こんにちは! ゴリタンです!
今回はLPIC300-300試験の勉強方法やお勧めの参考書についてご紹介します!
LPIC300-300の試験は最近リリースされたばかりで問題集もなく、
具体的にどのように勉強したら効率がいいのか、
本番の試験問題に一番違い問題が掲載されている問題集はどれかなど情報がないですよね。
そこで、最近この試験に合格したので、勉強方法や試験範囲についてご紹介します。
この記事は以下のような方にオススメ!
● LPIC300-300の勉強方法、参考書について知りたい。
● LPIC300-300の試験概要や、試験範囲を教えてほしい。
● 本番の試験に一番近い問題が掲載されているテキストを知りたい。
LPIC300-300の試験は最新試験内容が変更されたこともあり、
どのように勉強したらいいのか、どのくらい試験内容が変わっているかわからず不安ですよね。
私はPing-tという問題集で対策したのですが、現在のPing-tの問題集だけでは試験範囲がカバー
されていなかったので、自分で試験範囲の内容をまとめて勉強しました。
私がまとめた内容も、この記事に掲載していますので、良かったら見てみて下さい。
>>この記事の解説内容のまとめ
この記事で解説していることをざっくりまとめると以下の内容になります。
自分の興味がある部分を重点的に読んでいただけるといいと思います。
LPICとはLinux技術者の技術力を認定する試験。 LPIC300は上級者(エンジニア歴5年以上)レベル。 新範囲が結構出題されるので要注意。>>LPIC/LinuCとは???
>LPIC/LinuCの試験概要
LPICとはLPI認定試験のことで、Linux技術者の技術力を認定する試験のことです。
LinuCという試験もありますが、こちらもLPIC同様にLinux技術者の技術力を認定する試験です。
LPICもLinuCも試験の出題範囲は同じですが、試験問題は異なります。
どちらを受験しようか迷っている方は、LPICを受験することをお勧めします。
LPICはグローバルな資格のため、海外でも通用します。
LinuCは日本独自の資格のため、日本でしか通用しません。
ただ、LPICもLinuCも試験問題は違えど、試験範囲や難易度は全く同じのため
自分の好みでどちらを受験してもいいと思います。
LPICもLinuCもベンダーやディストリビューションに依存せず、
中立的な立場でLinux技術者の技術力を認定する試験です。
どうせなら海外でも通用するLPICのほうがいいかもしれませんね。
>LPIC/LinuCの試験レベル
LPIC/LinuCは試験がレベル1からレベル3に分かれています。
レベルが上がるにしたがって難易度が高くなります。
難易度は↓のような感じです。
レベル1:初級者(エンジニア歴半年から1年)⇒エンジニアになりたて
レベル2:中級者(エンジニア歴3年から4年)⇒運用保守
レベル3:上級者(エンジニア歴5年以上)⇒設計構築
認定を受けるためには、レベル順に合格していく必要があります。
レベル2の認定を受けるためにはレベル1の認定を、レベル3の認定を受けるためには
レベル1とレベル2の認定を受ける必要があります。
※下位のレベルの認定を受けなくても試験を受験することは可能ですが、
認定を受けるには、下位のレベルの試験に合格し、認定を受けた後になります。
| レベル | 試験名 |
|---|---|
| レベル1 | LPIC/LinuC レベル1 101試験 |
| LPIC/LinuC レベル1 102試験 | |
| レベル2 | LPIC/LinuC レベル2 201試験 |
| LPIC/LinuC レベル2 202試験 | |
| レベル3 | LPIC/LinuC レベル3 300試験(混在環境) |
| LPIC レベル3 303試験(セキュリティー) | |
| LPIC レベル3 305試験(仮想化とコンテナ化) | |
| LPIC レベル3 306試験(高可用性(HA)とストレージ) |
>LPIC300の試験範囲
LPIC300の試験範囲は以下の通りです。
| 項目 | 試験内容 |
|---|---|
| Sambaの基本 | ・samba設定ファイルの各項目の設定 ・Sambaサーバの設定に利用されるWindowsツール ・samba各種コマンド ・トラブルシューティング |
| SambaとActive Directoryの関係 | ・sambaをアクティブディレクトリドメインコントローラとして使用する方法 ・アクティブディレクトリの名前解決 ・アクティブディレクトリにおけるユーザ管理方法 |
| Samba共有の設定 | ・ファイル共有の設定方法 ・ファイル共有時のセキュリティ ・DFS共有 ・プリント共有 |
| Sambaクライアントの設定 | ・Linuxクライアントの認証方法 ・Linux CIFSクライアントについて ・Windowsクライアントとsamba |
| LinuxのID管理とファイル共有 | ・FreeIPAのインストール ・FreeIPAの構成要素 ・ネットワークファイルシステム |
>LPIC300の合格点
LPIC300の合格点は65%です。
出題数は60問なので、39問ほど正解すれば合格になります。
ちなみに試験の点数は200点から800点です。
試験時間は90分です。
試験の合格点は65%のためそこまで難易度は高くないように思えますが、
出題範囲が広いため試験勉強には思ったよりも時間が掛かります。
| 出題数 | 60問 |
| 合格ライン | 65%(60問中39問以上) |
| 試験時間 | 90分 |
| 最低点・最高点 | 200点から800点 |
>LPIC300の再受験ポリシー
LPIC300、LinuC300を受験し、不合格になった場合、再受験ポリシーがLPICとLinuCで異なります。
LinuCの場合は、同じ科目を受験する際、2回目以降の受験は、受験日の翌日からカウントして、
7日目以降から受験可能になります。(カウント日数には土日を含みます。)
LPICの場合は、2回目の受験はLinuC同様に受験日の翌日からカウントして、
7日目以降から受験可能(カウント日数には土日を含みます。)ですが、
3回目以降の受験については最後の受験日の翌日から起算して30日目以降より受験可能になります。
LPICとLinuCで再受験ポリシーが異なるので注意してください。
>>LPIC300成績表
2022年12月にLPIC300の試験に合格しました!!!
