Samba raspberrypi2号機不調と省電力設定

　Samba raspberrypi2号機が不調になった。
　ssh接続がNGとなり、DNSとして動作していない。
　モニタを接続して起動したところ、kernel panicになって途中で停止してしまう。どうもmicro sd cardの中身が破損した様である。
　色々調査しところ、micro sd cardが書き込み禁止状態になっている。Macのdisk utilityでformatすると失敗する。デジタルカメラでformatすると書き込み禁止になっている旨表示される。無論、SD cardへの変換アダプタはlockしておらず複数のアダプタで試験しても同様である。

　仕方がないので、他のmicro sd cardを用意して再インストールから実施。

　一連の作業で判ったのだが、起動時に毎回稲妻マークがモニタ右上に表示される。これは電源電圧が低下しているという警告であり、ログにも表示されている。また、時々起動に失敗する。
　切り分けのため他のraspberry piで検証したところ同様の事象で、USB給電ケーブルで電圧降下している様だ。他のケーブルに交換したところ、正常である。


　これらを踏まえて、raspberry piの消費電力削減を検討してみた。
　以下のうち、WiFi&Bluetoothは常時offで良いのだが緊急時にモニタとUSB接続キーボードが使用できないのは困る。起動時スクリプトで一定時間を経過したらOFF、キー入力があればONというスクリプトでも開発する必要がありそうだ。


HDMI出力OFF

tvservice -o



WiFi Bluetooth 無効化

/boot/config.txtに以下を追記。

dtoverlay=pi3-disable-bt
dtoverlay=pi3-disable-wifi



USBへの給電off

raspberrypi.orgを参照。

$sudo apt-get -y install libusb-dev
$ wget http://www.gniibe.org/oitoite/ac-power- ... b/hub-ctrl....
$ gcc -O2 -o hub-ctrl hub-ctrl.c -lusb

給電OFF
hub-ctrl -b 1 -d 2 -P 2 -p 0

給電ON
hub-ctrl -b 1 -d 2 -P 2 -p 1

Read More

Sambaのadministratorパスワードを失念した時の対応

Sambaのadministratorパスワードを失念した時の対応

samba-tool user setpassword Administrator

で新しいパスワードを設定する。

Read More

raspberry piでOHM社製カードリーダーが認識されない

  Raspberry Pi（raspbian buster lite）でUSB経由でカードリーダーを接続、SD microカードを認識させようとしたところ、問題があったので備忘録。

　先ず、オーム電機製PC-SCRW6をraspberry piへ接続したところ、Accessランプが点滅、その後常時点灯に推移した。Mac OSでもAccessランプは同様の遷移となるが、Mac OSからRWが可能である。
　しかし、raspbianからlsusbを実行しても、PC-SCRW6は認識されない。USBポートを変更、接続した状態でraspberry pi電源を投入等を試してみたが認識されない。

　切り分けのために、Buffalo製BSCR100U2を購入してraspberry piへ接続確認してみた。
　アクセスランプの遷移が異なり、点滅、その後消灯に推移した。raspbianからlsusbを実行すると認識され、またBSCR100U2へ挿入した16GB micro SDもRW可能であった。

　余談であるが、手元の古いBuffalo製BCR-C7L/U2もraspbianから認識されるが、カードリーダーの仕様上micro SDは2GByteまでしか認識されないのでrpi-cloneでのバックアップ用途には厳しいものがある。raspbian buster liteをイメージ書き込み&パッケージ最新化等を行うと、rpi-cloneの書き出し先は1.9GByte必要と表示された。
　

Read More

Samba active directoryに参加したPCで時刻同期しない

　raspbian stretch & samba active direcotry 4.9.3に参加したWindows 10がドメインの時刻へ同期をしない事象の対応をした。ドメイン参加してもLocal CMOS Clockと同期してしまう。
　
C:\WINDOWS\system32>w32tm /query /status
閏インジケーター: 3 (最後の 1 分間は 61 秒)
階層: 0 (未指定)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0000000s
ルート分散: 0.0000000s
参照 ID: 0x00000000 (未指定)
最終正常同期時刻: 未指定
ソース: Local CMOS Clock
ポーリング間隔: 10 (1024s)



　Raspbian Stretchは時刻同期がntpからsystemd-timesyncdに変更になっている。systemd-timesyncdはntp clientのみであり、server機能が無いためドメインコントローラの時刻供給元には出来ない。
　先ずはntpを導入して、systemd-timesyncdは停止する。

apt-get install -y ntp
systemctl stop systemd-timesyncd

systemctl disable systemd-timesyncd



　次にntp.confを修正する。
　ntpソースをmfeedとnictに設定する。samba wikiにあるとおり、mssntpの記述を追加する。なお、本環境では/opt/samba以下に導入しているためソケットのパスがsamba wikiとは異なっている。

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool:

pool ntp.jst.mfeed.ad.jp
pool ntp.nict.jp iburst


# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery limited mssntp
restrict -6 default kod notrap nomodify nopeer noquery limited

ntpsigndsocket /opt/samba/var/lib/ntp_signd

　ソケットの権限を修正する。samba wkiそのままだが、samba導入先を/opt/sambaに変更している点を留意する。

root@raspberrypi2:/opt/samba/var/lib# chown root:ntp ntp_signd/
root@raspberrypi2:/opt/samba/var/lib# chmod 750 ntp_signd/

　ntpサービスを起動する。

root@raspberrypi2:/opt/samba/var/lib# systemctl start ntp
root@raspberrypi2:/etc# systemctl enable ntp.service


ntp.service is not a native service, redirecting to systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable ntp

root@raspberrypi2:/etc# systemctl status ntp.service
● ntp.service - LSB: Start NTP daemon
   Loaded: loaded (/etc/init.d/ntp; generated; vendor preset: enabled)
   Active: active (running) since Sun 2018-12-16 10:18:48 JST; 8min ago
     Docs: man:systemd-sysv-generator(8)
   CGroup: /system.slice/ntp.service
           mq15871 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 108:112

12月 16 10:18:48 raspberrypi2 ntpd[15871]: MS-SNTP signd operations currently block ntpd degrading service
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listen and drop on 0 v6wildcard [::]:123
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listen and drop on 1 v4wildcard 0.0.0.0:123
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listen normally on 2 lo 127.0.0.1:123
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listen normally on 3 eth0 192.168.0.21:123
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listen normally on 4 lo [::1]:123
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listen normally on 5 eth0 [fe80::79cb:4e46:ca61:b9cf%2]:123
12月 16 10:18:48 raspberrypi2 ntpd[15871]: Listening on routing socket on fd #22 for interface updates
12月 16 10:18:49 raspberrypi2 ntpd[15871]: Soliciting pool server 210.173.160.57
12月 16 10:18:50 raspberrypi2 ntpd[15871]: Soliciting pool server 133.243.238.163





　外部ntpとの時刻同期状態を見てみる。

root@raspberrypi2:/etc# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 ntp.jst.mfeed.a .POOL.          16 p    -   64    0    0.000    0.000   0.001
 ntp.nict.jp     .POOL.          16 p    -   64    0    0.000    0.000   0.001
 ntp.jst.mfeed.a 133.243.236.17   2 u   45   64    1   15.014   -2.159   0.001
*ntp.nict.jp     .NICT.           1 u   34   64    1   37.646  -12.109   7.732

 　ドメイン参加している管理者コマンドプロンプトから時刻同期を再実行してみる。


C:\WINDOWS\system32>w32tm /config /update /syncfromflags:DOMHIER
コマンドは正しく完了しました。

C:\WINDOWS\system32>w32tm /resync
再同期コマンドをローカル コンピューターに送信しています
コマンドは正しく完了しました。

C:\WINDOWS\system32>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 3 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0243914s
ルート分散: 7.7680227s
参照 ID: 0xC0A80015 (ソース IP:  192.168.0.21)
最終正常同期時刻: 2018/12/16 10:38:57
ソース: raspberrypi2.highspec.org
ポーリング間隔: 10 (1024s)

　event logを見ても正しく同期していることを確認出来る。

タイム プロバイダー NtpClient: ドメイン コントローラー raspberrypi2.highspec.org へのアクセスを 8 回試行しましたが、有効な応答が得られませんでした。このドメイン コントローラーは、タイムソースとしては破棄され、NtpClient は同期先となる新しいドメイン コントローラーの発見を開始します。エラー: ピアに到達できません。

タイム プロバイダー NtpClient は現在 raspberrypi2.highspec.org (ntp.d|0.0.0.0:123->192.168.0.21:123) から有効な時間データを受信しています。

