv0 = '/var/lib/samba/private-0' #private directory    samba4 (    smb.conf!) smb3db = '/var/lib/samba/samba3' #  -  3 ( /var/lib/samba ()),  None start_unix_id = 50000 #   GID  UID   . ############     d0, d1 = dom0.split('.'), dom1.split('.') base0 = ','.join(['DC='+x for x in d0]) base, dom, realm = ','.join(['DC='+x for x in d1]), d1[0].upper(), '.'.join(d1).upper()

メインの伝達関数を1つのファイルに集めましょう

lib1.py

 #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import string import ldb from struct import unpack #from samba.idmap import IDmapDB from samba.samdb import SamDB from samba.auth import system_session from samba.ndr import ndr_unpack from samba.dcerpc import security import samba.param import base64 from conf import * def get_1out(cmd): # 1     import subprocess return subprocess.Popen(cmd, stdout=subprocess.PIPE).stdout.read().splitlines()[0] if not 'host' in globals(): host = get_1out('hostname').upper() if not 'smb3db' in globals(): smb3db = None my_log = lambda *x: None chgDc = lambda x: x def set_my_log(): #   -.   .   from datetime import datetime global my_log f_log = open(datetime.strftime(datetime.now(), "log_%y-%m-%d_%H:%M:%S.txt"),'w') def my_log(*x): try: xx = ' '.join(x) except: xx = ' '.join(map(lambda a: str(a),x)) f_log.write(xx+'\n') print xx def mk_chg(d0=d0,d1=d1): #  . d0,d1      . !!!: len(d0) >= len(d1) import re global chgDc if d0 == d1: return dif = len(d0)-len(d1)+1 #      , ddx = [d0[0],] + d0[dif:] #     ,  ddx == d0 #1  , 2   , 3 .. : myRe = [('',re.compile(r'\b(DC=)?%s\b[,.]?' % x, re.I)) for x in d0[1:dif]] +\ [(b,re.compile(r'\b%s\b' % a)) for (a,b) in zip(ddx,d1)] +\ [(b.upper(),re.compile(r'\b%s\b' % a.upper(), re.I)) for (a,b) in zip(ddx,d1)] def chg(s): #    d0 -> d1 for r in myRe: s = r[1].sub(r[0],s) return s chgDc = chg return chg def mk_sam0(smb_priv0=smb_priv0): #    . smb_priv0 - private directory   (    smb.conf!) import os global sam0 lp0 = samba.param.LoadParm() lp0.load(smb_priv0+'/smb.conf') # smb.conf     private directory!!! lp0.set('private directory',smb_priv0) sam0 = SamDB(lp=lp0,session_info=system_session()) os.unsetenv('SMB_CONF_PATH') return sam0 def mk_sam(host=host): #         global sam, ridSet, ridMan, sfu, idmap, minRid, nis lp = samba.param.LoadParm() lp.load(smb_conf) lp.set('private directory',smb_priv) sam = SamDB(lp=lp,session_info=system_session()) # idmap = IDmapDB(lp=lp) sfu = "CN=%s,CN=ypservers,CN=ypServ30,CN=RpcServices,CN=System,%s" % (dom,base) # dn  sfu (msSFU30OrderNumber...) ridSet = "CN=RID Set,CN=%s,OU=Domain Controllers,%s" % (host, base) # dn  rIDNextRID ridMan = "CN=RID Manager$,CN=System,"+base # dn  RID Manager if not 'minRid' in globals(): minRid = int(sam.search(base = ridSet, attrs=["rIDNextRID"])[0]["rIDNextRID"][0]) my_log('\tminRid=%s' % str(minRid)) if not 'nis' in globals(): nis = str(sam.search(base=sfu, attrs=['msSFU30Domains'])[0]['msSFU30Domains'][0]) sam.nis = nis return sam def get_map0(i=None, path=smb3db, maps = {}): #  sAMAccountName <-> UID   idmap smb3 -  maps if not maps: if path != None: from samba.samba3 import DbDatabase mapdb = DbDatabase(path+'/group_mapping') for x in mapdb.db.iterkeys(): if x.startswith('UNIXGROUP') : y = mapdb.db.get(x) maps[y[8:-2]] = ('GID',unpack('<L',y[0:4])[0]) mapdb.close() mapdb = DbDatabase(path+'/winbindd_idmap') for x in mapdb.db.iterkeys(): if x.startswith('S-1'): y = mapdb.db.get(x) res = sam0.search(base=base0,expression="(objectSid=%s)" % x.rstrip("\x00"), scope=ldb.SCOPE_SUBTREE, attrs=["sAMAccountName"]) if