試験の結果は以下です。
60問中40問正解で点数は520点です。
合格ギリギリでした。
予想以上に新範囲の問題が多く、難しかったです。
Ping-tの問題集の問題とは根本的に違ったように感じました。
>>LPIC300のおすすめの勉強方法
>オススメの教材
LPIC300の参考書
私は↓の参考書をお勧めします。
こちらの参考書は細かく丁寧に解説されており、図解も多かったため非常に分かりやすかったです。
また、LPI公認の参考書ということで、問題集の部分から結構実際の試験の内容が出題されていたように感じました。
実際の試験問題に近い問題が多く詰まっているのでこちらの参考書をお勧めします。
LPIC300の問題集
問題集としてはPing-tをお勧めします。
Ping-tの問題もほとんど出ませんでしたが、基礎固めとしてこちらの問題集を解くことをお勧めします。
Ping-tのLPIC300の問題集と合わせて、Ping-tの以下の範囲の問題も解くことをお勧めします。
・LPIC202 nfs
・LPIC303 FreeIPA
・LPIC303 nfs
上記はLPIC300の新バージョンで追加になっている範囲です。
上記の問題も解くことをお勧めします。
また、Linux教科書 LPICレベル3 300試験 (EXAMPRESS) テキストの模擬問題も
解いたほうがいいです。
実際の試験の筆記問題は、ほとんど模擬問題と似たような問題が出題されていました。
模擬問題は必ず解いておいたほうがいいです。
>LPIC300のおすすめの勉強方法
私がお勧めするLPIC300の勉強方法を紹介します。
※こちらで紹介する勉強方法は、LPICレベル2に合格している方向けの勉強方法です。
以下の方法で勉強した場合のおおよその勉強時間は100時間です。
※ほかのサイトでは60時間で合格できるなどと記載されていたりしますが、60時間で
合格するのは難しいと思います。
①Ping-tの以下の範囲の問題を5周する。
・LPIC202 nfs
・LPIC300 openladapを除く全範囲
・LPIC303 FreeIPA
・LPIC303 nfs
②「Linux教科書 LPICレベル3 300試験 (EXAMPRESS) 」を3周。
※openladapを除く全範囲
実際の試験では「Linux教科書 LPICレベル3 300試験 (EXAMPRESS) 」の細かい内容が出題されます。
こちらのテキストをしっかり読み込む必要があります。
③FreeIPA、nfs_v4、アクティブディレクトリ、ケルベロス認証について理解を深める。
新範囲である上記の項目はPing-tだけでは不十分です。
そのため、自分で対策する必要があります。
参考までに私が勉強するときにまとめた内容を記事の最後に載せておきます。
Ping-tを5周 「Linux教科書 LPICレベル3 300試験 (EXAMPRESS) 」を3周 新範囲の分野を自分なりにまとめる>LPIC300を受けてみての感想
新範囲であるFreeIPAの問題がいきなり11問連続で出題され非常にびっくりしました。
FreeIPAの問題が終わったと思ったら、今後はNFS_v4の問題が2問くらい出題されました。
新範囲の問題が最初に出てきたいので正直精神的にきつかったです。
旧バージョンの範囲から変更なっていない範囲の問題でも、Ping-tとは異なる問題がほとんど
でした。
実際の試験ではケルベロスとアクティブディレクトリや、ケルベロスとsambaなど、
ケルベロスを絡めた問題が多く出題されていたので
ケルベロスについて理解を深めたほうがいいと思います。
>LPIC300で私がまとめた内容
箇条書きなので読みにくくて申し訳ないですが、こんな感じです。
smb.conf
server string
⇒サーバの名前など説明を記述する。
server services
⇒このオプションはSambaデーモンが実行するサービスを指定する。
smb.conf中のエントリは、それ以前の値を 完全に上書きするか、その前にプレフィックスとして+または -を付けることにより、エントリを追加するか、削除する。
既定値: server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns
例: server services = -s3fs, +smb
tls enabled
⇒もしもこのオプションがyesに設定された 場合、Samba は通信時に可能であれば TLS を使用する。
既定値: tls enabled = yes
tls keyfile
⇒このオプションは、RSA プライベートキーが含まれている (PEM形式の)ファイルを設定出来る。
このファイルはパスフレーズ なしでアクセス可能でなければならない。すなわち、暗号化しては ならない。
このパスが /. から始まっていない場合、 private dir からの相対パスとなる。
既定値: tls keyfile = tls/key.pem
tls certfile
⇒このオプションは、証明書失効リスト(CRL)を含むファイルを設定出来る。
このパスが、 /. から始まっていない場合、 private dirからの相対パスとなる。
既定値: tls certfile = tls/cert.pem
tls dh params file
⇒このオプションは、EDH 暗号で使われる Diffie-Hellman パラメーターを含むファイルを指定できる。
このパスが /. から始まっていない場合、 private dirからの相対パスとなる。
既定値: tls dh params file =yes
tls cafile
このオプションは、証明書あるいは中間証明書に署名するため、 ルート CA の CA 証明書を含む、(PEM 形式の)ファイルを設定するのに 使われる。