システム時刻とタイム ソース raspberrypi2.highspec.org (ntp.d|0.0.0.0:123->192.168.0.21:123) の同期をとっています。

タイム プロバイダー 'VMICTimeProvider' は、現在のハードウェアおよび操作環境がサポートされないことを示して停止しました。非 HyperV ゲスト環境の VMICTimeProvider では、これは予期された動作です。現在のプロバイダーにとっても、これが現在の操作環境での予期された動作である場合があります。

Read More

Raspbian Stretchでsamba active directoryを自動起動

　Sambaで自宅active directoryを構築している。
　先日SD Cardが破損してRaspbian Stretch で再構築しているが、従来と自動起動方法が変更になっているので忘備録。

　従来Jessieは/etc/init.d/samba-ad-dcに起動スクリプトを配置していたのだが、Stretchではsystemdを前提として設定する。
　設定方法はsamba wikiのままであるが、service fileは当方の環境に合わせて以下の通りとしている。


  GNU nano 2.7.4                                                ファイル: samba-ad-dc.service

[Unit]
Description=Samba Active Directory Domain Controller
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
ExecStart=/opt/samba/sbin/samba -D
PIDFile=/opt/samba/var/run/samba.pid
ExecReload=/bin/kill -HUP $MAINPID

[Install]
WantedBy=multi-user.target


root@raspberrypi1:/etc/systemd/system# pstree
systemd─┬─2*[agetty]
        ├─cron
        ├─dbus-daemon
        ├─dhcpcd
        ├─rsyslogd─┬─{in:imklog}
        │          ├─{in:imuxsock}
        │          └─{rs:main Q:Reg}
        ├─samba─┬─samba───samba───smbd─┬─cleanupd
        │       │                      ├─lpqd
        │       │                      └─smbd-notifyd
        │       ├─11*[samba]
        │       └─samba───samba───winbindd───3*[winbindd]
        ├─sshd───sshd───sshd───bash───su───bash───pstree
        ├─systemd───(sd-pam)
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-timesyn───{sd-resolve}
        ├─systemd-udevd
        └─thd

root@raspberrypi1:/etc/systemd/system# systemctl status samba-ad-dc.service
● samba-ad-dc.service - Samba Active Directory Domain Controller
   Loaded: loaded (/etc/systemd/system/samba-ad-dc.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2018-12-04 22:26:04 JST; 15min ago
  Process: 563 ExecStart=/opt/samba/sbin/samba -D (code=exited, status=0/SUCCESS)
 Main PID: 576 (samba)
   CGroup: /system.slice/samba-ad-dc.service
           ├─576 samba: root process .
           ├─582 samba: task[s3fs_parent]
           ├─583 samba: task[dcesrv] .
           ├─584 samba: tfork waiter process
           ├─585 samba: task[nbtd] .
           ├─586 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─587 samba: task[wrepl] .
           ├─588 samba: task[ldapsrv] .
           ├─589 samba: task[cldapd] .
           ├─590 samba: conn[kdc_tcp] c[ipv4:192.168.0.19:59581] s[ipv4:192.168.0.20:88] server_id[590.42]
           ├─591 samba: task[dreplsrv]
           ├─592 samba: task[winbindd_parent]
           ├─593 samba: task[ntp_signd]
           ├─594 samba: tfork waiter process
           ├─595 samba: task[kccsrv] .
           ├─596 /opt/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           ├─597 samba: task[dnsupdate]
           ├─598 samba: task[dns] .
           ├─607 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─608 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─609 winbindd: domain child [HIGHSPEC]
           ├─610 winbindd: idmap child .
           ├─611 winbindd: domain child [BUILTIN]
           └─612 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground

12月 04 22:26:07 raspberrypi1 samba[576]: root process[576]: [2018/12/04 22:26:07.316728,  0] ../source4/smbd/server.c:696(binary_smbd_main)
12月 04 22:26:07 raspberrypi1 samba[576]: root process[576]:   binary_smbd_main: samba: using 'standard' process model
12月 04 22:26:07 raspberrypi1 samba[576]: root process[576]: [2018/12/04 22:26:07.574858,  0] ../lib/util/become_daemon.c:138(daemon_ready)
12月 04 22:26:07 raspberrypi1 samba[576]: root process[576]:   daemon_ready: STATUS=daemon 'samba' finished starting up and ready to serve connections
12月 04 22:26:09 raspberrypi1 winbindd[596]: [2018/12/04 22:26:09.727373,  0] ../source3/winbindd/winbindd_cache.c:3160(initialize_winbindd_cache)
12月 04 22:26:09 raspberrypi1 winbindd[596]:   initialize_winbindd_cache: clearing cache and re-creating with version number 2
12月 04 22:26:09 raspberrypi1 winbindd[596]: [2018/12/04 22:26:09.861619,  0] ../lib/util/become_daemon.c:138(daemon_ready)
12月 04 22:26:09 raspberrypi1 winbindd[596]:   daemon_ready: STATUS=daemon 'winbindd' finished starting up and ready to serve connections
12月 04 22:26:10 raspberrypi1 smbd[586]: [2018/12/04 22:26:10.776295,  0] ../lib/util/become_daemon.c:138(daemon_ready)
12月 04 22:26:10 raspberrypi1 smbd[586]:   daemon_ready: STATUS=daemon 'smbd' finished starting up and ready to serve connections

Read More

raspibianで初回起動時にsshを有効にする

　raspberry piのos , raspbianを初期構築する際に、初回だけはキーボードを接続してssh有効化が必要になる。
　色々見たところ、micro SD cardへファイルを書き込めば初回起動時からsshを有効にできる様だ。

Read More

raspbian jessieからstretchへupgrade

　バックアップを取得したところでraspbianをjessieからstretchへ更新してみる。基本はクリーンインストールとのことだが、sambaを再構築するのも非現実的なのでupgradeに挑戦。

　先人の記事を参考にしてみたが、手順で問題となる箇所は無し。

　raspberry pi 2で更新したのだが、途中で入力する箇所もあるので所要時間は一晩必要である。

　レポジトリ情報の更新は以下を実行。

sudo sed -i 's/jessie/stretch/g' /etc/apt/sources.list

sudo sed -i 's/jessie/stretch/g' /etc/apt/sources.list.d/raspi.list

　パッケージ情報の更新は以下を実行。

sudo apt-get update

　アップグレードは以下を実行。

　この際、「設定ファイルをそのまま残すか、新しい物で上書きするか」と数回質問が発生した。標準は「設定ファイルをそのまま残す」となっているので、随時enterを入力。

　また、「サービスを再起動しても良いか」は標準が「no」なので「yes」を選択。

　ログを眺めていると、パッケージの依存性で警告が数回表示されていたが、特段問題は無い様だ。

sudo apt-get -y upgrade

sudo apt-get -y dist-upgrade

sudo reboot

---

設定ファイル '/etc/ntp.conf'

 ==> これはインストールしてから (あなたかスクリプトによって) 変更されています。

 ==> パッケージ配布元が更新版を提供しています。

   どうしますか? 以下の選択肢があります:

    Y か I  : パッケージメンテナのバージョンをインストールする

    N か O  : 現在インストールされている自分のバージョンを残す

      D     : 両バージョンの差異を表示する

      Z     : 状況を調査するためにシェルを開始する

 デフォルトでは現在使っている自分のバージョンを残します。

*** ntp.conf (Y/I/N/O/D/Z) [デフォルト=N] ? n

---

　最後に不要なパッケージを削除。以下を実行。

sudo apt-get --purge -y autoremove 

Read More

raspberry piのSDカードを小容量のSDカードへバックアップ

　無事回復したraspberry piであるが、再度おかしくなると怖いのでバックアップを取得する。
　今まではSDカードを抜いてmacでSDカードの中身を.img形式に取得してきたのだが、時間が掛かることと、バックアップを書き戻す先のSDカードは容量がオリジナルと完全に等しいか大きいものとする必要があった。各所に書かれている通り16GBのSDカードと称していても微妙に容量が異なるのである。

　調べたところ、rpi-cloneが便利そうである。これはCLIで動作するのでjessie liteに適合する。

　git hubで公開されているので、先ずはgitを導入する。


pi@raspberrypi1:~ $ sudo apt-get install git
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています
状態情報を読み取っています... 完了
以下の追加パッケージがインストールされます:
  git-man libcurl3-gnutls liberror-perl
（中略）
git-man (1:2.1.4-2.1+deb8u5) を設定しています ...
git (1:2.1.4-2.1+deb8u5) を設定しています ...
libc-bin (2.19-18+deb8u10) のトリガを処理しています ...