len(res) > 0 and 'sAMAccountName' in res[0]: maps[str(res[0]["sAMAccountName"][0])] = y.rstrip("\x00").split(" ") mapdb.close() else: #     idmap,       ID 'Domain Users' my_log('!? Not MAP0') maps['Domain Users'] = ['GID',start_unix_id] if 'sam' in globals(): res = sam.search(base=base,expression="(sAMAccountName=Domain Users)",attrs=['gidNumber']) if len(res) > 0 and 'gidNumber' in res[0]: maps['Domain Users'][1] = int(res[0]['gidNumber'][0]) maps['_users'] = maps['Domain Users'][1] # .    my_log('Set Domain Users = %d' % maps['_users']) maps['Administrator'] = ('UID',0) maps['Administrators'] = ('GID',0) if i == None: return maps return maps[i] if i in maps else False def mk_fill_matrix(m,r): # helper    m  cp_usr()  cp_grp() def rp(k,chg=0): #  chg!=0 -   ! if k in r: m[k] = str(r[k][0]) if chg==0 else chgDc(str(r[k][0])) return rp def mk_fill_ldb_msg(dn): # helper      ldb.Message m2 m2 = ldb.Message() m2.dn = ldb.Dn(sam, str(dn)) def rp(fld=None,val='',flg=ldb.FLAG_MOD_REPLACE): if fld: m2[fld] = ldb.MessageElement(str(val), flg, fld) return m2 return rp def usn_sort(res): #    res    -     (ou, grp) x = [r for r in res] x.sort(key = lambda r: int(r["uSNCreated"][0])) return x def rid_sort(res): #    res   RID x = [r for r in res] x.sort(key = lambda r: int(unpack('<I',r['objectSid'][0][-4:])[0])) return x def set_grp_gid(r,gid): # Unix GID   rp = mk_fill_ldb_msg(r.dn) rp("msSFU30NisDomain",nis) rp("msSFU30Name",r['sAMAccountName'][0]) rp("gidNumber",gid) sam.modify(rp()) def set_usr_gid_uid(r,uid): # Unix GID, UID   rp = mk_fill_ldb_msg(r.dn) rp("msSFU30NisDomain",nis) rp("uid",r['sAMAccountName'][0]) rp("uidNumber",uid) rp("gidNumber",get_map0('_users')) # rp('objectClass','posixAccount',ldb.FLAG_MOD_ADD) sam.modify(rp()) def map_grp(): #   GID  IdMap  Samba 3 res = sam.search(base=base,expression="(objectClass=group)") my_log( "\tmap_grp ALL GRP COUNT: %s" % len(res)) sam.transaction_start() try: for r in res: x = get_map0(str(r['sAMAccountName'][0])) if x: set_grp_gid(r,x[1]) except: sam.transaction_cancel() my_log( '!!! ERROR MAP GRP %s' % r['sAMAccountName']) else: sam.transaction_commit() def map_usr(): #   UID  IdMap  Samba 3 res = sam.search(base=base,expression="(&(objectCategory=person)(objectClass=user))",attrs=["sAMAccountName"]) my_log( "\tmap_usr ALL USR COUNT: %s" % len(res)) sam.transaction_start() try: for r in res: x = get_map0(str(r['sAMAccountName'][0])) if x: set_usr_gid_uid(r,x[1]) except: sam.transaction_cancel() my_log( '!!! ERROR SET SFU30 ATTR. USER %s !!!' % x[1]) else: sam.transaction_commit() def cp_ou(): #  organizationalUnit ous = [str(r.dn) for r in sam.search(base=base,expression="(objectClass=organizationalUnit)", attrs=[])] res = sam0.search(base=base0,expression="(objectClass=organizationalUnit)") my_log( "\tOU COUNT: %s" % len(res)) for r in usn_sort(res): dn = chgDc(str(r.dn)) if not dn in ous: m = {"dn": dn, "objectClass": "organizationalUnit", "name": str(r["name"][0])} try: sam.add(m) except: my_log("!!!Error Add OU : %s" % dn) def cp_usr(): #   users = [str(r.dn) for r in sam.search(base=base,expression="(&(objectCategory=person)(objectClass=user))", attrs=[])] res = sam0.search(base=base0,expression="(&(objectCategory=person)(objectClass=user))", attrs=['*','unicodePwd']) my_log( "\tNEW USR COUNT: %s" % len(res)) for r in res: dn = chgDc(str(r.dn)) if dn in users: continue sd = ndr_unpack(security.dom_sid,r['objectSid'][0]) (group_dom_sid, rid) = sd.split() if rid <= minRid: my_log( '!! MinRid ERR : ', r['sAMAccountName'][0] ) continue m = {"dn": dn, "objectClass": "user"} rp = mk_fill_matrix(m,r) rp('userPrincipalName',1) rp('sAMAccountName') rp('sn') rp('name') rp('initials') rp('displayName') rp('scriptPath') rp('description') rp('userAccountControl') rp('pwdLastSet') m["nTSecurityDescriptor"] = r['objectSid'] if 'maildom' in globals(): m["mail"] = "%s@%s" % (r['sAMAccountName'][0], maildom) if 'homeDirectory' in globals(): m["homeDirectory"] = r"%s\%s" % (homeDirectory,r['sAMAccountName'][0]) if 'homeDrive' in globals(): m["homeDrive"] = homeDrive sam.transaction_start() try: sam.add(m) except: sam.transaction_cancel() my_log( '!!! ERROR ADD USER : %s' % m['sAMAccountName']) else: sam.transaction_commit() # Copy the password for it if not 'unicodePwd' in r: my_log( '!!! NOT PASSWD FOR USER : %s' % m['sAMAccountName']) continue setpw = """ dn: %s changetype: modify replace: unicodePwd unicodePwd:: %s """ % (dn, base64.b64encode(str(r['unicodePwd']))) sam.transaction_start() try: sam.modify_ldif(setpw,["local_oid:1.3.6.1.4.1.7165.4.3.12:0"]) except: sam.transaction_cancel() my_log( '!!! ERROR SET PASSWORD USER : %s' % m['sAMAccountName']) else: sam.transaction_commit() def cp_grp(): #   grps = [str(r.dn) for r in sam.search(base=base,expression="(objectClass=group)", attrs=[])] res = sam0.search(base=base0,expression="(&(objectClass=group)(objectCategory=Group))") my_log( "\tNEW GRP COUNT: %s" % len(res)) for r in usn_sort(res): dn = chgDc(str(r.dn)) if dn in grps: continue sd = ndr_unpack(security.dom_sid,r['objectSid'][0]) (group_dom_sid, rid) = sd.split() if rid <= minRid: my_log( '!! MinRid ERR : ', r['name'][0] ) continue m = {"dn": dn, "objectClass": "group"} rp = mk_fill_matrix(m,r) rp('sAMAccountName') rp('groupType') rp('description') m["nTSecurityDescriptor"] = r['objectSid'] sam.transaction_start() try: sam.add(m) except: sam.transaction_cancel() my_log( '!!! ERROR add GRP %s !!!' % m['sAMAccountName']) else: sam.transaction_commit() def grp_fill(): #   my_log( "\tgrp_fill") grps ={} for r in sam.search(base=base,expression="(&(objectClass=group)(objectCategory=Group))",attrs=['member']): grps[str(r.dn)] = r['member'] if 'member' in r else [] users = [str(r.dn) for r in sam.search(base=base,expression="(&(objectCategory=person)(objectClass=user))", attrs=[])] for r in sam0.search(base=base0,expression="(&(objectClass=group)(objectCategory=Group))",attrs=['member']): if not 'member' in r: continue grp = chgDc(str(r.dn)) if not grps.has_key(grp): my_log( "!!not found group:\t",grp) continue add_m = '' for m in r['member']: m = chgDc(m) if m in grps[grp]: continue if not m in users: try: sam.search(base=m, attrs=[]) except: my_log( "!? err (not found) add %s \tto %s" % (m,grp)) continue add_m += "add: member\nmember: %s\n" % (m) if add_m == '': continue add_m = "\ndn: %s\nchangetype: modify\n%s\n" % (grp,add_m) sam.transaction_start() try: sam.modify_ldif(add_m) except: sam.transaction_cancel() my_log( "!!!Error fill grp "+grp) else: sam.transaction_commit() def set_max_gid_uid(max_gid=start_unix_id, max_uid=start_unix_id): #  max GID, UID   my_log('set_max_gid_uid start: set max_gid=%s, max_uid=%s' % (max_gid, max_uid)) chg = '' r = sam.search(base=sfu)[0] for x in (['msSFU30MaxGidNumber',max_gid],['msSFU30MaxUidNumber',max_uid]): x[1] = max(x[1],start_unix_id) if not x[0] in r or