このパスは、パスが /. で始まっていない場合、 private dir からの相対パスとなる。
既定値: tls cafile = tls/ca.pem
config backend
設定内容を格納するためのバックエンドを切り替える。設定可能な値は file(デフォルト)およびregistry である。smb.conf を読み込んでいる途中で config backend = registry を検出すると、
それまでに読み込まれた設定内容は破棄され、その代りに グローバルオプションがレジストリから読み込まれる。つまり、これは レジストリのみの設定にするための仕組みである。
共有の定義は即時には 読み込まれないが、その代りに registry shares を yes にセットしてくれる。
注意:このオプションは、レジストリ設定自身の中でセットすることもできる。
既定値: config backend = file
例: config backend = registry
registry shares
レジストリから参照される共有定義のサポートのオンオフを切り替える。
smb.conf で定義された共有は、レジストリ内に同じ名前で 定義されたものより優先する。詳細はレジストリベースの設定の章を参照してほしい。
注意:このパラメーターはデフォルトでは no であるが、 config backend が registry にセットされている場合はyes となる。
既定値: registry shares = no
例: registry shares = yes
samba-regedit
samba-regedit — ncursesベースの、Sambaレジストリを操作するためのツール
HKLM\Software\Samba\
Sambaのバージョン 3.2.0 から、レジストリ中にSambaの設定を格納する機能が有効になった。
Sambaの設定は、レジストリキー HKLM\Software\Samba\smbconf中に格納される。 レジストリベースの設定は2つのレベルがある。
REG_SZ,
固定長テキスト文字列のこと。プレーンテキストで表示される
REG_MULTI_SZ
複数行文字列のこと。人間が判読できる形式の一覧や複数の値を含む値は、通常このデータ型を使用する、エントリはスペース、カンマ、またはその他の記号で区切られる
net registry (関連したサブコマンドを含む)
Microsoft RSAT Tools
MicrosoftはクライアントのWindows OS向けに、リモートからWindows Server OSを管理するためのツール、
「RSAT(Remote Server Administration Tools)」ツールを無償で提供している。
Microsoft MMC
Microsoft Management Console (MMC) を使用して、Microsoft Windows オペレーティング システムのハードウェア、
ソフトウェア、およびネットワーク コンポーネントを管理するコンソールと呼ばれる管理ツールを作成、保存、および開きます。
MMC は、現在サポートされているすべてのクライアント オペレーティング システムで実行されます。
MMC を使用してカスタム ツールを作成し、これらのツールをユーザーに配布できます。
Windows XP Professional と Windows Server 2003 の両方で、これらのツールを保存して、管理ツール フォルダーで使用できるようにします。
カスタム MMC を作成するには、コマンドを runas 使用します。
Microsoft ADSI Edit
Active Directory のオブジェクトおよび属性を管理するために使用できるライトウェイト ディレクトリ アクセス プロトコル (LDAP) エディター。
Microsoft LDP
Microsoft Regedit
レジストリエディタ とは、Windowsに内蔵されているソフトウェアの一つで、システムの設定情報などを保管する「 レジストリ 」(registry)の内容をを閲覧・編集するためのプログラム。
tdbrestore
tdbrestoreは、ダンプファイルの内容を TDB (トリビアルデータベース) ファイルに ‘復元’ する非常にシンプルなユーティリティです。
ダンプ ファイルは、 tdbdump コマンドを使用します。
Virtual Machine Generation Identifier
Windows Server 2012 ドメインコントローラが仮想マシンの状態の検出に使用している仮想マシン識別子
Virtual Machine Snapshots
VMスナップショットとは、VMのデータ状態を保存して、その時点に戻すことができるプロセスです
registry.tdb
ldbmodify
LDBの情報は「ldbsearch」「ldbmodify」などのコマンドを使って参照や変更が行えます。
例えば、ldbmodifyでパスワードハッシュを修正するなどが可能です。
ldbedit
ldbedit — 好みのエディターで LDB データベースを編集する
ldbedit は、(tdb ファイル、sqlite ファイルもしくは LDAP サーバー上にある) LDB エントリを編集できるユーティリティである。
ldbedit はクエリーに従って LDIF ファイルを生成するので、これを手作業で編集する。最後に LDIF を LDB バックエンドにマージする。
samba-tool dbcheck
ローカルのADデータベースでエラーを検査する。
samba-tool domain backup (関連したサブコマンドを含む)
domain backup
