トピック302：Sambaとアクティブディレクトリドメイン

302.1 アクティブディレクトリドメインコントローラとしてのSamba

総重量： 5

説明: Active DirectoryドメインコントローラーとしてSambaを設定することができる。これは、Active Directoryドメインの管理を含む。

主な知識分野:

• アクティブディレクトリの概念を理解する。
• （DNS, Kerberos, NTP, LDAP, CIFS, MS-RPC等の）アクティブディレクトリで利用するネットワークサービスの概念を理解する。
• Sambaを利用して、新たにアクティブディレクトリドメインの設定をすることができる
• 既存のアクティブディレクトリドメインに、Sambaドメインコントローラーを追加する。
• ドメインコントローラを降格させたり、オンラインから削除しオフラインにする。
• アクティブディレクトリのレプリケーションを検証する。
• グローバルカタログとPartial Attribute Set(=部分的な属性セット）を理解し、問い合わせる。
• ドメインの機能レベルの理解と設定をする
• アクティブディレクトリフォレストとドメイントラストの理解と設定をする。
• サブネット割り当てを含む、アクティブディレクトリサイトの理解と設定をする。
• 停止時の影響を含む、FSMOの役割の理解と管理。
• 認証監査ログを設定する。
• rsyncやrobocopyを利用して、システムボリューム(SYSVOL)を設定する。
• ntpdとSambaの導入。
• Windows NT4ドメインの知識

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • server role
  • log level
• samba-tool domain (関連するサブコマンドを含む)
• samba-tool fsmo (関連するサブコマンドを含む)
• samba-tool drs (関連するサブコマンドを含む)
• samba-tool sites (関連するサブコマンドを含む)
• rsync
• rsync.conf
• / var / lib / samba / sysvol
• robocopy
• ntpd.conf
  • ntpsigndsocket

302.2 アクティブディレクトリの名前解決

総重量： 2

説明：Sambaの内部DNSサーバについて詳しい必要があります。

主な知識分野:

• アクティブディレクトリドメインコントローラとしてのSambaのDNSを理解し管理できる。
• Samba DNSのDNSレコードの管理。
• DNSフォワーディング
• アクティブディレクトリでの名前の標準化
• DNSマルチキャスト
• BIND9のDLZ DNSバックエンドの知識
• NetBIOS名前解決とWINSの知識

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • DNSフォワーダー
  • DNSアップデートの許可
  • マルチキャストDNS登録
• samba-tool dns (with subcommands)
• samba_dnsupdate
• dig
• host
• /etc/resolv.conf

302.3 アクティブディレクトリのユーザ管理

総重量： 4

説明: スタンドアロンサーバやSambaベースのアクティブディレクトリ上のユーザやグループのアカウントを管理する。

主な知識分野:

• スタンドアロンサーバやSamba ADで、ユーザカウントやユーザグループを管理する。
• ユーザアカウント管理ツールの知識。
• アクティブディレクトリで、特定のユーザ/ユーザグループに管理上の許可を委譲する。
• パスワードの有効期限の設定と、変更要求の設定。
• パスワードポリシーとPSO(Password Setting Objects)の管理。
• プリンシパルとSID(DN, GUID)の識別。
• ユーザプリンシパルネーム(User Principal Name, UPN)とユーザプリンシパルネームサフィックス(User Principal Name Suffix, UPNS)の理解。
• セキュリティグループとディストリビューショングループの理解と管理。
• LDAPのセキュリティプリンシパル属性の理解と管理。
• Samba ADでのRFC2307属性の管理と理解。
• ユーザアカウントへの、Kerberosサービスプリンシパルネームの割り当て。
• 特定のプリンシパルに対する、Kerberosキーテーブルのエクスポート。
• LDAPアカウントマネージャーの知識。

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• samba-tool user (関連するサブコマンドを含む)
• samba-tool group (関連するサブコマンドを含む)
• samba-tool domain passwordsettings
• samba-tool domain exportkeytab
• samba-tool spn (関連するサブコマンドを含む)
• smbpasswd
• pdbedit
• kinit
• klist

302.4 Sambaドメインメンバーシップ

総重量： 4

説明：Sambaサーバを、すでに存在しているアクティブディレクトリのドメインに参加させ、ユーザにサーバを利用させるように認証する。これには、Winbindサービスのインストールと設定も含まれる。

主な知識分野:

• Sambaを、既存のADドメインに参加させる。
• IDマッピングを含む、Winbindサービスを設定する。
• 様々なマッピングのバックエンドを含む、WinbindのIDマッピングの理解と設定。
• Winbindを利用するための、PAMとNSSの設定。

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • security
  • server role
  • realm
  • workgroup
  • idmap config
  • winbind enumerate users
  • winbind enumerate groups
  • winbind offline logon
  • winbind separator
  • template shell
  • template homedir
  • allow trusted domains
• idmap_ad
• idmap_autorid
• idmap_ldap
• idmap_rfc2307
• idmap_rid
• idmap_tdb
• idmap_tdb2
• net ads (including relevant subcommands)
• /etc/nsswitch.conf
• /etc/pam.conf
• /etc/pam.d/
• libnss_winbind
• libpam_winbind
• getent
• wbinfo

302.5S ambaのローカルユーザの管理

総重量： 4

説明: スタンドアロンのSambaサーバ上で、ローカルのユーザを作成し管理する。

主な知識分野:

• ローカルパスワードデータベースを設定する。
• パスワード同期を機能させる。
• 異なるpassdbバックエンドの知識。
• Samba passdb間でのデータ変換

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • passdb backend
• /etc/passwd
• /etc/group
• pam_smbpass.so
• smbpasswd
• pdbedit

トピック303：Samba共有の設定

303.1 ファイル共有の設定

総重量： 4

説明: SambaでCIFSファイル共有を作成、設定する。

主な知識分野:

• CIFSファイル共有を作成、設定する。
• Sambaの共有アクセス設定パラメータの管理
• レジストリベースの共有設定の利用
• プロファイルとユーザのホーム共有の管理。
• プロファイルとユーザのホーム共有の管理。
• IPC$へのアクセス制限。
• ユーザ共有の知識。
• スナップショット・シャドウコピーと、監査ログをサポートするモジュールを含む、存在するVFSモジュールでの、通常機能の知識。

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • path
  • browsable
  • writable / write ok / read only
  • valid users
  • invalid users
  • read list
  • write list
  • guest ok
  • hosts allow / allow hosts
  • hosts deny / deny hosts
  • copy
  • hide unreadable
  • hide unwritable files
  • hide dot files
  • hide special files
  • veto files
  • delete veto files
• [homes]
• [IPC$]
• smbcquotas

303.2 ファイル共有のセキュリティ

総重量： 3

説明：Linuxのファイルシステム上での、CIFS共有のファイルパーミッションを理解する。

主な知識分野:

• ファイルとディレクトリの所有権とパーミッションの施行。
• 共有とフォルダの、アクセス制御リスト(ACL)の管理。
• POSIX、拡張POSIX、Windowsアクセス制御リスト(ACL)の理解。
• Sambaが、Windowsのアクセス制御リスト(ACL)をLinuxのアクセス制御リスト(ACL)の中で保存し、属性を拡張させているかの理解。
• プロファイルとホームフォルダ共有のためのアクセス制御リスト(ACL)の設定
• CIFS接続での、暗号化の設定。

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf
  • create mask / create mode
  • directory mask / directory mode
  • force create mode
  • force directory mode
  • force user
  • force group / group
  • profile acls
  • inherit acls
  • map acl inherit
  • store dos attributes
  • vfs objects
  • smb encrypt
• chown
• chmod
• getfacl
• setfacl
• getfattr
• smbcacls
• sharesec
• SeDiskOperatorPrivilege
• vfs_acl_xattr
• vfs_acl_tdb
• samba-tool ntacl（サブコマンドを含む）

303.3 DFS共有構成

総重量： 1

説明：SambaでDFS共有を作成し管理できる。

主な知識分野:

• DFSの理解
• DFS共有の設定

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • host msdfs
  • msdfs root
  • msdfs proxy
• ln

303.4 プリント共有の設定

総重量： 2

説明：Sambaでプリント共有を作成・管理することができる。

主な知識分野:

• raw印刷を含むSamba印刷機能の理解
• プリント共有の作成と設定
• SambaとCUPSの間での統合の設定
• Windowsのプリンタドライバーの管理と、プリンタドライバーのダウンロードの設定
• 「プリンタドライバの追加ウイザード」を利用した、Windows上でプリンタドライバのアップロード
• ドライバー設定を事前に構成する
• 用紙サイズと書式の設定
• サポートされているドライババージョン
• 信頼されたプリンタサーバへのGPOオプションの管理
• spoolssdの知識

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • printing
  • printable / print ok
  • printcap name / printcap
  • spoolss: architecture = Windows x64
• [printers]
• [print$]
• CUPS
• cupsd.conf
• / var / pool / samba /
• smbspool
• rpcclient (to execute topic-related commands (enumdrivers, enumprinters, setdriver)
• net (included topic-related subcommands)）
• SePrintOperatorPrivilege

トピック304：Sambaクライアントの設定

Linux認証クライアント

総重量： 5

説明: ユーザアカウントの管理と認証に知識がある。これには、パスワードポリシーを強制させるだけではなく、NSS, PAM SSSD, Kerberosやローカルとリモートのディレクトリサービスや認証のメカニズムが含まれている。

主な知識分野:

• NSSとPAMの理解と設定
• パスワードの複雑性ポリシーと、一定期間でパスワードの変更を強制。
• 新規ユーザのホームディレクトリを作成。
• ログイン試行の失敗の後に、アカウントを自動的にロック
• LDAPから情報を取得する、NSSとPAMを設定する。
• アクティブディレクトリ、IPA、LDAP、Kerberosドメインとローカルのシステム認証データベースに対して、SSSD認証を設定する
• SSSDを利用して、ローカルのアカウントを管理する
• Kerberosチケットの取得と管理

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• /etc/pam.conf
• /etc/pam.d/
• /etc/nsswitch.conf
• /etc/login.defs
• pam_ldap.so
• ldap.conf
• pam_krb5.so
• pam_cracklib.so
• pam_tally2.so
• pam_faillock.so
• pam_mkhomedir.so
• chage
• faillog
• sssd
• sssd.conf
• sss_override
• sss_cache
• sss_debuglevel
• sss_user* and sss_group*
• / var / lib / sss / db /
• krb5.conf
• kinit
• klist
• kdestroy

304.2 Linux CIFSクライアント

総重量： 3

説明: Linuxクライアントから、リモートのCIFS共有を利用することができる。これには、クライアント側でのCIFS証明書の管理や、リモートACLやクォータの管理が含まれています。

主な知識分野:

• Linuxクライアントから、リモートのCIFS共有にアクセスする。
• Linuxクライアント上で、リモート上でCIFS共有をマウントする。
• 自動的にホームディレクトリをマウントする。
• CIFS証明書を、安全に保管し管理する。
• リモートのCIFS共有の、パーミッションやファイルの所有権を理解し、管理する。
• CIFS共有のクォータを理解し管理する。

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf
• smbclient（関連するサブコマンドを含む）
• mount
• mount.cifs
• /etc/fstab
• pam_mount.so
• pam_mount.conf.xml
• cifscreds
• getcifsacl
• setcifsacl
• smbcquotas
• cifsiostat
• smbget
• smbtar

304.3 Windowsクライアント

総重量： 3

説明: Windowsホストから、CIFSとプリント共有にアクセスし、それらのホストをアクティブディレクトリに参加させることができる。さらに、GPOを利用しWindowsホストを管理し、リモートのWindowsホストにアクセスすることができる。

主な知識分野:

• Windowsホストをセットアップし利用する方法を理解している
• Windowsホストをアクティブディレクトリのドメインに参加させる
• Windowsクライアントから、リモートのCIFS共有にアクセスする。
• Windowsクライアントからリモートのプリンタに印刷する、設定を行う。
• Windowsホスト上で、ファイルとプリンタの共有を設定する。
• GPOの概念・構造・性能を理解している。
• GPOを作成・修正し、GPOをマシンやユーザに適用する。
• リモートのWindowデスクトップにアクセスする
• ログオンスクリプトを作成し設定する。
• アクティブディレクトリユーザに対する、ローミングプロファイルを設定する。
• プロファイルフォルダリダイレクトを設定できる。

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• smb.conf:
  • logon path
  • logon script
• net（Windowsコマンド;関連するすべてのサブコマンドを含む）
• samba-tool gpo（関連するすべてのサブコマンドを含む）
• gpupdate（Windowsコマンド）
• rdesktop

トピック305：Linuxのアイデンティティ管理とファイル共有

305.1 FreeIPAのインストールとメンテナンス

総重量： 2

説明: 通常の設定とデフォルトのサービスを利用して、FreeIPAドメインを設定し管理することができる。これには、レプリケーションを設定し、ドメインにクライアントを参加させることを含みます。

主な知識分野:

• サーバサイドだけではなく、クライアントサイドを含むFreeIPAの機能・構造を理解している。
• FreeIPAサーバをインストールする。
• 通常の設定とデフォルトのサービスを利用して、FreeIPAドメインを設定・管理する。
• レプリケーショントポロジを理解し、FreeIPAのレプリケーションを設定する。
• クライアントをFreeIPAドメインに参加させる。
• ipa-backupの知識

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• ipa-server-install
• ipa-replica-prepare
• ipa-replica-install
• ipa-client-install
• ipactl

305.2 FreeIPAエンティティ管理

総重量： 4

説明: FreeIPAドメインでユーザ、ホスト、サービスを管理することができる。

主な知識分野:

• ユーザアカウントとグループを管理する
• ホスト、ホストグループ、サービスを管理する。
• IPAアクセスコントロール許可、特権、ロールの方針を理解する。
• IDのビューを理解する。
• FreeIPAにおいて、ホストベースドのアクセスコントロールだけではなく、sudo, autos, SSH, SELinux, NISのインテーグレーション
• FreeIPA CAの知識

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• ipa (user-*, stageuser-* and group-* and idview-* に関連するサブコマンドを含む)
• ipa (host-*, hostgroup-*, service-* and getkeytab に関連するサブコマンドを含む)
• ipa (permission-*, privilege-*, and role-* に関連するサブコマンドを含む)
• ipctl
• ipa-advice

FreeIPAのアクティブディレクトリインテグレーション

総重量： 2

説明: FreeIPAとアクティブディレクトリドメインの間で、クロスフォレストトラストの設定ができる。

主な知識分野:

• Kerberosクロスレルムトラストを利用した、FreeIPAとアクティブディレクトリの設定
• FreeIPAでのIDレンジの設定
• FreeIPAで、外部非POSIXグループの理解と管理。
• Microsoft Privilege Attribute Certificatesと、FreeIPAでの実現方法の知識
• FreeIPAとアクティブディレクトリインテグレーションを元にした、レプリケーションの知識

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• ipa-adtrust-install
• ipa (trust-*, idrange-* and group-* に関連した知識)

305.4 ネットワークファイルシステム(NFS)

総重量： 3

説明: NFSv4を利用できる。IDマッピング、NFSv4のACL、NFSのKerberos認証の理解。

主な知識分野:

• 主なNFSv4機能の知識。
• NFSv4サーバとクライアントの、設定と管理。
• NFSv4 pseudoファイルシステムの理解と利用。
• NFSv4 ACLの理解と利用
• NFSv4の認証にKerberosを使用  

以下のリストは、使用されるファイル、用語、およびユーティリティの一部です。

• exportfs
• /etc/exports
• /etc/idmapd.conf
• nfs4_editfacl
• nfs4_getfacl
• nfs4_setfacl
• mount (including common NFS mount options)
• /etc/fstab