　導入後、rpi-cloneを導入する。

pi@raspberrypi1:~ $ sudo git clone https://github.com/billw2/rpi-clone.git
Cloning into 'rpi-clone'...
remote: Counting objects: 158, done.
remote: Total 158 (delta 0), reused 0 (delta 0), pack-reused 158
Receiving objects: 100% (158/158), 75.04 KiB | 0 bytes/s, done.
Resolving deltas: 100% (59/59), done.
Checking connectivity... done.

　導入後、一式を/usr/local/sbin以下にcopyする。

pi@raspberrypi1:~ $ ls
rpi-clone
pi@raspberrypi1:~/rpi-clone $ sudo cp rpi-clone /usr/local/sbin
pi@raspberrypi1:~/rpi-clone $ type rpi-clone
rpi-clone は /usr/local/sbin/rpi-clone です

　SDカードリーダにSDカードを挿入後、raspberry piへUSB接続。認識されているかを確認。認識されていない場合は再接続してみる。

pi@raspberrypi1:~/rpi-clone $ lsusb
Bus 001 Device 004: ID 0411:0259 BUFFALO INC. (formerly MelCo., Inc.)
Bus 001 Device 003: ID 0424:ec00 Standard Microsystems Corp. SMSC9512/9514 Fast Ethernet Adapter
Bus 001 Device 002: ID 0424:9514 Standard Microsystems Corp.
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

　マッピングを確認する。/dev/sdcとして認識された。

pi@raspberrypi1:~/rpi-clone $ sudo fdisk -l

Disk /dev/ram0: 4 MiB, 4194304 bytes, 8192 sectors
Units: sectors of 1 * 512 = 512 bytes
（中略）
Device         Boot  Start      End  Sectors  Size Id Type
/dev/mmcblk0p1        8192   137215   129024   63M  c W95 FAT32 (LBA)
/dev/mmcblk0p2      137216 31116287 30979072 14.8G 83 Linux

Disk /dev/sdc: 14.5 GiB, 15552479232 bytes, 30375936 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00000000

Device     Boot Start      End  Sectors  Size Id Type
/dev/sdc1        8192 30375935 30367744 14.5G  c W95 FAT32 (LBA)

　認識された/dev/sdcへ書き込みをする。
　途中でext4のパーティションの名前をどうするか？と質問されるが、元々付与されていないので、そのままenterで続行して良い。
　完了したら、shutdown後、SDカードを入れ替えて起動してみる。


root@raspberrypi1:/home/pi/rpi-clone#  rpi-clone sdc --force-initialize

Booted disk: mmcblk0 15.9GB                Destination disk: sdc 15.6GB
---------------------------------------------------------------------------
Part      Size    FS     Label           Part   Size    FS  Label
1 /boot   66.0MB  fat16  --              1      15.5GB  --  --
2 root    15.9GB  ext4   --
---------------------------------------------------------------------------
== Initialize: IMAGE mmcblk0 partition table to sdc - forced by option ==
1 /boot               (23.6MB used)  : IMAGE     to sdc1  FSCK
2 root                (6.5GB used)   : RESIZE(15.5GB) MKFS SYNC to sdc2
---------------------------------------------------------------------------
Run setup script       : no
Verbose mode           : no
-----------------------:
** WARNING **          : All destination disk sdc data will be overwritten!
                       :   The partition structure will be imaged from mmcblk0.
-----------------------:

Initialize and clone to the destination disk sdc?  (yes/no): y
Optional destination  ext type file system label (16 chars max):

Initializing
  Imaging past the start of /boot partition 2.
  => dd if=/dev/mmcblk0 of=/dev/sdc bs=1M count=71 ...
  Resizing last partition to end of disk ...
    Resize success.
  Changing destination Disk ID ...
  Delaying so partprobe can update /dev entries ...
  => fsck -p /dev/sdc1 ...
  => mkfs -t ext4  /dev/sdc2 ...

Syncing file systems (can take a long time)
Syncing mounted partitions:
  Mounting /dev/sdc2 on /mnt/clone
  => rsync // /mnt/clone with-root-excludes ...
  Mounting /dev/sdc1 on /mnt/clone/boot
  => rsync /boot/ /mnt/clone/boot  ...

===============================
Done with clone to /dev/sdc
   Start - 08:34:08    End - 09:15:01    Elapsed Time - 40:53

Cloned partitions are mounted on /mnt/clone for inspection or customizing.

Hit Enter when ready to unmount the /dev/sdc partitions ...
  unmounting /mnt/clone/boot
  unmounting /mnt/clone
===============================

Read More

apt-getの修復

　raspberry piのjessieでapt-getが急に動作しなくなった。

root@raspberrypi2:/home/pi# apt-get
apt-get: symbol lookup error: /usr/lib/arm-linux-gnueabihf/libapt-private.so.0.0: undefined symbol: _ZN3APT6String8EndswithERKSsS2_

　さっぱり判らないので色々検索してみたが、apt-getをdpkgで再導入すれば良さそうである。
　先ずはaptのパッケージを再入手。

root@raspberrypi2:/home/pi# wget https://archive.raspbian.org/raspbian/pool/main/a/apt/apt_1.0.9.8.4_armhf.deb

　その後、再導入してみたが、依存関係でエラーになってしまった。

root@raspberrypi2:/home/pi# dpkg -i apt_1.0.9.8.4_armhf.deb
(データベースを読み込んでいます ... 現在 34855 個のファイルとディレクトリがインストールされています。)
apt_1.0.9.8.4_armhf.deb を展開する準備をしています ...
apt (1.0.9.8.4) で (1.0.9.8.4 に) 上書き展開しています ...
dpkg: 依存関係の問題により apt の設定ができません:
 apt は以下に依存 (depends) します: libapt-pkg4.12 (>= 1.0.9.8.4) ...しかし:
  システム上の libapt-pkg4.12:armhf のバージョンは 0.9.7.9+rpi1+deb7u7 です。

dpkg: パッケージ apt の処理中にエラーが発生しました (--install):
 依存関係の問題 - 設定を見送ります
man-db (2.7.5-1~bpo8+1) のトリガを処理しています ...
処理中にエラーが発生しました:
 apt


　どうもlibapt-pkgが宜しく無い様子。これも再取得して再導入。
　その後、再度aptを導入したところ、正常に動作した。

root@raspberrypi2:/home/pi# wget http://ftp.us.debian.org/debian/pool/main/a/apt/libapt-pkg4.12_1.0.9.8.4_armhf.deb
--2018-05-04 22:23:22--  http://ftp.us.debian.org/debian/pool/main/a/apt/libapt-pkg4.12_1.0.9.8.4_armhf.deb
ftp.us.debian.org (ftp.us.debian.org) をDNSに問いあわせています... 208.80.154.15, 128.30.2.26, 128.61.240.89
ftp.us.debian.org (ftp.us.debian.org)|208.80.154.15|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK

root@raspberrypi2:/home/pi# dpkg -i libapt-pkg4.12_1.0.9.8.4_armhf.deb
(データベースを読み込んでいます ... 現在 34855 個のファイルとディレクトリがインストールされています。)
libapt-pkg4.12_1.0.9.8.4_armhf.deb を展開する準備をしています ...
libapt-pkg4.12:armhf (1.0.9.8.4) で (0.9.7.9+rpi1+deb7u7 に) 上書き展開しています ...
libapt-pkg4.12:armhf (1.0.9.8.4) を設定しています ...
libc-bin (2.19-18+deb8u10) のトリガを処理しています ...
root@raspberrypi2:/home/pi# dpkg -i apt_1.0.9.8.4_armhf.deb
(データベースを読み込んでいます ... 現在 34856 個のファイルとディレクトリがインストールされています。)
apt_1.0.9.8.4_armhf.deb を展開する準備をしています ...
apt (1.0.9.8.4) で (1.0.9.8.4 に) 上書き展開しています ...
apt (1.0.9.8.4) を設定しています ...
man-db (2.7.5-1~bpo8+1) のトリガを処理しています ...
libc-bin (2.19-18+deb8u10) のトリガを処理しています ...