ドメインのバックアップを作成/リストアする。
domain backup offline
(適切なロックを行って) ローカルドメインディレクトリを tar ファイルにバックアップする。
domain backup online
現在動作中の DC の、現在の DB を、バックアップ tar ファイルにコピーする。
domain backup rename
現在動作中の DC の DB をバックアップファイルにコピーし、プロセスのドメイン名を変更する。
domain backup restore
ドメイン DB をバックアップファイルからリストアする。
rpcclient
rpcclient — クライアント側の MS-RPC 関数を発行するツール
rpcclient は Samba の MS-RPC 機能をテストするために開発されたユーティリティであり、 開発と安定を何度か繰り返している。 多数のシステム管理者がこのツールを用いて UNIX ワークステーションから Windows NT クライアントを管理するスクリプトを作成している。
samba-tool fsmo (関連するサブコマンドを含む)
Manage Flexible Single Master Operations (FSMO).
fsmo seize [options]
Seize the role.
fsmo show
Show the roles.
fsmo transfer [options]
Transfer the role.
samba-tool drs (関連するサブコマンドを含む)
ディレクトリ複製サービス(DRS)を管理する。
samba-tool drs bind
サーバーのdrs機能を表示する。
samba-tool drs kcc
Trigger knowledge consistency center run.
samba-tool drs options
ドメインコントローラのNTDS設定オブジェクトのオプションのクエリ、または変更
samba-tool drs replicate destination_DC source_DC NC [options]
2つのDC間ですべてのADパーティションをドメインコントローラから手動でレプリケートする。
例:samba-tool drs replicate DC2 DC1 dc=samdom, dc=example, dc=com
Replicate from DC1 to DC2 was successful
drs showrepl
ADドメインデータの複製状況を確認する。
samba-tool sites (関連するサブコマンドを含む)
サイトを管理する。
samba-tool sites create site [options]
新しいサイトを作成する。
samba-tool sites remove site [options]
存在するサイトを削除する。
rsync
「rsync」は、リモート環境とファイルやディレクトリを「同期(sync)する」というコマンドです。
ローカル環境のみでも使用できます。「変更があった分だけ更新する」という機能があるので、ディレクトリ単位のバックアップで特に便利に使えます。
rsync.conf
/var/lib/samba/sysvol
SYSVOL という用語は、ドメイン内の各ドメイン コントローラーのローカル ハード ディスクに存在し、
ファイル レプリケーション サービス (FRS) によってレプリケートされるファイルとフォルダーのセットを指します。
robocopy
Robocopy はフォルダ・ファイルをコピーするツールですが、コピー先に既に同じファイルが存在する場合はコピーをせず、
必要なファイルだけをコピーするため、非常に効率よく短時間でコピーを行うことができ、とても便利です。
ntpd.conf
ntpsigndsocket
NTP デーモンが、Samba との通信に使う 署名パケット用ソケットのパスを制御する。
デフォルト以外のパスを指定した場合、ntp.conf の、ntpsigndsocketディレクティブを使って、 NTP デーモンに対してパスを通知する必要がある。
smb.conf:
DNSアップデートの許可
allow dns updates (G)
このオプションは DNS に対する、どの種のアップデートが許可されるかを決める。
DNS アップデートは、これをdisabledに設定して 完全に無効にするか、これをsecure onlyに設定して、 セキュアな接続上でのみ有効にするか、
これをnonsecureに 設定して、すべての場合において許可するかを指定できる。
既定値: allow dns updates = secure only
例: allow dns updates = disabled
マルチキャストDNS登録
mdns name (G)
このパラメータは、マルチキャスト DNS サポートが 広告するホスト名を制御する。
既定値は、通常、すべて大文字のホスト名である NETBIOS 名である。
mdns の設定は、使用する MDNS ライブラリに、ホスト名の設定を 引き渡す。
既定値: mdns name = netbios
samba_dnsupdate
動的DNSアップデートをテストするには、Sambaドメインコントローラ(DC)のrootユーザーとして実行します:
samba_dnsupdate –verbose –all-names
samba-tool domain exportkeytab
ドメインの Kerberos キーをキータブにダンプします。
samba-tool spn (関連するサブコマンドを含む)
Manage Service Principal Names (SPN).
samba-tool spn add name user [options]
新しい SPN を作成する。
samba-tool spn delete name [user] [options]
存在するSPNを削除する。
samba-tool spn list user [options]
指定されたユーザーのSPNを一覧表示する。
smb.conf:
winbind enumerate users
大規模システムでのユーザ一覧取得を抑制するためのオプションです。
winbind enumerate groups
大規模システムでのグループ一覧取得を抑制するためのオプションです。
winbind offline logon
”winbind offline logon = Yes”を設定しておくと,PAMによるwinbind認証を利用してデスクトップからのログインやsshなどによるユーザー認証に成功したときの情報を
winbinddがキャッシュしておき,その後ドメインコントローラとの接続が不可能になった場合に,キャッシュの保存期間を経過してもログインしているユーザーに対して
winbindからユーザー名やグループ名の情報が提供されるという機能です。Samba 3.0.25ではこの機能が改良されています。
allow trusted domains
このパラメーターは、security パラメーターが server、 domain もしくは ads に設定されている時のみ有効である。
no に設定されていると、 smbd が動作しているドメインもしくはワークグループ外からのリソースへの 接続要求は、失敗する。
これは、たとえそのドメインが認証を行なうサーバーによって信頼されている場合であっても同様である。
idmap
Winbinddによって自動作成されたLinuxユーザに割り当てるuid、gidの割り当ての格納先を管理する機能。
idmap_ad
Windows ユーザのUNIX属性をそのまま利用してuid、gidを設定できる。
idmap_autorid
Samba の Winbind 用 idmap_autoridバックエンド
ridバックエンドにより、Windows ドメインの一意であるSIDから、機械的に計算した値のuid、gidを割り当てることが出来る。
idmap_ldap
ldapサーバをidmapの格納先に指定する。
各sambaサーバで、同一の LDAP ディレクトリサービスにある SID/uid/gid のマッピングテーブル参照する。
idmap_rfc2307
idmap_rfc2307 プラグインは、RFC 2307で定義されたLDAPサーバ中の レコードからidマッピングを、winbindが読み取るための機能を提供する プラグインである。
LDAPサーバ中サーバはスタンドアロンでも、ADサーバによって 提供されるものでもよい。ADサーバは常時名前とSID間でのマッピングを 提供するために必要とされ、
LDAPサーバは名前とuid/gid間でのマッピングのために 問合せされる。このモジュールは、”idmap” APIのみを実装し、 読み取り機能のみを提供する。
idmap_rid
ridバックエンドにより、Windows ドメインの一意であるSIDから、機械的に計算した値のuid、gidを割り当てることが出来る。
idmap_rid バックエンドは、アルゴリズムによって UID や GID を SID に マッピングする方式を提供する。
これを用いる場合はマッピングが計算によって 決定されるため、データベースは必要としない。
idmap_tdb
idmap_tdb プラグインは winbindd が SID/uid/gid マッピングテーブル を保存するのに使われるデフォルトのバックエンドである。
idmap_tdb2
idmap_script プラグインは、Samba とCTDB を使う、クラスタ環境中において、 SID/uid/gid マッピングテーブルを格納するために
winbindd によって使われる、 idmap_tdb2 バックエンド用の代替である。これはマッピングを実行するための スクリプトとして使う、リードオンリのバックエンドである。
libnss_winbind
libpam_winbind
smb.conf:
pam_smbpass.so
pam_smbpass.so を使ったパスワードの同期 pam_smbpass は PAM モジュールのひとつであり、
システム上で smbpasswd (Sambaのパスワード) データベースと UNIX のパスワードファイルとの同期を取るために使われる
smb.conf:
copy
このパラメーターにより、サービスエントリの「複製」 が可能となる。指定されたサービスの設定が単純に現在のサービスへと複製される。
現在のセクションに設定されているパラメーターは、 複製元のセクションの設定を上書きする。
この機能を使うと、「ひな型(template)」となるサービスを作成した上で、 同様の設定のサービスを単純に作成するということが可能となる。
複製元のサービスは、 設定ファイル内で複製先のサービスより前に記述する必要があることに注意。
既定値: copy =
例: copy = otherservice
smb encrypt
SMB 暗号化の使用を試みるか、それが必要で あるかを制御する。
getfattr
「getfattr ファイル名」で、ファイルの拡張属性を表示します
smbcacls
SMB 共有で ACL を表示するには、smbcacls ユーティリティーを使用します。
–add などの操作パラメーターを付けずに smbcacls を実行すると、ユーティリティーは、ファイルシステムオブジェクトの ACL を表示します。
SMB 共有で ACL を表示するには、smbcacls ユーティリティーを使用します。–add などの操作パラメーターを付けずに smbcacls を実行すると、
ユーティリティーは、ファイルシステムオブジェクトの ACL を表示します。
SeDiskOperatorPrivilege
Windows ACL を使用する共有に対する権限を設定できるのは、SeDiskOperatorPrivilege 特権が付与されているユーザーおよびグループのみです。
vfs_acl_xattr
拡張属性 (EA) に NTFS のアクセス許可を保存
vfs_acl_xattr VFSモジュールは、 拡張属性 (EA) に NTFS のアクセス許可 (ACL) を格納する。
これにより、 Samba サーバーで NTFS のアクセス許可を 完全に実装することが可能となる。
vfs_acl_tdb
vfs_acl_tdb VFSモジュールは、 tdb ファイルに NTFS のアクセス許可 (ACL) を格納する。
これにより、 Samba サーバーで NTFS のアクセス許可を 完全に実装することが可能となる。
samba-tool ntacl (関連するサブコマンドを含む)
NT ACLを管理する。
samba-tool ntacl get file [options]
Get ACLs on a file.