x[1] > int(r[x[0]][0]): chg += "replace: %s\n%s: %d\n" % (x[0],x[0],x[1]) if chg != '': chg = "\ndn: %s\nchangetype: modify\n%s\n" % (sfu,chg) sam.transaction_start() try: sam.modify_ldif(chg) except: sam.transaction_cancel() my_log( "!!!Error set msSFU30Max...") else: sam.transaction_commit() def get_next_uid(): #   UID   nm = 'msSFU30MaxUidNumber' r = sam.search(base=sfu)[0] x = start_unix_id if nm in r: x = max(x, int(r[nm][0])) sam.transaction_start() try: sam.modify_ldif("\ndn: %s\nchangetype: modify\nreplace: %s\n%s: %d\n" % (sfu,nm,nm,x+1)) except: sam.transaction_cancel() my_log( "!!!Error set msSFU30Max...") raise else: sam.transaction_commit() return x def set_max_id(): # max GID, UID,   ,   +1 max_gid = max([int(r['gidNumber'][0]) for r in sam.search(base=base,expression="(&(objectClass=group)(gidNumber=*))",attrs=['gidNumber'])]+[0]) max_uid = max([int(r['uidNumber'][0]) for r in sam.search(base=base,expression="(&(objectCategory=person)(objectClass=user)(uidNumber=*))",attrs=['uidNumber'])]+[0]) set_max_gid_uid(max_gid=max_gid+1,max_uid=max_uid+1) def check_id(): # . GID, UID   r = sam.search(base=sfu)[0] (max_gid,max_uid) = [int(r[x][0]) if x in r else start_unix_id for x in ('msSFU30MaxGidNumber','msSFU30MaxUidNumber')] my_log('check_id start: initial max_gid=%d, max_uid=%d' % (max_gid, max_uid)) sam.transaction_start() try: for r in rid_sort(sam.search(base=base,expression="(&(objectClass=group)(!(gidNumber=*)))",attrs=['sAMAccountName','objectSid'])): set_grp_gid(r,max_gid) max_gid += 1 for r in usn_sort(sam.search(base=base,expression="(&(objectCategory=person)(objectClass=user)(!(uidNumber=*)))",attrs=['sAMAccountName','uSNCreated'])): set_usr_gid_uid(r,max_uid) max_uid += 1 except: sam.transaction_cancel() my_log( '!!! ERROR check_id %s' % r['sAMAccountName']) else: sam.transaction_commit() set_max_gid_uid(max_gid=max_gid,max_uid=max_uid) def set_max_rid(): # max RID  ,   "RID Set"  "RID Manager" res = sam.search(base=base,expression="(&(sAMAccountName=*)(objectSid=*))",attrs=["objectSid"]) my_log( "\tSID COUNT: %s" % len(res)) x = max([int(unpack('<I',r['objectSid'][0][-4:])[0]) for r in res]) rmin = (x-100)/500*500+100 pool = rmin + ((rmin + 499) << 32) my_log("\tRid Set: %d %d %d " % (rmin,x,rmin + 499)) m = mk_fill_ldb_msg(ridSet) m('rIDNextRID',x) m('rIDAllocationPool',pool) m('rIDPreviousAllocationPool',pool) m2 = mk_fill_ldb_msg(ridMan) m2('rIDAvailablePool',rmin + 500 + (1073741823 << 32)) sam.transaction_start() try: sam.modify(m()) sam.modify(m2()) except: sam.transaction_cancel() my_log( '!!! ERROR Set rIDNextRID %s' % x) else: sam.transaction_commit() return x def mk_dom(): #     samba 4   SID,       administrator = "1" !!! from samba.netcmd.main import cmd_sambatool def cmd(args, subcom='domain'): cmd = cmd_sambatool() try: retval = cmd._run("samba-tool", subcom, *args) except SystemExit, e: retval = e.code except Exception, e: cmd.show_command_error(e) retval = 1 if retval: sys.exit(retval) cmd(('provision', '--host-name=%s' % host, '--realm=%s' % realm, '--domain=%s' % dom, '--domain-sid=%s' % get_1out('./get_dom_sid.py'), '--adminpass=UJHkjhm7KH$$2vrXy', '--function-level=2003', '--server-role=dc', '--use-rfc2307', '--dns-backend=SAMBA_INTERNAL')) cmd(('passwordsettings', 'set', '--complexity=off', '--history-length=0', '--min-pwd-length=0', '--min-pwd-age=0', '--max-pwd-age=0')) cmd(('setpassword', 'administrator', '--newpassword=1'),subcom='user') #    1.     !!

