LPIC-3 Exam 300: Mixed Environments

はじめに

これは、LPIC-3 認定試験に必要な項目です。

バージョン情報

この試験範囲は、バージョン3.0です。

以前の1.0 試験範囲はこちら。

試験範囲の翻訳

このwikiに、以下の試験範囲の翻訳があります:

• 英語
• 日本語

試験範囲

課題 301: Sambaの基礎

301.1 Sambaの概念と構造 (総重量: 2)

総重量	2
説明	様々なSambaサーバのプロセスと、Sambaが様々な役割で利用されるときに使われるネットワーキングプロトコルを含む、基本的なSambaの概念を理解している。Sambaのバージョンは4.8以上に対応しています。

主な知識分野:

• 様々なSambaのデーモンとコポーネントの役割の理解。
• ヘテロジーニアスネットワークに関する重要な課題の理解。
• SMB/CIFSやActive Directoryを利用したネットワークサービスとポートに関する理解。
• SMBのプロトコルバージョン1.0, 2.0, 2.1, 3.0の主要機能の違いの理解。
• Samba 3とSamba 4の違いの理解。
• Samba VFSモジュール知識。
• Samba ClusteringとCTDBの知識。

用語とユーティリティ:

• smbd, nmbd, samba, winbindd

301.2 Sambaの設定 (総重量: 4)

総重量	4
説明	Sambaデーモンの設定ができる。

主な知識分野:

• Sambaサーバでの、ファイルベースの設定の管理。
• Sambaサーバでの、レジストリベースでの設定の管理。
• Sambaの設定におけるパラメータや変数の管理。
• Sambaサーバの役割とセキュリティモードの理解。
• TLSを利用したSambaの設定。
• Sambaの設定の正当性チェック。
• Sambaにおける設定の問題の、トラブルシュートとデバッグ。
• Sambaサーバの設定に利用されるWindowsツールの理解。

用語とユーティリティ:

• smb.conf
  • security
  • server role
  • server string
  • server services
  • tls enabled
  • tls keyfile
  • tls certfile
  • tls dh params file
  • tls cafile
  • config backend
  • registry shares
  • include
  • vfs objects
• samba-regedit
• HKLM\Software\Samba\
• REG_SZ, REG_MULTI_SZ
• testparm
• net registry (関連したサブコマンドを含む)
• Microsoft RSAT Tools
• Microsoft MMC
• Microsoft ADSI Edit
• Microsoft LDP
• Microsoft Regedit

301.3 Sambaの通常のメンテナンス (総重量: 2)

総重量	2
説明	Sambaでインストールされた、様々なツールやユーティリティの知識がある。

主な知識分野:

• ドメインコントローラやファイルサーバとしての、Sambaサービスの起動と停止。
• 動作しているSambaデーモンのモニタと操作
• TDBファイルの、バックアップとレストア。
• Active Directoryドメインコントローラのバックアップとレストア。
• アクティブディレクトリドメインコントローラの、バックアップとリカバリの方針の理解。
• アクティブディレクトリドメインコントローラでの、仮想化の影響の理解。

用語とユーティリティ:

• systemctl
• smbcontrol (関連するサブコマンドを含む)
• smbstatus
• tdbbackup
• tdbrestore
• samba-tool domain backup (サブコマンドを含む)
• Virtual Machine Generation Identifier
• Virtual Machine Snapshots

301.4 Sambaのトラブルシューティング (総重量: 3)

総重量	3
説明	Sambaの問題を分析しトラブルシューティングすることができる。TDBファイルで動作しているだけではなく、アクティブディレクトリで動作しているSambaサーバの、LDAPの内容にアクセスしたり修正したりすることができる。さらに、デバッグのために既存のアクティブディレクトリの別名クローンを作成することができる。

主な知識分野:

• 特定のデバッグクラスやクライアントに特化したログのための、ログレベルを設定するなどの、Sambaのログ機能を設定する
• Sambaパスワードデータベースに問い合わせや修正を行う。
• 重要なTDBファイルの内容を理解する。
• TDBファイルの内容を表示し編集する。
• TDBファイルの破損を認識する。
• Samba LDAPディレクトリのオブジェクトにアクセスしたり修正する。
• LDAP recycle binを有効にし利用する。
• ドメインコントローラーのデータベースの生合成を確認する。
• ドメインコントローラの別名を作成する。
• Sambaイベントログ出力の知識
• rpcclientを利用し、Samba Server上で情報を問い合わせる。