samba-tool ntacl set acl file [options]
Set ACLs on a file.
samba-tool ntacl sysvolcheck
Check sysvol ACLs match defaults (including correct ACLs on GPOs).
samba-tool ntacl sysvolreset
Reset sysvol ACLs to defaults (including correct ACLs on GPOs).
smb.conf:
host msdfs
yes の場合、 Samba は DFS サーバーとして機能し、 DFS を利用可能なクライアントは、サーバー上で提供された DFS ツリーを参照することが可能となる。
分散ファイルシステム (DFS) はネットワーク上にある資源について実際の物理的な配置 から、ユーザーが見ているファイルとディレクトリの論理的ビューを切り離す手 段を提供する。
高い可用性と円滑なストレージ拡張、負荷分散などを可能にする。
Samba サーバーは、smb.conf ファイルのグローバル Boolean パラメーター host msdfsを設定することで DFS サーバーにできる。
msdfs root
yesに設定された場合、 Samba はその共有を DFS ルートとして扱うため、クライアントは、
その共有ディレクトリをルートとする DFS (分散ファイルシステム)ツリーを参照することが可能になる。
DFS リンクの作成は、共有ディレクトリ内で msdfs:serverA\shareA,serverB\shareB のような形式でシンボリックリンクを作成することにより行なわれる。
DFS ツリーを Samba で構成する際の詳細情報については、 Samba3-HOWTO の MSDFS の章を参照のこと。
既定値: msdfs root = no
Samba サーバーは、smb.conf ファイルのグローバル Boolean パラメーター host msdfsを設定することで DFS サーバーにできる。
共有レベルの論理値パラメーターmsdfs rootによっ て共有を DFS ルートとして指定できる。 Samba 上の DFS ルートディレクトリはシンボリックリンクの形式で DFS リンクを提供 できる。
msdfs proxy
このパラメーターは、この共有がパラメーターで指定された別の CIFS 共有を プロキシする共有であることを指定する。この共有に接続したクライアントは、
SMB の DFS プロトコルにより、1つまたはカンマで分離された複数の、別の共有に転送される。
smb.conf:
cupsd.conf
/etc/cups/cupsd.conf ファイルに ポート 631 を設定して、CUPS サーバーがネットワークから接続をリッスンできるようにします。
/var/spool/samba/
smbspool
smbspoolは印刷ファイルをSMBプリンターに送るための とても小さい印刷スプール用プログラムである。
Common UNIX Printing System との互換性のため コマンドライン引数は位置に依存するが、smbspool を任意の印刷システムで使ったり プログラムやスクリプトから使ったりすることもできる。
rpcclient (トピックに関連したコマンドの実行(enumdrivers, enumprinters, setdriver)
rpcclient enumdrivers [level]
EnumPrinterDrivers() を実行する。これは全てのアーキテクチャ用の インストールされたドライバーの一覧を表示する。
フラグとオプションの 詳細については、Microsoft Platform SDK のドキュメントを参 照のこと。 現在、info level 1, 2, 3 のみがサポートされている。
rpcclient enumprinters [level]
EnumPrinters() を実行する。これは共有されている インストール済プリンターの一覧を表示する。
フラグとオプションの詳細に ついては、Microsoft Platform SDK のドキュメントを参照のこと。 現在、info level 1, 2, 5 のみがサポートされている。
rpcclient setdriver
SetPrinter() コマンドを実行して、既にインストール されているプリンター用のプリンタードライバーを更新する。
更新されるプリンタードライバーは、プリントサーバー上に適切にインストール されている必要がある。
インストールされているプリンターやドライバーの一覧を取得する方法に ついては enumprinters や enumdrivers コマンドも参照のこと。
SePrintOperatorPrivilege
SePrintOperatorPrivilege特権が付与されたユーザーおよびグループのみが、プリンタドライバをアップロードおよび事前設定できます。
この権限は、どのユーザーまたはグループにも付与できます。
/etc/pam.conf
/etc/pam.conf ファイルはメインの PAM 設定ファイルです。 ファイルを編集して、パスワード サービス スタックに行を挿入する必要があります。
/etc/pam.d/
PAMは複数のモジュールから成り立っており、さまざまな認証を実現することができます。
PAMの設定ファイルは/etc/pam.d/ディレクトリにあり、ここにあるファイルを編集することで、認証の設定を行うことができます
(ただし、編集を誤るとシステムにログインすることができなくなるので、編集するときには1つのコンソールでrootでログインしたままの状態で作業することをお勧めします)。