mk_dom（）関数の外部プログラムとしてget_dom_sid.pyの呼び出しがあります-新しいドメインを初期化します。

get_dom_sid.pyは、古いドメインのSIDを出力するだけです：

 #!/usr/bin/env python from lib1 import mk_sam0 print mk_sam0().domain_sid

これは、新しいドメインを作成するのと同じストリームで古いドメインのデータベースに接続するときに、環境変数が古いデータで置き換えられたため、実行する必要がありました。

したがって、必要なすべてのパッケージ（samba4、sssd、および依存関係）がインストールされた後、古いデータベースのディレクトリが適切な場所にコピーされ、新しいドメインの作成を開始できます。

ドメインの初期化-mk_dom.pyを起動します。

 #!/usr/bin/env python # -*- coding: utf-8 -*- from lib1 import * set_my_log() mk_dom()

すべてがうまくいった場合（ログファイルの名前はlog_％y-％m-％d_％H：％M：％S.txt）、smb.confを見て、[global]セクションに一時的に追加します。

dns forwarder = <古いDCアドレス>（ワークステーションを新しいドメインに転送する時点）。

/ var / lib / samba / privateから/ etcにkrb5.confをコピーします（またはシンボリックリンクを作成します）。次に、スクリプトを実行して、古いドメインcp_dom.pyのオブジェクトをコピーします。

 #!/usr/bin/env python # -*- coding: utf-8 -*- from lib1 import * set_my_log() my_log(base0,' ->',base, dom, realm) mk_chg() #    mk_sam0() #    mk_sam() #    cp_ou() # organizationalUnit cp_grp() #  cp_usr() #  grp_fill() #   get_map0() #   sAMAccountName <-> UID (   idmap Samba3) map_grp() # unix GID   map_usr() # unix GID, UID   set_max_rid() # max RID  ,   "RID Set"  "RID Manager" set_max_id() # max GID, UID,   ,   +1   check_id() #  GID, UID

エラーは必然的にログファイルに分類されます。最も深刻な-3つの文字「！」前に。タイプ：

!!! ユーザー追加エラー：5CA6ADDF-A2C8-46E5-A

!!! パスワード設定ユーザーのエラー：5CA6ADDF-A2C8-46E5-A

ほとんどの場合、これらは現在のスキームには存在せず、本質的に不要なオブジェクトです。ドメイン内のフォレストに別のドメインからのユーザーがいた場合、それらの追加も機能せず、ログに記録されます。型エラーは重要ではありません!! MinRid ERR：DCOMユーザー

すべてが耐えられる場合は、Sambaを起動します。

 start samba-ad-dc

sssd設定について少し

詳細については、ここで説明します（方法1：Kerberosを介したADへの接続）。

sssd用のKerberosの準備：

 samba-tool domain exportkeytab /etc/krb5.sssd.keytab --principal=<myHostName>$ chown root:root /etc/krb5.sssd.keytab chmod 600 /etc/krb5.sssd.keytab

ファイル/etc/sssd/sssd.conf：

 [sssd] services = nss, pam config_file_version = 2 domains = newdom.lan [nss] [pam] [domain/newdom.lan] id_provider = ad auth_provider = ad ldap_schema = ad krb5_keytab = /etc/krb5.sssd.keytab access_provider = ad ldap_id_mapping=false enumerate = true

sssdキャッシュをリセットします。

 sss_cache -GU

sssdの再起動：

 restart sssd

ところで、sssdキャッシュをフラッシュしても、ADに大きな変更が加えられない場合があります。次に、sssdが停止したら、/ var / lib / sss /からディレクトリを削除し、空の構造を（インストールパッケージから）復元する必要があります。

ユーザーとグループの表示を確認します（sssdデータベースはしばらくの間いっぱいになっています）。

 getent passwd getent group

ユーザーをドラッグアンドドロップする最も簡単な方法は、 netdom.exeユーティリティ（netdom.exe move /？）を使用して、古いサーバーのログオンスクリプトに追加することです。 OSに適したnetdom.exeのバージョンを実行する必要があります。 SID、GID、UID、およびユーザーパスワードが保存されているため、移動はユーザーに対してほとんど透過的です。ローカルフォルダーはネットワークリソースも含めたままです。 Sambaファイルサーバー構成でドメインの名前を変更するだけです。

私にとってはさらに簡単でした-動物園全体がOpenVZの下に住んでいたため、別のFS上のネットワークリソースは異なるファイルサーバーに同時に簡単にマウントでき（DCをファイルサーバーにすることも可能です）、アクセスの問題はGIDとUIDを一致させることで自動的に解決されました。

グループポリシーオブジェクトは新しいドメインに移行されませんでした。

Samba4-Pythonスクリプトインターフェイスの使用

More articles: