Ubuntu18.04で認証なしsamba共有を作成する

同一ネットワーク内のほかの端末にデータを渡したい場合に、簡単に共有するための「読み取り専用のsamba共有」を作成するのが目的です。

sambaをインストールする。

# apt install samba

設定ファイルをバックアップする。

# mv /etc/samba/smb.conf /etc/samba/smb.conf.backup

設定ファイルを以下の内容で作成する。

[global]
unix charset = UTF-8
dos charset = CP932
security = user
map to guest = Bad User
guest account = nobody

[usershares]
path = /var/lib/samba/usershares/
browseable = yes
guest ok = yes

/var/lib/samba/usershares/の権限を適宜変更する。今回は個人利用なので777で良い。

# chmod 777 /var/lib/samba/usershares/

サービスの開始と有効化。

# systemctl start smbd
# systemctl enable smbd

Ubuntu18.04でLVDSのディスプレイを無効にする

接続していないのに、なぜかLVDS-1というディスプレイがメインディスプレイになっていて、HDMIで接続しているディスプレイがセカンダリ扱いになっている。無効にしたいので、”video=LVDS-1:d”を追記する。

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash video=LVDS-1:d"

設定ファイルを書き出す。

# grub-mkconfig -o /boot/grub/grub.cfg

Ubuntu18.04でmime-typeを追加する

今回はmhtmlファイルのアイコンをhtmlと同じアイコンにしたくて調べた。
下記のようなxmlファイルを作成する。

<?xml version="1.0" encoding="utf-8"?>
<mime-type xmlns="http://www.freedesktop.org/standards/shared-mime-info" type="application/mhtml">
  <comment>MHTML Web Achive</comment>
  <glob pattern="*.mhtml"/>
  <icon name="html"/>
</mime-type>

mime-typeのデータベースを更新する。

$ update-mime-database /home/user/.local/share/mime/

Ubuntu18.04が PCIe Bus Error: severity=Corrected, type=Physical Layer, id=00ea(Receiver ID) を吐きまくる

ある日、Thinkpad E480のUbuntu18.04をアップデートしたら、急に下記のようなエラーを約1秒ごとに吐き続けるようになってしまった。
GUIの動作には支障ない。原因はよくわからないが、とりあえず超じゃまなので止めたい。

Oct 22 09:02:45 host kernel: [  288.701027] pcieport 0000:00:1d.2: AER: Corrected error received: id=00ea
Oct 22 09:02:45 host kernel: [  288.701047] pcieport 0000:00:1d.2: PCIe Bus Error: severity=Corrected, type=Physical Layer, id=00ea(Receiver ID)
Oct 22 09:02:45 host kernel: [  288.701058] pcieport 0000:00:1d.2:   device [8086:9d1a] error status/mask=00000001/00002000
Oct 22 09:02:45 host kernel: [  288.701065] pcieport 0000:00:1d.2:    [ 0] Receiver Error         (First)
Oct 22 09:02:45 host kernel: [  288.914160] pcieport 0000:00:1d.2: AER: Corrected error received: id=00ea
Oct 22 09:02:45 host kernel: [  288.914176] pcieport 0000:00:1d.2: PCIe Bus Error: severity=Corrected, type=Data Link Layer, id=00ea(Receiver ID)
Oct 22 09:02:45 host kernel: [  288.914180] pcieport 0000:00:1d.2:   device [8086:9d1a] error status/mask=00000080/00002000
Oct 22 09:02:45 host kernel: [  288.914183] pcieport 0000:00:1d.2:    [ 7] Bad DLLP              
Oct 22 09:02:49 host kernel: [  292.271860] pcieport 0000:00:1d.2: AER: Corrected error received: id=00ea
Oct 22 09:02:49 host kernel: [  292.271865] pcieport 0000:00:1d.2: PCIe Bus Error: severity=Corrected, type=Physical Layer, id=00ea(Receiver ID)
Oct 22 09:02:49 host kernel: [  292.271867] pcieport 0000:00:1d.2:   device [8086:9d1a] error status/mask=00000001/00002000
Oct 22 09:02:49 host kernel: [  292.271869] pcieport 0000:00:1d.2:    [ 0] Receiver Error         (First)

grubの設定をいじる。
・PCI_MSIカーネル構成パラメーターが有効になっている場合、システム全体でMSI割り込みの使用を無効にする。
・PCIEAERカーネル構成パラメーターが有効になっている場合、PCIE拡張エラー報告を無効にする。