用語とユーティリティ:

• smb.conf:
  • log level
  • debuglevel
• /var/log/samba/
• smbpasswd
• pdbedit
• registry.tdb
• secrets.tdb
• tdbdump
• tdbtool
• ldbsearch
• ldbmodify
• ldbedit
• ldbadd
• ldbdel
• LDIF
• samba-tool dbcheck
• samba-tool domain backup (関連したサブコマンドを含む)
• rpcclient

課題 302: Sambaとアクティブディレクトリドメイン

302.1 アクティブディレクトリドメインコントローラとしてのSamba (総重量: 5)

総重量	5
説明	Candidates should be able to configure Samba as an Active Directory domain controller. This includes managing an Active Directory domain.

主な知識分野:

• アクティブディレクトリの概念を理解する。
• （DNS, Kerberos, NTP, LDAP, CIFS, MS-RPC等の）アクティブディレクトリで利用するネットワークサービスの概念を理解する。
• Sambaを利用して、新たにアクティブディレクトリドメインの設定をすることができる
• 既存のアクティブディレクトリドメインに、Sambaドメインコントローラーを追加する。
• ドメインコントローラを降格させたり、オンラインから削除しオフラインにする。
• アクティブディレクトリのレプリケーションを検証する。
• グローバルカタログとPartial Attribute Set(=部分的な属性セット）を理解し、問い合わせる。
• ドメインの機能レベルの理解と設定をする。
• アクティブディレクトリフォレストとドメイントラストの理解と設定をする。
• サブネット割り当てを含む、アクティブディレクトリサイトの理解と設定をする。
• 停止時の影響を含む、FSMOの役割の理解と管理。
• 認証監査ログを設定する。
• rsyncやrobocopyを利用して、システムボリューム(SYSVOL)を設定する。
• ntpdとSambaの導入。
• Windows NT4ドメインの知識

用語とユーティリティ:

• smb.conf:
  • server role
  • log level
• samba-tool domain (関連するサブコマンドを含む)
• samba-tool fsmo (関連するサブコマンドを含む)
• samba-tool drs (関連するサブコマンドを含む)
• samba-tool sites (関連するサブコマンドを含む)
• rsync
• rsync.conf
• /var/lib/samba/sysvol
• robocopy
• ntpd.conf
  • ntpsigndsocket

302.2 アクティブディレクトリの名前解決 (総重量: 2)

総重量	2
説明	Sambaの内部DNSサーバについて詳しい必要があります。

主な知識分野:

• アクティブディレクトリドメインコントローラとしてのSambaのDNSを理解し管理できる。
• Samba DNSのDNSレコードの管理。
• DNSフォワーディング
• アクティブディレクトリでの名前の標準化
• DNSマルチキャスト
• BIND9のDLZ DNSバックエンドの知識
• NetBIOS名前解決とWINSの知識

用語とユーティリティ:

• smb.conf:
  • DNS フォワーダー
  • DNSアップデートの許可
  • マルチキャストDNS登録
• samba-tool dns (サブコマンドを含む)
• samba_dnsupdate
• dig
• host
• /etc/resolv.conf

302.3 アクティブディレクトリのユーザ管理 (総重量: 4)

総重量	4
説明	スタンドアロンサーバやSambaベースのアクティブディレクトリ上のユーザやグループのアカウントを管理する。

主な知識分野:

• スタンドアロンサーバやSamba ADで、ユーザカウントやユーザグループを管理する。
• ユーザアカウント管理ツールの知識。
• アクティブディレクトリで、特定のユーザ/ユーザグループに管理上の許可を委譲する。
• パスワードの有効期限の設定と、変更要求の設定。
• パスワードポリシーとPSO(Password Setting Objects)の管理。
• プリンシパルとSID(DN, GUID)の識別。
• ユーザプリンシパルネーム(User Principal Name, UPN)とユーザプリンシパルネームサフィックス(User Principal Name Suffix, UPNS)の理解。
• セキュリティグループとディストリビューショングループの理解と管理。
• LDAPのセキュリティプリンシパル属性の理解と管理。
• Samba ADでのRFC2307属性の管理と理解。
• ユーザアカウントへの、Kerberosサービスプリンシパルネームの割り当て。
• 特定のプリンシパルに対する、Kerberosキーテーブルのエクスポート。
• LDAPアカウントマネージャーの知識。

用語とユーティリティ:

• samba-tool user (関連するサブコマンドを含む)
• samba-tool group (関連するサブコマンドを含む)
• samba-tool domain passwordsettings
• samba-tool domain exportkeytab
• samba-tool spn (関連するサブコマンドを含む)
• smbpasswd
• pdbedit
• kinit
• klist

302.4 Sambaドメインメンバーシップ (総重量: 4)

総重量	4
説明	Sambaサーバを、すでに存在しているアクティブディレクトリのドメインに参加させ、ユーザにサーバを利用させるように認証する。これには、Winbindサービスのインストールと設定も含まれる。

主な知識分野:

• Sambaを、既存のADドメインに参加させる。
• IDマッピングを含む、Winbindサービスを設定する。
• 様々なマッピングのバックエンドを含む、WinbindのIDマッピングの理解と設定。
• Winbindを利用するための、PAMとNSSの設定。

用語とユーティリティ:

• smb.conf:
  • security
  • server role
  • realm
  • workgroup
  • idmap config
  • winbind enumerate users
  • winbind enumerate groups
  • winbind offline logon
  • winbind separator
  • template shell
  • template homedir
  • allow trusted domains
• idmap_ad
• idmap_autorid
• idmap_ldap
• idmap_rfc2307
• idmap_rid
• idmap_tdb
• idmap_tdb2
• net ads (関連するサブコマンドを含む)
• /etc/nsswitch.conf
• /etc/pam.conf
• /etc/pam.d/
• libnss_winbind
• libpam_winbind
• getent
• wbinfo

302.5 Sambaのローカルユーザの管理(総重量: 2)

総重量	2
説明	スタンドアロンのSambaサーバ上で、ローカルのユーザを作成し管理する。

主な知識分野:

• ローカルパスワードデータベースを設定する。
• パスワード同期を機能させる。
• 異なるpassdbバックエンドの知識。
• Samba passdb間でのデータ変換

用語とユーティリティ:

• smb.conf:
  • passdb backend
• /etc/passwd
• /etc/group
• pam_smbpass.so
• smbpasswd
• pdbedit

Topic 303: Samba共有の設定

303.1 ファイル共有の設定 (総重量: 4)

総重量	4
説明	SambaでCIFSファイル共有を作成、設定する。

主な知識分野:

• CIFSファイル共有を作成、設定する。
• Sambaの共有アクセス設定パラメータの管理
• レジストリベースの共有設定の利用
• プロファイルとユーザのホーム共有の管理。
• ファイルサービスのマイグレーションの計画。
• IPC$へのアクセス制限。
• ユーザ共有の知識。
• スナップショット・シャドウコピーと、監査ログをサポートするモジュールを含む、存在するVFSモジュールでの、通常機能の知識。

用語とユーティリティ:

• smb.conf:
  • path
  • browsable
  • writable / write ok / read only
  • valid users
  • invalid users
  • read list
  • write list
  • guest ok
  • hosts allow / allow hosts
  • hosts deny / deny hosts
  • copy
  • hide unreadable
  • hide unwritable files
  • hide dot files
  • hide special files
  • veto files
  • delete veto files
• [homes]
• [IPC$]
• smbcquotas

303.2 ファイル共有のセキュリティ (総重量: 3)

総重量	3
説明	Linuxのファイルシステム上での、CIFS共有のファイルパーミッションを理解する。

主な知識分野:

• ファイルとディレクトリの所有権とパーミッションの施行。
• 共有とフォルダの、アクセス制御リスト(ACL)の管理。
• POSIX、拡張POSIX、Windowsアクセス制御リスト(ACL)の理解。
• Sambaが、Windowsのアクセス制御リスト(ACL)をLinuxのアクセス制御リスト(ACL)の中で保存し、属性を拡張させているかの理解。
• プロファイルとホームフォルダ共有のためのアクセス制御リスト(ACL)の設定
• CIFS接続での、暗号化の設定。