/etc/login.defs
「システムへのログインにまつわる設定を行うファイル」です。
このファイルで設定できることは色々ありますが、たとえば「パスワードの文字数の最大値・最小値」(PASS_MIN_LEN・PASS_MAX_LENで設定します)であるとか、
「一般ユーザのUID/GIDの範囲」(UID_MIN・UID_MAXで設定します)などが設定できます。
pam_ldap.so
「pam_ldap.so」 は LDAP からユーザー情報を取得するモジュール
ldap.conf
ldap.conf は、 ldap クライアントの動作時に適用されるシステムワイドのデフォルト値を 設定するために利用されます。
pam_krb5.so
pam_krb5は、Linuxマシンの認証を外部のKDCにより行えるようにするPAMモジュールです。KDCとしてADのDCを指定することで、Linuxマシンの認証がADに統合されます。
pam_cracklib.so
PAMのpam_cracklib.soの設定を変更することにより、パスワードに関する制限事項を設定することができます。
pam_tally2.so
pam_tally2を使用すると、指定した回数ログインに失敗した時に自動的にアカウントをロックアウトすることができます。
pam_tally2を有効にするためには、PAMの設定ファイルに下記の設定を追加します。
CentOS7の場合、/etc/pam.d/system-auth と /etc/pam.d/password-auth
Debian9の場合、/etc/pam.d/common-auth
—— 設定例 ——
:
auth required pam_tally2.so deny=6 unlock_time=600 ← (追加)
:
pam_faillock.so
Red Hat Enterprise Linux 7 では、pam_faillock PAM モジュールを使用することで、システム管理者は、指定された回数の試行が失敗した後に、
ユーザーアカウントをロックアウトできるようになりました。ユーザーのログイン試行を制限することは、主に、ユーザーのアカウントパスワードを取得することを目的とした
ブルートフォース攻撃の可能性を防ぐことを目的としたセキュリティー対策として機能します。
pam_faillock モジュールを使用すると、ログインの失敗が /var/run/faillock ディレクトリーの各ユーザーの個別のファイルに保存されます。
pam_mkhomedir.so
ホームディレクトリが存在しない状態でログインしても、pam_mkhomedir を利用することでホームティレクトリが作成される。
chage
chageコマンドは、「パスワードの有効期限を指定する」ためのコマンドです。 デフォルトでは、Linuxの一般ユーザ用パスワードに有効期限はありません。
「-M 日数 ユーザ名」、パスワードの有効期限の前に警告を表示する「-W 日数 ユーザ名」、有効期限の後にアカウントがロックされるまでの日数を指定する「-I 日数 ユーザ名」でしょう。
ユーザ「foo」のパスワードの有効期限を「150日」に設定する場合は、以下のように実行します(root権限が必要)。
chage -M 150 foo
また、パスワードが切れる 「30日」前に警告を発するには
chage -W 30 fooとします。
パスワードの有効期限など、設定状況を知るためには、
$ chage -l foo
と実行します(これは一般ユーザ権限で実行可能です)。
faillog
faillog はログインの失敗を記録するログファイル /var/log/faillog の内容を整形し、 失敗の回数と制限値を記録・管理する。
faillog に与える引数の順序は重要であり、 各引数は与えられた順に直ちに処理される。
faillog [-u login-name ] [-a ] [-t days ] [-m max ] [-pr ]
-p フラグを指定するとログイン失敗のエントリを UID 順に表示する。 -u login-name と入力すると、 login-name のログイン失敗記録のみを表示する。
-t days と入力すると、 最近 days 日以内のログイン失敗の記録を表示する。 -u フラグを指定すると -t フラグは無視される。 -a フラグを用いると全ユーザに対する記録が表示される。
このフラグを -p フラグとともに用いると、 これまでにログインに失敗した全てのユーザが表示される。 -a は -r フラグと用いても意味が無い。
-r フラグはログイン失敗回数の記録をリセットする。 このオプションを用いるには /var/log/faillog への書き込み権限が必要である。
-u login-name と入力すると、 login-name のログイン失敗回数のみをリセットする。
-m フラグは、 アカウントが使用不能になるまでの最大のログイン失敗回数を設定する。
このオプションを用いるには /var/log/faillog への書き込み権限が必要である。 -m max と入力すると、 全てのアカウントはログイン失敗回数が max になると使用不能になる。
-u login-name を同時に用いると、 この機能を login-name だけに作用させることができる。
max の値を 0 にするとログインの失敗回数には制限が無くなる。 システムに対するサービス不能攻撃を防ぐため、 root の最大ログイン失敗回数は常に 0 にしておくべきである。
オプションはほぼどのように組み合わせても良い。 -p , -r , -m の各オプションは、 -u , -t の指定による修正を受け、 指定した順に実行される。
sssd
sssd.conf
sss_override