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash pci=nomsi"
GRUB_CMDLINE_LINUX="pci=noaer"

設定ファイルを作成する。

# grub-mkconfig -o /boot/grub/grub.cfg

再起動したらエラーでなくなった。

FreeIPAサーバーからIPAユーザーとWindows10のローカルユーザーを同期する

前提条件

この手順で設定したIPAサーバーを使用する
・IPAサーバーではexpectコマンドをインストール済み
この手順で設定したWindows10を使用する
・Windows10には設定からsshdをインストール済み

スクリプトの流れ

①FreeIPAサーバーですべてのIPAユーザーを取得してカンマ区切りに加工する
②expectコマンドを使用してWindowsにsshで接続する
③Windows上でユーザーの削除と追加を行うスクリプトに「①」で取得したユーザーリストを送信する

IPAサーバーのスクリプト

cronで定期的に実行するとWindowsの管理が少し楽になるかもしれない。
Windowsの台数が多い場合はsamba4のActiveDirectory使ったほうが良い。

#!/bin/bash

# Kerberosユーザーをすべて取得する
# IPAユーザー以外でログインしている場合はkinitが必要
# echo 'password' | kinit admin
USERS=`ipa user-find | grep "User login:*" | sed "s/  User login: //g" | sed -z "s/\n/,/g"`

# Windowsクライアントにsshで接続して専用batファイルを実行する
# WindowsのIPアドレスは192.168.0.100
# Administratorのパスワードは12345678
HOST="192.168.0.100"
expect -c "
	spawn ssh administrator@$HOST
	expect \"password:\"
	send 12345678\\n
	expect \"Microsoft Windows\"
	send \"C:\\\\Script\\\\UpdateUserAccounts.bat \\\"$USERS\\\"\r\n\"
	expect \"ユーザーリストの更新が完了しました。\"
	send exit\r\n
	interact
"

Windows10のスクリプト

ここではローカルにスクリプト置いてるけど、samba共有に置いた方が管理しやすいかも。

:# ※引数として渡されるユーザーリストはカンマ区切りで末尾にもカンマが必要
@echo off
set parameters=%~1
set domain=LOCAL.EXAMPLE.COM

setlocal enabledelayedexpansion

:# 引数で渡されたリストにいないユーザーの削除
set wmicresult=
for /f "usebackq tokens=*" %%P in (`wmic useraccount where "fullname LIKE '%%@%domain%'"`) do (
	set wmicresult=!wmicresult!%%P 
)
for %%P in (%wmicresult%) do (
	echo %%P | find "%domain%" 1>NUL
	if not ERRORLEVEL == 1 (
		set localname=%%P
		set localname=!localname:@%domain%=!
		echo !parameters! | find "!localname!," 1>NUL
		if ERRORLEVEL == 1 (
			net user !localname! /del 1>NUL
			rmdir /s /q !systemdrive!\Users\!localname! 1>NUL 2>NUL
		)
	)
)

:# 引数で渡されたリストでローカルにいないユーザーの作成
:# パスワードは実際のサインインには使用されないので固定値
:# パスワードの有効期限を無期限にする
:# 「Remote Desktop Users」グループに所属させる
set password=87654321
for %%P in (%parameters%) do (
	net user %%P 1>NUL 2>NUL
	if ERRORLEVEL == 1 (
		net user %%P %password% /add /expires:never /fullname:%%P@%domain% 1>NUL
		wmic useraccount where "Name='%%P'" set PasswordExpires=FALSE 1>NUL
		net localgroup "Remote Desktop Users" %%P /add 1>NUL
	)
)

endlocal

echo ユーザーリストの更新が完了しました。

Windows10にkerberos認証でサインインする

前提条件

・HomeでもProでも良い
・クライアントFQDNはwin01.local.example.com
・クライアントのhostをKDC上で作成しておく
・クライアントのkeytabを任意のパスワードで生成しておく
 (FreeIPAなら ipa-getkeytab -s dc1.local.example.com -p host/win01.local.example.com -k /etc/krb5.win01.keytab -P など)