主な知識分野:

• smb.conf
  • create mask / create mode
  • directory mask / directory mode
  • force create mode
  • force directory mode
  • force user
  • force group / group
  • profile acls
  • inherit acls
  • map acl inherit
  • store dos attributes
  • vfs objects
  • smb encrypt
• chown
• chmod
• getfacl
• setfacl
• getfattr
• smbcacls
• sharesec
• SeDiskOperatorPrivilege
• vfs_acl_xattr
• vfs_acl_tdb
• samba-tool ntacl (関連するサブコマンドを含む)

303.3 DFS共有の設定 (総重量: 1)

総重量	1
説明	SambaでDFS共有を作成し管理できる。

主な知識分野:

• DFSの理解
• DFS共有の設定

用語とユーティリティ:

• smb.conf:
  • host msdfs
  • msdfs root
  • msdfs proxy
• ln

303.4 プリント共有の設定 (総重量: 2)

総重量	2
説明	Sambaでプリント共有を作成・管理することができる。

主な知識分野:

• raw印刷を含むSamba印刷機能の理解
• プリント共有の作成と設定
• SambaとCUPSの間での統合の設定
• Windowsのプリンタドライバーの管理と、プリンタドライバーのダウンロードの設定
• 「プリンタドライバの追加ウイザード」を利用した、Windows上でプリンタドライバのアップロード
• ドライバ設定の事前設定
• 用紙サイズと書式の設定
• サポートされているドライババージョン
• 信頼されたプリンタサーバへのGPOオプションの管理
• spoolssdの知識

用語とユーティリティ:

• smb.conf:
  • printing
  • printable / print ok
  • printcap name / printcap
  • spoolss: architecture = Windows x64
• [printers]
• [print$]
• CUPS
• cupsd.conf
• /var/spool/samba/
• smbspool
• rpcclient (トピックに関連したコマンドの実行(enumdrivers, enumprinters, setdriver)
• net (トピックに関連したコマンド)
• SePrintOperatorPrivilege

Topic 304: Sambaクライアントの設定

304.1 Linux認証クライアント (総重量: 5)

総重量	5
説明	ユーザアカウントの管理と認証に知識がある。これには、パスワードポリシーを強制させるだけではなく、NSS, PAM SSSD, Kerberosやローカルとリモートのディレクトリサービスや認証のメカニズムが含まれている。

主な知識分野:

• NSSとPAMの理解と設定
• パスワードの複雑性ポリシーと、一定期間でパスワードの変更を強制。
• 新規ユーザのホームディレクトリを作成。
• ログイン試行の失敗の後に、アカウントを自動的にロック
• LDAPから情報を取得する、NSSとPAMを設定する。
• アクティブディレクトリ、IPA、LDAP、Kerberosドメインとローカルのシステム認証データベースに対して、SSSD認証を設定する
• SSSDを利用して、ローカルのアカウントを管理する
• Kerberosチケットの取得と管理

用語とユーティリティ:

• /etc/pam.conf
• /etc/pam.d/
• /etc/nsswitch.conf
• /etc/login.defs
• pam_ldap.so
• ldap.conf
• pam_krb5.so
• pam_cracklib.so
• pam_tally2.so
• pam_faillock.so
• pam_mkhomedir.so
• chage
• faillog
• sssd
• sssd.conf
• sss_override
• sss_cache
• sss_debuglevel
• sss_user* and sss_group*
• /var/lib/sss/db/
• krb5.conf
• kinit
• klist
• kdestroy

304.2 Linux CIFSクライアント (総重量: 3)

総重量	3
説明	Linuxクライアントから、リモートのCIFS共有を利用することができる。これには、クライアント側でのCIFS証明書の管理や、リモートACLやクォータの管理が含まれています。

主な知識分野:

• Linuxクライアントから、リモートのCIFS共有にアクセスする。
• Linuxクライアント上で、リモート上でCIFS共有をマウントする。
• 自動的にホームディレクトリをマウントする。
• CIFS証明書を、安全に保管し管理する。
• リモートのCIFS共有の、パーミッションやファイルの所有権を理解し、管理する。
• CIFS共有のクォータを理解し管理する。