　取り敢えずこれで稼働するようになったのだが、対処として正しいかは不明。

Read More

raspberry pi(jessie-lite) pt.5

raspberrypi2がFSMO、1台目の設定


1,2共に同じ

  GNU nano 2.2.6                                File: /etc/krb5.conf

[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log


[libdefaults]
        default_realm = HIGHSPEC.ORG
        dns_lookup_realm = false
        dns_lookup_kdc = true


[realms]
        HIGHSPEC.ORG = {
        kdc = raspberrypi2.highspec.org
        admin_server = raspberrypi2.highspec.org
        }

[domain_realm]
        .highspec.org = HIGHSPEC.ORG
        highspec.org = HIGHSPEC.ORG


2

  GNU nano 2.2.6                             File: /opt/samba/etc/smb.conf

# Global parameters
[global]
        netbios name = RASPBERRYPI2
        realm = HIGHSPEC.ORG
        server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns, smb
        workgroup = HIGHSPEC
        dns forwarder = 192.168.0.1
        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backup$
        server role = active directory domain controller
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /opt/samba/var/locks/sysvol/highspec.org/scripts
        read only = No

[sysvol]
        path = /opt/samba/var/locks/sysvol
        read only = No


1

  GNU nano 2.2.6                          File: /opt/samba/etc/smb.conf

# Global parameters
[global]
        netbios name = RASPBERRYPI1
        realm = HIGHSPEC.ORG
        workgroup = HIGHSPEC
        server role = active directory domain controller
        dns forwarder = 192.168.0.1

[netlogon]
        path = /opt/samba/var/locks/sysvol/highspec.org/scripts
        read only = No

[sysvol]
        path = /opt/samba/var/locks/sysvol
        read only = No

2

nterface eth0
static ip_address=192.168.0.21/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.20 192.168.0.21

static domain_search=highspec.org
static domain_name=highspec.org

1

interface eth0
static ip_address=192.168.0.20/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.21 192.168.0.20

static domain_search=highspec.org
static domain_name=highspec.org


2

  GNU nano 2.2.6                                  File: /etc/hosts

127.0.0.1       localhost.highspec.org localhost
::1             localhost ip6-localhost ip6-loopback
ff02::1         ip6-allnodes
ff02::2         ip6-allrouters

192.168.0.21    raspberrypi2.highspec.org raspberrypi2



1

  GNU nano 2.2.6                              File: /etc/hosts

127.0.0.1       localhost.highspec.org localhost
::1             localhost ip6-localhost ip6-loopback
ff02::1         ip6-allnodes
ff02::2         ip6-allrouters

192.168.0.20    raspberrypi1.highspec.org raspberrypi1


1,2共に

  GNU nano 2.2.6                             File: /etc/modules

# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.

ipv6


# Global parameters
[global]
        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
        dns forwarder = 192.168.0.1
        netbios name = RASPBERRYPI1
        realm = HIGHSPEC.ORG
        server role = active directory domain controller
        server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns, smb
        workgroup = HIGHSPEC
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /opt/samba/var/locks/sysvol/highspec.org/scripts
        read only = No

[sysvol]
        path = /opt/samba/var/locks/sysvol
        read only = No
/opt/samba/etc/smb.conf (END)



# Global parameters
[global]
        dns forwarder = 192.168.0.1
        netbios name = RASPBERRYPI2
        realm = HIGHSPEC.ORG
        server role = active directory domain controller
        workgroup = HIGHSPEC

[netlogon]
        path = /opt/samba/var/locks/sysvol/highspec.org/scripts
        read only = No

[sysvol]
        path = /opt/samba/var/locks/sysvol
        read only = No
(END)

root@raspberrypi2:/opt/samba/etc# pstree
systemd─┬─2*[agetty]
        ├─cron
        ├─dbus-daemon
        ├─dhcpcd
        ├─ntpd
        ├─rsyslogd─┬─{in:imklog}
        │          ├─{in:imuxsock}
        │          └─{rs:main Q:Reg}
        ├─samba─┬─12*[samba]
        │       └─samba───winbindd───winbindd
        ├─sshd───sshd───sshd───bash───su───bash───pstree
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-udevd
        ├─thd
        └─xinetd


root@raspberrypi1:/opt/samba/etc# pstree
systemd─┬─agetty
        ├─cron
        ├─dbus-daemon
        ├─dhcpcd
        ├─ntpd
        ├─rsyslogd─┬─{in:imklog}
        │          ├─{in:imuxsock}
        │          └─{rs:main Q:Reg}
        ├─samba─┬─samba───smbd─┬─cleanupd
        │       │              ├─lpqd
        │       │              └─smbd-notifyd
        │       ├─10*[samba]
        │       ├─samba───winbindd───winbindd
        │       └─samba───2*[python]
        ├─sshd───sshd───sshd───bash───su───bash───pstree
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-udevd
        └─thd


root@raspberrypi2:/opt/samba/etc# service samba-ad-dc status
● samba-ad-dc.service - LSB: start Samba daemons for the AD DC
   Loaded: loaded (/etc/init.d/samba-ad-dc)
   Active: active (running) since 土 2017-08-19 18:58:24 JST; 1h 25min ago
  Process: 2672 ExecStop=/etc/init.d/samba-ad-dc stop (code=exited, status=0/SUCCESS)
  Process: 2682 ExecStart=/etc/init.d/samba-ad-dc start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/samba-ad-dc.service
           ├─2691 /opt/samba/sbin/samba -D
           ├─2692 /opt/samba/sbin/samba -D
           ├─2693 /opt/samba/sbin/samba -D
           ├─2694 /opt/samba/sbin/samba -D
           ├─2695 /opt/samba/sbin/samba -D
           ├─2696 /opt/samba/sbin/samba -D
           ├─2697 /opt/samba/sbin/samba -D
           ├─2698 /opt/samba/sbin/samba -D
           ├─2699 /opt/samba/sbin/samba -D
           ├─2700 /opt/samba/sbin/samba -D
           ├─2701 /opt/samba/sbin/samba -D
           ├─2702 /opt/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           ├─2703 /opt/samba/sbin/samba -D
           ├─2704 /opt/samba/sbin/samba -D
           ├─2705 /opt/samba/sbin/samba -D
           └─2711 /opt/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground

 8月 19 19:28:06 raspberrypi2 samba[2796]: [2017/08/19 19:28:06.404163,  0] ../source4/smb_server/smb2/sesssetup.c:242(smb2srv_cl...ructor)
 8月 19 19:28:06 raspberrypi2 samba[2796]: free session[0x55e3eee8]
 8月 19 19:40:12 raspberrypi2 samba[2820]: [2017/08/19 19:40:12.400668,  0] ../source4/smb_server/smb2/sesssetup.c:242(smb2srv_cl...ructor)
 8月 19 19:40:12 raspberrypi2 samba[2820]: free session[0x55e3eee8]
 8月 19 19:52:24 raspberrypi2 samba[2839]: [2017/08/19 19:52:24.391006,  0] ../source4/smb_server/smb2/sesssetup.c:242(smb2srv_cl...ructor)
 8月 19 19:52:24 raspberrypi2 samba[2839]: free session[0x55e3eee8]
 8月 19 20:04:30 raspberrypi2 samba[2892]: [2017/08/19 20:04:30.372169,  0] ../source4/smb_server/smb2/sesssetup.c:242(smb2srv_cl...ructor)
 8月 19 20:04:30 raspberrypi2 samba[2892]: free session[0x55e3eee8]
 8月 19 20:16:42 raspberrypi2 samba[2926]: [2017/08/19 20:16:42.361856,  0] ../source4/smb_server/smb2/sesssetup.c:242(smb2srv_cl...ructor)
 8月 19 20:16:42 raspberrypi2 samba[2926]: free session[0x55e3eee8]
Hint: Some lines were ellipsized, use -l to show in full.


root@raspberrypi1:/opt/samba/etc# service samba-ad-dc status
● samba-ad-dc.service - LSB: start Samba daemons for the AD DC
   Loaded: loaded (/etc/init.d/samba-ad-dc)
   Active: active (running) since 土 2017-08-19 20:10:15 JST; 13min ago
  Process: 3446 ExecStop=/etc/init.d/samba-ad-dc stop (code=exited, status=0/SUCCESS)
  Process: 3456 ExecStart=/etc/init.d/samba-ad-dc start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/samba-ad-dc.service
           ├─3465 /opt/samba/sbin/samba -D
           ├─3466 /opt/samba/sbin/samba -D
           ├─3467 /opt/samba/sbin/samba -D
           ├─3468 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─3469 /opt/samba/sbin/samba -D
           ├─3470 /opt/samba/sbin/samba -D
           ├─3471 /opt/samba/sbin/samba -D
           ├─3472 /opt/samba/sbin/samba -D
           ├─3473 /opt/samba/sbin/samba -D
           ├─3474 /opt/samba/sbin/samba -D
           ├─3475 /opt/samba/sbin/samba -D
           ├─3476 /opt/samba/sbin/samba -D
           ├─3477 /opt/samba/sbin/samba -D
           ├─3478 /opt/samba/sbin/samba -D
           ├─3479 /opt/samba/sbin/samba -D
           ├─3480 /opt/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           ├─3484 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─3486 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─3489 /opt/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           └─3490 /opt/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground

 8月 19 20:10:17 raspberrypi1 samba[3465]: [2017/08/19 20:10:17.076682,  0] ../source4/smbd/server.c:487(binary_smbd_main)
 8月 19 20:10:17 raspberrypi1 samba[3465]: samba: using 'standard' process model
 8月 19 20:10:17 raspberrypi1 samba[3465]: [2017/08/19 20:10:17.168526,  0] ../lib/util/become_daemon.c:124(daemon_ready)
 8月 19 20:10:17 raspberrypi1 samba[3465]: STATUS=daemon 'samba' finished starting up and ready to serve connections
 8月 19 20:10:17 raspberrypi1 winbindd[3480]: [2017/08/19 20:10:17.510942,  0] ../source3/winbindd/winbindd_cache.c:317...cache)
 8月 19 20:10:17 raspberrypi1 winbindd[3480]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
 8月 19 20:10:18 raspberrypi1 winbindd[3480]: [2017/08/19 20:10:18.886633,  0] ../lib/util/become_daemon.c:124(daemon_ready)
 8月 19 20:10:18 raspberrypi1 winbindd[3480]: STATUS=daemon 'winbindd' finished starting up and ready to serve connections
 8月 19 20:10:18 raspberrypi1 smbd[3468]: [2017/08/19 20:10:18.978784,  0] ../lib/util/become_daemon.c:124(daemon_ready)
 8月 19 20:10:18 raspberrypi1 smbd[3468]: STATUS=daemon 'smbd' finished starting up and ready to serve connections
Hint: Some lines were ellipsized, use -l to show in full.



root@raspberrypi2:/opt/samba/etc# samba-tool drs showrepl
Default-First-Site-Name\RASPBERRYPI2
DSA Options: 0x00000001
DSA object GUID: 83d5465a-5868-4d58-8b07-b0608eac17f7
DSA invocationId: 996613d6-1b04-4529-a3a6-d78d3c77e895

==== INBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ Sat Aug 19 20:23:42 2017 JST was successful
0 consecutive failure(s).
Last success @ Sat Aug 19 20:23:42 2017 JST

DC=DomainDnsZones,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ Sat Aug 19 20:23:42 2017 JST was successful
0 consecutive failure(s).
Last success @ Sat Aug 19 20:23:42 2017 JST

DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ Sat Aug 19 20:23:43 2017 JST was successful
0 consecutive failure(s).
Last success @ Sat Aug 19 20:23:43 2017 JST

CN=Schema,CN=Configuration,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ Sat Aug 19 20:23:44 2017 JST was successful
0 consecutive failure(s).
Last success @ Sat Aug 19 20:23:44 2017 JST

CN=Configuration,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ Sat Aug 19 20:23:45 2017 JST was successful
0 consecutive failure(s).
Last success @ Sat Aug 19 20:23:45 2017 JST

==== OUTBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=DomainDnsZones,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Schema,CN=Configuration,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Configuration,DC=highspec,DC=org
Default-First-Site-Name\RASPBERRYPI1 via RPC
DSA object GUID: 813430b0-ba62-41a5-b766-b15f93c60640
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection --
Connection name: 2e25c83c-96ea-4c5e-ba0c-2252a11f8d46
Enabled        : TRUE
Server DNS name : raspberrypi1.highspec.org
Server DN name  : CN=NTDS Settings,CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=highspec,DC=org
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!






root@raspberrypi2:/opt/samba/etc# ldbsearch -H /opt/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid

# record 1
dn: CN=NTDS Settings,CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=highspec,DC=org
objectGUID: 813430b0-ba62-41a5-b766-b15f93c60640

# record 2
dn: CN=NTDS Settings,CN=RASPBERRYPI2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=highspec,DC=org
objectGUID: 83d5465a-5868-4d58-8b07-b0608eac17f7

# returned 2 records
# 2 entries
# 0 referrals

Read More

raspberry pi(jessie-lite) pt.4

apt-get install acl attr autoconf bison build-essential \
  debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
  libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
  libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
  libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
  libpopt-dev libreadline-dev perl perl-modules pkg-config \
  python-all-dev python-dev python-dnspython python-crypto \
  xsltproc zlib1g-dev libjansson-dev libgpgme11-dev libarchive-dev

　sambaの内蔵DNSを使用する際にavahi-daemonが稼働しているとDNS周りが動作しない。
　色々検索したところ、avahi-daemonを削除してあげれば良いと判明。

root@raspberrypi1:/etc/init.d# samba_dnsupdate --verbose --all-names
IPs: ['192.168.0.20']
force update: A raspberrypi1.yamatomura.local 192.168.0.20
force update: A yamatomura.local 192.168.0.20
force update: SRV _ldap._tcp.yamatomura.local raspberrypi1.yamatomura.local 389
---snip---
27 DNS updates and 0 DNS deletes needed
Traceback (most recent call last):
  File "/opt/samba/sbin/samba_dnsupdate", line 631, in
    get_credentials(lp)
  File "/opt/samba/sbin/samba_dnsupdate", line 123, in get_credentials
    raise e
RuntimeError: kinit for RASPBERRYPI1$@YAMATOMURA.LOCAL failed (Cannot contact any KDC for requested realm)
https://lists.samba.org/archive/samba/2013-September/175547.html


---

Hi there,

a few days ago I tried to install a print spooler with samba4 and in the
installation process the "avahi-daemon" was installed.

This daemon prevented the samba4 internal dns from working fully....

The solution: "apt-get --purge remove avahi-daemon"

Now everything is working like beast ;-)

Best regards
Tom

---

　なお、正常に動作しても"TSIG error with server: tsig verify failure Failed nsupdate: 2"が出力され続けるが、これは問題無い様子。