PC名の変更

はじめにPC名をwin01にしておく。

認証サーバーの設定

コマンドプロンプトを管理者として起動し下記コマンドを実行する。

ksetup /setdomain LOCAL.EXAMPLE.COM
ksetup /setcomputerpassword keytab生成時に指定したパスワード
ksetup /addkdc LOCAL.EXAMPLE.COM dc1.local.example.com
ksetup /addkpasswd LOCAL.EXAMPLE.COM dc1.local.example.com
ksetup /mapuser * *

再起動と確認

Windowsを再起動して、フルコンピュータ名がwin01.local.example.comのようなFQDNになっていることを確認する。

暗号化の種類を構成

レジストリを編集して、Kerberosで許可する暗号化の種類を構成する。
RC4_HMAC_MD5・AES128_HMAC_SHA1・AES256_HMAC_SHA1を有効にするのが目的。
※gpedit.mscが使えるならGUIで設定しても良い

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters]
"SupportedEncryptionTypes"=dword:0000001c

ローカルアカウントの作成

kerberos認証でサインインするユーザーと同名のローカルアカウントを作成する。
※実際の認証には使われないがパスワードは管理者側で何か設定した方が良い

実際のサインイン

サインインする際は「user@LOCAL.EXAMPLE.COM」のようにrealmをつけて行う。

Ubuntu18.04をIPAクライアントとして設定する

前提条件

この手順で設定したIPAサーバーを使用する
・IdMなどでIPAサーバーにクライアントhostを作成しておく

ホスト名をFQDNにする。

# hostnamectl set-hostname client01.local.example.com

FQDNでの名前解決をできるようにしておく。

127.0.0.1    client01.local.example.com

必要なパッケージのインストール。

# apt install freeipa-client

対話型のインストーラーを起動する。
※「–enable-dns-updates」はDNSへのIPアドレス自動更新を有効にするオプション

# ipa-client-install --enable-dns-updates

IPAユーザーのログイン時にホームディレクトリを自動生成する設定。

# pam-auth-update --enable mkhomedir

再起動して完了。

CentOS7で設定したIPAサーバー上でsamba共有を行う

環境

・IPAサーバーのFQDNはipa1.local.example.com
・実際にはここの手順で構築したIPAサーバーを使用した

手順

IPAサーバー上でsambaをインストールする。

# yum install samba

IPAサーバーにサービスを追加する。IdMから追加しても良い。

# kinit admin
# ipa service-add cifs/ipa1.local.example.com

keytabを作成する。

# ipa-getkeytab -s ipa1.local.example.com -p cifs/ipa1.local.example.com -k /etc/samba/samba.keytab

共有ディレクトリを作成する。
※root以外がアクセスできないようにする

# mkdir -p /var/samba/share
# chmod 770 /var/samba/share

sambaの設定ファイルを編集する。
※「force user」にrootを指定してファイル操作をrootで実行させる

[global]
unix charset = UTF-8
dos charset = CP932
realm = LOCAL.EXAMPLE.COM
workgroup = LOCAL
security = ads
kerberos method = dedicated keytab
dedicated keytab file = FILE:/etc/samba/samba.keytab

[share]
path = /var/samba/share
create mask = 0660
directory mask = 0770
force user = root
writable = yes
valid users = @testgroup

ファイアウォールに例外を登録する。

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

SELinuxに例外を登録する。

# setsebool -P allow_smbd_anon_write=on
# chcon -R -t public_content_rw_t /var/samba/share

BUILTIN\Guestsグループ(SMBプロトコルを介した匿名アクセス)をnobodyグループにマッピングする。
※これを実行しておかないとエラー(ERROR: failed to setup guest info.)でサービスを起動できない

# net groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin

サービスを起動する。

# systemctl start smb
# systemctl enable smb