アカウントの UID を 6666 に上書きします。
sss_override user-add user -u 6666
ユーザーの上書きを表示します。
sss_override user-show user
user@ldap.example.com::6666:::::
sss_cache
sss_cache コマンドを実行してキャッシュのクリアーを行うという動きをします。
sss_debuglevel
名前
sss_debuglevel − SSSD が実行中にデバッグレベルを変更する
概要
sss_debuglevel[オプション]NEW_DEBUG_LEVEL
概要
sss_debuglevel は SSSD が実行中に SSSD モニターとプロバイダーのデバッグレベルを NEW_DEBUG_LEVEL に変更します。
sss_user* and sss_group*
/var/lib/sss/db/
これで sssd を再起動すれば id が指定通りになりますが、キャッシュが残っているため、キャッシュを削除してから再起動します。
rm -f /var/lib/sss/db/*
systemctl restart sssd
id exusr01
uid=5001(exusr01) gid=5001 groups=5001
kdestroy
目的
Kerberos 証明書キャッシュを破棄します。
構文
kdestroy [-q] [ -c cache_name | -e expired_time]
説明
kdestroy コマンドは、Kerberos 証明書キャッシュ・ファイルを削除します。
-e フラグを指定する場合、このコマンドは、デフォルトのキャッシュ・ディレクトリー (/var/krb5/security/creds) にあるすべての証明書キャッシュ・ファイルを調べ、
指定した expired_time のチケットが有効期限が切れている場合に、有効期限切れチケットだけを含むファイルがあれば、それらを削除します。
pam_mount.so
pam_mount を使うことで (LUKS や eCryptfs などで) 暗号化したホームパーティションをログイン時に自動的にマウントすることができます。
ログインマネージャを使ったりコンソールでログインしたときに /home をマウントします (マウントポイントは自由に指定できます)。
ドライブを暗号化するパスフレーズは Linux ユーザーのパスフレーズと同一である必要があります。同一ならばログインに使うパスフレーズと別のパスフレーズを入力する必要がありません。
pam_mount.conf.xml
pam_mountの設定ファイルは/etc/security/pam_mount.conf.xmlです。
cifscreds
通常のユーザーは、cifscreds ユーティリティーを使用して、現在のセッションのカーネルキーリングに、自身のユーザー名とパスワードを渡すことができます。
マウントされた共有のコンテンツにユーザーがアクセスすると、カーネルは、共有のマウントに最初に使用されたものではなく、カーネルキーリングからの認証情報を使用します。
ユーザーとして共有へのアクセス
SMB 共有が multiuser オプションを使用してマウントされている場合、ユーザーはサーバーの認証情報をカーネルのキーリングに提供できます。
cifscreds add -u SMB_user_name server_name
Password:
これで、ユーザーがマウントされた SMB 共有を含むディレクトリーで操作を実行すると、サーバーは、共有がマウントされたときに最初に使用されたものではなく、
このユーザーのファイルシステムのパーミッションを適用します。
smb.conf:
samba-tool gpo (関連するすべてのサブコマンドを含む)
gpo
グループポリシーオブジェクト(Group Policy Object; GPO)を管理する。
samba-tool gpo create displayname [options]
空の GPO を作成する。
samba-tool gpo del gpo [options]
GPO を削除する。
samba-tool gpo fetch gpo [options]
GPO をダウンロードする。
samba-tool gpo list username [options]
アカウントにおける GPO を一覧表示する。
samba-tool gpo listall
すべての GPO を一覧表示する。
samba-tool gpo show gpo [options]
GPO に対する情報を表示する。
gpoupdate ((Windowコマンド)
gpupdateコマンドは、Active Directoryの管理用に提供されているコマンドラインツールの1つであり、Windows OSには標準装備されている。
これを使うと、ドメインコントローラーから現在の最新のグループポリシーをロードし、システムに適用できる。
ipa (user-, stageuser- and group-* and idview-* に関連するサブコマンドを含む)
ipa (host-, hostgroup-, service-* and getkeytab に関連するサブコマンドを含む)
ipa (permission-, privilege-, and role-* に関連するサブコマンドを含む)
ipctl
ipa-advice
ipa-adtrust-install
AD との信頼を確立する前に、IdM サーバーで ipa-adtrust-install ユーティリティーを使用して IdM ドメインを準備する必要があります。
ipa (trust-, idrange- and group-* に関連した知識)