root@raspberrypi2:/opt/samba/var# samba_dnsupdate --verbose
IPs: ['192.168.0.21']
Looking for DNS entry A raspberrypi2.highspec.org 192.168.0.21 as raspberrypi2.highspec.org.
Looking for DNS entry NS highspec.org raspberrypi2.highspec.org as highspec.org.
Looking for DNS entry NS _msdcs.highspec.org raspberrypi2.highspec.org as _msdcs.highspec.org.
Looking for DNS entry A highspec.org 192.168.0.21 as highspec.org.
Looking for DNS entry SRV _ldap._tcp.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _ldap._tcp.dc._msdcs.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.dc._msdcs.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.dc._msdcs.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _ldap._tcp.62640a65-1803-482b-b2c2-4827919a2c2d.domains._msdcs.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.62640a65-1803-482b-b2c2-4827919a2c2d.domains._msdcs.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.62640a65-1803-482b-b2c2-4827919a2c2d.domains._msdcs.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _kerberos._tcp.highspec.org raspberrypi2.highspec.org 88 as _kerberos._tcp.highspec.org.
Checking 0 100 88 raspberrypi2.highspec.org. against SRV _kerberos._tcp.highspec.org raspberrypi2.highspec.org 88
Looking for DNS entry SRV _kerberos._udp.highspec.org raspberrypi2.highspec.org 88 as _kerberos._udp.highspec.org.
Checking 0 100 88 raspberrypi2.highspec.org. against SRV _kerberos._udp.highspec.org raspberrypi2.highspec.org 88
Looking for DNS entry SRV _kerberos._tcp.dc._msdcs.highspec.org raspberrypi2.highspec.org 88 as _kerberos._tcp.dc._msdcs.highspec.org.
Checking 0 100 88 raspberrypi2.highspec.org. against SRV _kerberos._tcp.dc._msdcs.highspec.org raspberrypi2.highspec.org 88
Looking for DNS entry SRV _kpasswd._tcp.highspec.org raspberrypi2.highspec.org 464 as _kpasswd._tcp.highspec.org.
Checking 0 100 464 raspberrypi2.highspec.org. against SRV _kpasswd._tcp.highspec.org raspberrypi2.highspec.org 464
Looking for DNS entry SRV _kpasswd._udp.highspec.org raspberrypi2.highspec.org 464 as _kpasswd._udp.highspec.org.
Checking 0 100 464 raspberrypi2.highspec.org. against SRV _kpasswd._udp.highspec.org raspberrypi2.highspec.org 464
Looking for DNS entry CNAME 987e75b2-95b8-4ee6-a5ca-52f5b30af856._msdcs.highspec.org raspberrypi2.highspec.org as 987e75b2-95b8-4ee6-a5ca-52f5b30af856._msdcs.highspec.org.
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.Default-First-Site-Name._sites.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 88 as _kerberos._tcp.Default-First-Site-Name._sites.highspec.org.
Checking 0 100 88 raspberrypi2.highspec.org. against SRV _kerberos._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 88
Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org raspberrypi2.highspec.org 88 as _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org.
Checking 0 100 88 raspberrypi2.highspec.org. against SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org raspberrypi2.highspec.org 88
Looking for DNS entry SRV _ldap._tcp.pdc._msdcs.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.pdc._msdcs.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.pdc._msdcs.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry A gc._msdcs.highspec.org 192.168.0.21 as gc._msdcs.highspec.org.
Looking for DNS entry SRV _gc._tcp.highspec.org raspberrypi2.highspec.org 3268 as _gc._tcp.highspec.org.
Checking 0 100 3268 raspberrypi2.highspec.org. against SRV _gc._tcp.highspec.org raspberrypi2.highspec.org 3268
Looking for DNS entry SRV _ldap._tcp.gc._msdcs.highspec.org raspberrypi2.highspec.org 3268 as _ldap._tcp.gc._msdcs.highspec.org.
Checking 0 100 3268 raspberrypi2.highspec.org. against SRV _ldap._tcp.gc._msdcs.highspec.org raspberrypi2.highspec.org 3268
Looking for DNS entry SRV _gc._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 3268 as _gc._tcp.Default-First-Site-Name._sites.highspec.org.
Checking 0 100 3268 raspberrypi2.highspec.org. against SRV _gc._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 3268
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.highspec.org raspberrypi2.highspec.org 3268 as _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.highspec.org.
Checking 0 100 3268 raspberrypi2.highspec.org. against SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.highspec.org raspberrypi2.highspec.org 3268
Looking for DNS entry A DomainDnsZones.highspec.org 192.168.0.21 as DomainDnsZones.highspec.org.
Looking for DNS entry SRV _ldap._tcp.DomainDnsZones.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.DomainDnsZones.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.DomainDnsZones.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry A ForestDnsZones.highspec.org 192.168.0.21 as ForestDnsZones.highspec.org.
Looking for DNS entry SRV _ldap._tcp.ForestDnsZones.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.ForestDnsZones.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.ForestDnsZones.highspec.org raspberrypi2.highspec.org 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.highspec.org raspberrypi2.highspec.org 389 as _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.highspec.org.
Checking 0 100 389 raspberrypi2.highspec.org. against SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.highspec.org raspberrypi2.highspec.org 389
No DNS updates needed
root@raspberrypi2:/opt/samba/var# samba_dnsupdate --verbose --all-name
IPs: ['192.168.0.21']
force update: A raspberrypi2.highspec.org 192.168.0.21
force update: NS highspec.org raspberrypi2.highspec.org
force update: NS _msdcs.highspec.org raspberrypi2.highspec.org
force update: A highspec.org 192.168.0.21
force update: SRV _ldap._tcp.highspec.org raspberrypi2.highspec.org 389
force update: SRV _ldap._tcp.dc._msdcs.highspec.org raspberrypi2.highspec.org 389
force update: SRV _ldap._tcp.62640a65-1803-482b-b2c2-4827919a2c2d.domains._msdcs.highspec.org raspberrypi2.highspec.org 389
force update: SRV _kerberos._tcp.highspec.org raspberrypi2.highspec.org 88
force update: SRV _kerberos._udp.highspec.org raspberrypi2.highspec.org 88
force update: SRV _kerberos._tcp.dc._msdcs.highspec.org raspberrypi2.highspec.org 88
force update: SRV _kpasswd._tcp.highspec.org raspberrypi2.highspec.org 464
force update: SRV _kpasswd._udp.highspec.org raspberrypi2.highspec.org 464
force update: CNAME 987e75b2-95b8-4ee6-a5ca-52f5b30af856._msdcs.highspec.org raspberrypi2.highspec.org
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org raspberrypi2.highspec.org 389
force update: SRV _kerberos._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 88
force update: SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.highspec.org raspberrypi2.highspec.org 88
force update: SRV _ldap._tcp.pdc._msdcs.highspec.org raspberrypi2.highspec.org 389
force update: A gc._msdcs.highspec.org 192.168.0.21
force update: SRV _gc._tcp.highspec.org raspberrypi2.highspec.org 3268
force update: SRV _ldap._tcp.gc._msdcs.highspec.org raspberrypi2.highspec.org 3268
force update: SRV _gc._tcp.Default-First-Site-Name._sites.highspec.org raspberrypi2.highspec.org 3268
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.highspec.org raspberrypi2.highspec.org 3268
force update: A DomainDnsZones.highspec.org 192.168.0.21
force update: SRV _ldap._tcp.DomainDnsZones.highspec.org raspberrypi2.highspec.org 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.highspec.org raspberrypi2.highspec.org 389
force update: A ForestDnsZones.highspec.org 192.168.0.21
force update: SRV _ldap._tcp.ForestDnsZones.highspec.org raspberrypi2.highspec.org 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.highspec.org raspberrypi2.highspec.org 389
29 DNS updates and 0 DNS deletes needed
Successfully obtained Kerberos ticket to DNS/raspberrypi1.highspec.org as RASPBERRYPI2$
update(nsupdate): A raspberrypi2.highspec.org 192.168.0.21
Calling nsupdate for A raspberrypi2.highspec.org 192.168.0.21 (add)
Successfully obtained Kerberos ticket to DNS/raspberrypi1.highspec.org as RASPBERRYPI2$
Outgoing update query:
;; ->>HEADER<<- id:="" nbsp="" noerror="" opcode:="" p="" status:="" update="">;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
raspberrypi2.highspec.org. 900 IN A 192.168.0.21

; TSIG error with server: tsig verify failure
Failed nsupdate: 2
update(nsupdate): NS highspec.org raspberrypi2.highspec.org
Calling nsupdate for NS highspec.org raspberrypi2.highspec.org (add)
Successfully obtained Kerberos ticket to DNS/raspberrypi1.highspec.org as RASPBERRYPI2$
Outgoing update query:
;; ->>HEADER<<- id:="" nbsp="" noerror="" opcode:="" p="" status:="" update="">;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
highspec.org. 900 IN NS raspberrypi2.highspec.org.

; TSIG error with server: tsig verify failure
Failed nsupdate: 2
update(nsupdate): NS _msdcs.highspec.org raspberrypi2.highspec.org
Calling nsupdate for NS _msdcs.highspec.org raspberrypi2.highspec.org (add)
Successfully obtained Kerberos ticket to DNS/raspberrypi1.highspec.org as RASPBERRYPI2$
Outgoing update query:
;; ->>HEADER<<- id:="" nbsp="" noerror="" opcode:="" p="" status:="" update="">;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_msdcs.highspec.org. 900 IN NS raspberrypi2.highspec.org.

Read More

raspberry pi active directory (jessie-lite) pt.3

　設定後、固定IPアドレスを付与する。従来と設定箇所が変わっているので留意が必要。
dhcpcd.confでIPアドレス、DNSを設定する。


/etc/dhcpcd.conf




　に以下を追記。後日active directory冗長化のため、コメント行はdomain name serverを2個登録しているが、active directory冗長化までは一旦自身と外部とをDNSとして設定する。


interface eth0
static ip_address=192.168.0.20/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.1 192.168.0.20
#static domain_name_servers=192.168.0.21 192.168.0.20

static domain_search=yamatomura.local
static domain_name=yamatomura.local

Read More

raspberry pi active directory(jessie-lite) pt.2

　従来、raspbianを書き込み後、初回起動時はHDMI端子経由でモニタを接続して固定IPアドレスを付与していた。
　jessieからbonjourが標準で動く様で、ssh接続時にIPアドレスで接続先を指定するのではなく、デフォルトホスト名で初回接続できる。


　host name;raspberrypi.local , user name;pi , password;raspberry


　接続後はrootのパスワードを設定、raspi-configで各種設定を行う。


mini:~ doctor_d$ ssh raspberrypi.local -l pi
The authenticity of host 'raspberrypi.local ()' can't be established.
ECDSA key fingerprint is SHA256:
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'raspberrypi.local,' (ECDSA) to the list of known hosts.
pi@raspberrypi.local's password:

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.





　接続後はrootのパスワードを設定、raspi-config等で各種設定を行う。
　設定事項はRaspberry Piで統合認証環境を作ってみる pt.2 ssh経由で初期設定と同一である。b)のfirmware更新のみ、rpi-updateのパッケージが含まれないためapt-get install rpi-updateを用いて手動で追加する。


pi@raspberrypi:~ $ sudo passwd root
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully



pi@raspberrypi:~ $ su
Password:



root@raspberrypi:/home/pi# raspi-config

Read More

raspberry pi samba active direcotyr (jessie-lite) pt.1

　以前、debian 7(wheezy)ベースでactive directory構築を記載したが、debian 8 (jessie)がlaunchしたので、これを基にしたものを纏めてみた。


　先ずはSDカードへraspbian jessie-liteを書き込む。raspbianはGUIを含むfullとCLI前提のliteとが存在する。active directoryのみを運用する想定なので、liteを用いる。


mini:~ doctor_d$ diskutil list
/dev/disk0 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *1.0 TB     disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage fusion                  999.3 GB   disk0s2
   3:                 Apple_Boot Boot OS X               650.0 MB   disk0s3
/dev/disk1 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *256.1 GB   disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:          Apple_CoreStorage fusion                  255.7 GB   disk1s2
   3:                 Apple_Boot Boot OS X               134.2 MB   disk1s3
/dev/disk2 (internal, virtual):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS SSD                    +1.2 TB     disk2
                                 Logical Volume on disk1s2, disk0s2
                                 0530E9CE-4A72-4F7A-9B43-DFB74A192285
                                 Unencrypted Fusion Drive
/dev/disk3 (external, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:     FDisk_partition_scheme                        *15.9 GB    disk3
   1:             Windows_FAT_32 boot                    58.7 MB    disk3s1
   2:                      Linux                         15.9 GB    disk3s2



mini:~ doctor_d$ diskutil unmountDisk /dev/rdisk3
Unmount of all volumes on disk3 was successful



mini:~ doctor_d$ sudo dd if=~/Downloads/2016-05-27-raspbian-jessie-lite.img of=/dev/rdisk3 bs=1m
Password:
1323+0 records in
1323+0 records out
1387266048 bytes transferred in 279.444055 secs (4964378 bytes/sec)

mini:~ doctor_d$ diskutil unmountDisk /dev/rdisk3
Unmount of all volumes on disk3 was successful

Read More

Samba 4でのAD間Sysvol replication

　samba wikiのJoining a Samba DC to an Existing Active Directoryをそのまま。

　2台目のrapberrypiでsambaをmake。

　事前に、1台目の/etc/krb5.confを2台目にコピーしておく。

　ドメインへ参加する。

root@raspberrypi1:/opt/samba/etc# samba-tool domain join yamatomura.local DC -U administrator --realm=YAMATOMURA.LOCAL
Finding a writeable DC for domain 'yamatomura.local'
Found DC raspberrypi2.yamatomura.local
Password for [WORKGROUP\administrator]:
Password for [WORKGROUP\administrator]:
Password for [WORKGROUP\administrator]:
workgroup is YAMATOMURA
realm is yamatomura.local
checking sAMAccountName
Deleted CN=RID Set,CN=RASPBERRYPI1,OU=Domain Controllers,DC=yamatomura,DC=local
Deleted CN=RASPBERRYPI1,OU=Domain Controllers,DC=yamatomura,DC=local
Deleted CN=NTDS Settings,CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=yamatomura,DC=local
Deleted CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=yamatomura,DC=local
Adding CN=RASPBERRYPI1,OU=Domain Controllers,DC=yamatomura,DC=local
Adding CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=yamatomura,DC=local
Adding CN=NTDS Settings,CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=yamatomura,DC=local
Adding SPNs to CN=RASPBERRYPI1,OU=Domain Controllers,DC=yamatomura,DC=local
Setting account password for RASPBERRYPI1$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at /opt/samba/private/krb5.conf
Provision OK for domain DN DC=yamatomura,DC=local
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=yamatomura,DC=local] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=yamatomura,DC=local] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=yamatomura,DC=local] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=yamatomura,DC=local] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=yamatomura,DC=local] objects[402/1617] linked_values[0/0]
Partition[CN=Configuration,DC=yamatomura,DC=local] objects[804/1617] linked_values[0/0]
Partition[CN=Configuration,DC=yamatomura,DC=local] objects[1206/1617] linked_values[0/0]
Partition[CN=Configuration,DC=yamatomura,DC=local] objects[1608/1617] linked_values[0/0]
Partition[CN=Configuration,DC=yamatomura,DC=local] objects[1617/1617] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=yamatomura,DC=local] objects[97/97] linked_values[24/0]
Partition[DC=yamatomura,DC=local] objects[367/270] linked_values[24/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=yamatomura,DC=local
Partition[DC=DomainDnsZones,DC=yamatomura,DC=local] objects[74/74] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=yamatomura,DC=local
Partition[DC=ForestDnsZones,DC=yamatomura,DC=local] objects[19/19] linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain YAMATOMURA (SID S-1-5-21-1103419775-2087469381-2721633249) as a DC


　Verifying and Creating a DC DNS Recordを参照して2台目をDNSへ登録する。説明ではsamba 4.6以降では本手順は不要となっているのだが、4.6.7で必要だった。

root@raspberrypi1:/opt/samba/etc# ldbsearch -H /opt/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid
# record 1
dn: CN=NTDS Settings,CN=RASPBERRYPI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=yamatomura,DC=local
objectGUID: 47a81dec-2a7f-48a9-9312-08006115a3fa

# record 2
dn: CN=NTDS Settings,CN=RASPBERRYPI2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=yamatomura,DC=local
objectGUID: b5d3d0e3-4c3e-4253-adb1-6ab126adbb01

# returned 2 records
# 2 entries
# 0 referrals
root@raspberrypi1:/opt/samba/etc# host -t CNAME 47a81dec-2a7f-48a9-9312-08006115a3fa._msdcs.yamatomura.loccal.
47a81dec-2a7f-48a9-9312-08006115a3fa._msdcs.yamatomura.loccal has no CNAME record
root@raspberrypi1:/opt/samba/etc# samba-tool dns add raspberrypi2 _msdcs.yamatomura.local 47a81dec-2a7f-48a9-9312-08006115a3fa CNAME raspberrypi1.yamatomura.local -Uadministrator
Password for [YAMATOMURA\administrator]:
Record added successfully
root@raspberrypi1:/opt/samba/etc# host -t CNAME 47a81dec-2a7f-48a9-9312-08006115a3fa._msdcs.yamatomura.local.
47a81dec-2a7f-48a9-9312-08006115a3fa._msdcs.yamatomura.local is an alias for raspberrypi1.yamatomura.local.
root@raspberrypi1:/opt/samba/etc#



　smb.confのdns forwarderを設定する。domainに参加したsambaで当該を設定しないとドメイン参加したコンピュータから名前解決がNGになる。


　/etc/dhcpcd.confのdomain_name_serversを設定する。


送信側の設定

xinetd.dをapt-getする。

apt-get install xinetd

rsyncの起動設定と起動を行う。

root@raspberrypi2:/etc# echo "rsync --daemon --config /etc/rsyncd.conf">>/etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# Print the IP address
_IP=$(hostname -I) || true
if [ "$_IP" ]; then
  printf "My IP address is %s\n" "$_IP"
fi


rsync --daemon --config /etc/rsyncd.conf

exit 0

/etc/rc.local (END)


root@raspberrypi2:/etc# rsync --daemon --config /etc/rsyncd.conf


[SysVol]
path = /opt/samba/var/locks/sysvol/
comment = Samba Sysvol Share
uid = root
gid = root
read only = yes
auth users = sysvol-replication
secrets file = /opt/samba/etc/rsyncd.secret
/etc/rsyncd.conf (END)

パスワードファイルを作成する。

root@raspberrypi2:/opt/samba/etc# pico /opt/samba/etc/rsyncd.secret

sysvol-replication:pa$$w0rd

root@raspberrypi2:/opt/samba/etc# chmod 600 rsyncd.secret

権限を変更しないとrsyncに失敗する。


受信側の設定

まずはパスワードファイルを設定する。
root@raspberrypi1:/opt/samba/etc# pico rsync-client.secret

pa$$w0rd

permissionを変更しておく。
root@raspberrypi1:/opt/samba/etc# chmod 600 rsync-client.secret 



最初にdry runをして正常に動作するか確認すること。本システムはraspberrypi2をFSMOというか送信側にしている。

root@raspberrypi1:/opt/samba/etc# rsync --dry-run -XAavz --delete-after --password-file=/opt/samba/etc/rsync-client.secret rsync://sysvol-replication@raspberrypi2/SysVol/ /opt/samba/var/locks/sysvol/
receiving file list ... done
./
yamatomura.local/
yamatomura.local/Policies/
yamatomura.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/
yamatomura.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/GPT.INI
yamatomura.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/
yamatomura.local/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/USER/
yamatomura.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/
yamatomura.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/GPT.INI
yamatomura.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/MACHINE/
yamatomura.local/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/USER/
yamatomura.local/scripts/

sent 59 bytes  received 588 bytes  99.54 bytes/sec
total size is 40  speedup is 0.06 (DRY RUN)

正常にrsyncするのを確認後cronに登録する。

echo "*/5 * * * * root rsync -XAavz --delete-after --password-file=/opt/samba/etc/rsync-client.secret rsync://sysvol-replication@raspberrypi2/SysVol/ /opt/samba/var/locks/sysvol/">/etc/cron.d/sysvol-replication

同期後、権限の設定変更を行う部分を上記の設定に追記する。

echo "1-59/5 * * * * root /opt/samba/bin/samba-tool ntacl sysvolreset">>/etc/cron.d/sysvol-replication

Read More

RaspberryPi ~./bashrc設定

  GNU nano 2.2.6                           File: /root/.bashrc                                                           

# ~/.bashrc: executed by bash(1) for non-login shells.

# Note: PS1 and umask are already set in /etc/profile. You should not
# need this unless you want different defaults for root.
# PS1='${debian_chroot:+($debian_chroot)}\h:\w\$ '
# umask 022

# You may uncomment the following lines if you want `ls' to be colorized:
# export LS_OPTIONS='--color=auto'
# eval "`dircolors`"
# alias ls='ls $LS_OPTIONS'
# alias ll='ls $LS_OPTIONS -l'
# alias l='ls $LS_OPTIONS -lA'
#
# Some more alias to avoid making mistakes:
# alias rm='rm -i'
# alias cp='cp -i'
# alias mv='mv -i'

export PATH=/opt/samba/bin/:/opt/samba/sbin/:$PATH

Read More

Raspberry Piで統合認証環境を作ってみる pt.6 samba パスワードポリシー設定

 passwordの複雑性や有効期限の変更を行う。Windowsの管理ツールでは対応していない。

root@raspberry1:/home/pi# /opt/samba/bin/samba-tool domain passwordsettings show

Password informations for domain 'DC=yamatomura,DC=local'

Password complexity: on

Store plaintext passwords: off

Password history length: 24

Minimum password length: 7

Minimum password age (days): 1

Maximum password age (days): 42

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

root@raspberry1:/home/pi# /opt/samba/bin/samba-tool domain passwordsettings set --complexity=off

Password complexity deactivated!

All changes applied successfully!

root@raspberry1:/home/pi# /opt/samba/bin/samba-tool domain passwordsettings set --min-pwd-age=0

Minimum password age changed!

All changes applied successfully!

root@raspberry1:/home/pi# /opt/samba/bin/samba-tool domain passwordsettings set --max-pwd-age=0

Maximum password age changed!

All changes applied successfully!

root@raspberry1:/home/pi# /opt/samba/bin/samba-tool domain passwordsettings show

Password informations for domain 'DC=yamatomura,DC=local'

Password complexity: off

Store plaintext passwords: off

Password history length: 24

Minimum password length: 7

Minimum password age (days): 0

Maximum password age (days): 0

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

Read More

samba 4.2.1 設定（AD 1台のみ版）

  GNU nano 2.2.6             File: /etc/modules                                 

# /etc/modules: kernel modules to load at boot time.

#

# This file contains the names of kernel modules that should be loaded

# at boot time, one per line. Lines beginning with "#" are ignored.

# Parameters can be specified after the module name.

snd-bcm2835

ipv6

  GNU nano 2.2.6                         File: /etc/network/interfaces                                                         

auto lo

iface lo inet loopback

auto eth0

allow-hotplug eth0

#iface eth0 inet manual

iface eth0 inet static

address 192.168.0.20

gateway 192.168.0.1

netmask 255.255.255.0

network 192.168.0.0

broadcast 192.168.0.255

dns-nameservers 192.168.0.20 192.168.0.1

dns-search yamatomura.local

auto wlan0

allow-hotplug wlan0

iface wlan0 inet manual

wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

auto wlan1

allow-hotplug wlan1

iface wlan1 inet manual

wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

  GNU nano 2.2.6                         File: /opt/samba/etc/smb.conf                                                         

# Global parameters

[global]

        workgroup = YAMATOMURA

        realm = YAMATOMURA.LOCAL

        netbios name = RASPBERRY1

        server role = active directory domain controller

        dns forwarder = 192.168.0.1

        server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns, smb

        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, brow$

        idmap_ldb:use rfc2307 = yes

[netlogon]

        path = /opt/samba/var/locks/sysvol/yamatomura.local/scripts

        read only = No

[sysvol]

        path = /opt/samba/var/locks/sysvol

        read only = No

  GNU nano 2.2.6                             File: /etc/hosts                                                                  

127.0.0.1       localhost.yamatomura.local localhost

::1             localhost ip6-localhost ip6-loopback

fe00::0         ip6-localnet

ff00::0         ip6-mcastprefix

ff02::1         ip6-allnodes

ff02::2         ip6-allrouters

192.168.0.20    raspberry1.yamatomura.local raspberry1 

less /etc/init.d/samba-ad-dc

#! /bin/sh

### BEGIN INIT INFO
# Provides:          samba-ad-dc
# Required-Start:    $network $local_fs $remote_fs
# Required-Stop:     $network $local_fs $remote_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: start Samba daemons for the AD DC
### END INIT INFO

#
# Start/stops the Samba daemon (samba).
# Adapted from the Samba 3 packages.
#

PIDDIR=/opt/samba/var/run
SAMBAPID=$PIDDIR/samba.pid

# clear conflicting settings from the environment
unset TMPDIR

# See if the daemon and the config file are there
test -x /opt/samba/sbin/samba -a -r /opt/samba/etc/smb.conf || exit 0

. /lib/lsb/init-functions

case "$1" in
        start)
                SERVER_ROLE=`/opt/samba/bin//opt/samba/bin/samba-tool testparm --parameter-name="server role"  2>/dev/null | tail -1`
                if [ "$SERVER_ROLE" != "active directory domain controller" ]; then
                    exit 0
                fi

                if init_is_upstart; then
                        exit 1
                fi

                # CVE-2013-4475
                KEYFILE=/var/lib/samba/private/tls/key.pem
                if [ -e $KEYFILE ]
                then
                                KEYPERMS=`stat -c %a $KEYFILE`
                                if [ "$KEYPERMS" != "600" ]
                                then
                                                echo "wrong permission on $KEYFILE, must be 600"
                                                echo "samba will not start (CVE-2013-4475)"
                                                echo "Removing all tls .pem files will cause an auto-regeneration with the correct permissions."
                                                exit 1
                                fi
                fi

                log_daemon_msg "Starting Samba AD DC daemon" "samba"
                # Make sure we have our PIDDIR, even if it's on a tmpfs
                install -o root -g root -m 755 -d $PIDDIR

                if ! start-stop-daemon --start --quiet --oknodo --exec /opt/samba/sbin/samba -- -D; then
                        log_end_msg 1
                        exit 1
                fi

                log_end_msg 0
                ;;
        stop)
                if init_is_upstart; then
                        exit 0
                fi
                log_daemon_msg "Stopping Samba AD DC daemon" "samba"

                start-stop-daemon --stop --quiet --pidfile $SAMBAPID
                # Wait a little and remove stale PID file
                sleep 1
                if [ -f $SAMBAPID ] && ! ps h `cat $SAMBAPID` > /dev/null
                then
                        # Stale PID file (samba was succesfully stopped),
                        # remove it (should be removed by samba itself IMHO.)
                        rm -f $SAMBAPID
                fi

                log_end_msg 0

                ;;
        restart|force-reload)
                if init_is_upstart; then
                        exit 1
                fi
                $0 stop
                sleep 1
                $0 start
                ;;
        status)
                status_of_proc -p $SAMBAPID /opt/samba/sbin/samba samba
                exit $?
                ;;
        *)
                echo "Usage: /etc/init.d/samba-ad-dc {start|stop|restart|force-reload|status}"
                exit 1
                ;;
esac

exit 0

  GNU nano 2.2.6                                 File: /etc/krb5.conf                                                                         

[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log

[libdefaults]
        default_realm = YAMATOMURA.LOCAL
        dns_lookup_realm = true
        dns_lookup_kdc = true

[realms]
        YAMATOMURA.LOCAL = {
        kdc = raspberry1.yamatomura.local
        admin_server = raspberry1.yamatomura.local
        }

[domain_realm]
        .yamatomura.local = YAMATOMURA.LOCAL
        yamatomura.local = YAMATOMURA.LOCAL

Read More