用語とユーティリティ:

• smb.conf
• smbclient (関連するサブコマンドを含む)
• mount
• mount.cifs
• /etc/fstab
• pam_mount.so
• pam_mount.conf.xml
• cifscreds
• getcifsacl
• setcifsacl
• smbcquotas
• cifsiostat
• smbget
• smbtar

304.3 Windowsクライアント (総重量: 3)

総重量	3
説明	Windowsホストから、CIFSとプリント共有にアクセスし、それらのホストをアクティブディレクトリに参加させることができる。さらに、GPOを利用しWindowsホストを管理し、リモートのWindowsホストにアクセスすることができる。

主な知識分野:

• Windowsホストをセットアップし利用する方法を理解している
• Windowsホストをアクティブディレクトリのドメインに参加させる
• Windowsクライアントから、リモートのCIFS共有にアクセスする。
• Windowsクライアントからリモートのプリンタに印刷する、設定を行う。
• Windowsホスト上で、ファイルとプリンタの共有を設定する。
• GPOの概念・構造・性能を理解している。
• GPOを作成・修正し、GPOをマシンやユーザに適用する。
• リモートのWindowデスクトップにアクセスする。
• ログオンスクリプトを作成し設定する。
• アクティブディレクトリユーザに対する、ローミングプロファイルを設定する。
• プロファイルフォルダリダイレクトを設定できる。

用語とユーティリティ:

• smb.conf:
  • logon path
  • logon script
• net (Windowコマンド;関連するすべてのサブコマンドを含む)
• samba-tool gpo (関連するすべてのサブコマンドを含む)
• gpoupdate ((Windowコマンド)
• rdesktop

Topic 305: Linuxのアイデンティティ管理とファイル共有

305.1 FreeIPAのインストールとメンテナンス (総重量: 2)

総重量	2
説明	通常の設定とデフォルトのサービスを利用して、FreeIPAドメインを設定し管理することができる。これには、レプリケーションを設定し、ドメインにクライアントを参加させることを含みます。

主な知識分野:

• サーバサイドだけではなく、クライアントサイドを含むFreeIPAの機能・構造を理解している。
• FreeIPAサーバをインストールする。
• 通常の設定とデフォルトのサービスを利用して、FreeIPAドメインを設定・管理する。
• レプリケーショントポロジを理解し、FreeIPAのレプリケーションを設定する。
• クライアントをFreeIPAドメインに参加させる。
• ipa-backupの知識

用語とユーティリティ:

• ipa-server-install
• ipa-replica-prepare
• ipa-replica-install
• ipa-client-install
• ipactl

305.2 FreeIPAエンティティ管理 (総重量: 4)

総重量	4
説明	FreeIPAドメインでユーザ、ホスト、サービスを管理することができる。

主な知識分野:

• ユーザアカウントとグループを管理する
• ホスト、ホストグループ、サービスを管理する。
• IPAアクセスコントロール許可、特権、ロールの方針を理解する。
• IDのビューを理解する。
• FreeIPAにおいて、ホストベースドのアクセスコントロールだけではなく、sudo, autos, SSH, SELinux, NISのインテーグレーション
• FreeIPA CAの知識

用語とユーティリティ:

• ipa (user-*, stageuser-* and group-* and idview-* に関連するサブコマンドを含む)
• ipa (host-*, hostgroup-*, service-* and getkeytab に関連するサブコマンドを含む)
• ipa (permission-*, privilege-*, and role-* に関連するサブコマンドを含む)
• ipctl
• ipa-advice

305.3 FreeIPAのアクティブディレクトリインテグレーション (weight: 2)

総重量	2
説明	FreeIPAとアクティブディレクトリドメインの間で、クロスフォレストトラストの設定ができる。

主な知識分野:

• Kerberosクロスレルムトラストを利用した、FreeIPAとアクティブディレクトリの設定
• FreeIPAでのIDレンジの設定
• FreeIPAで、外部非POSIXグループの理解と管理。
• Microsoft Privilege Attribute Certificatesと、FreeIPAでの実現方法の知識
• FreeIPAとアクティブディレクトリインテグレーションを元にした、レプリケーションの知識

用語とユーティリティ:

• ipa-adtrust-install
• ipa (trust-*, idrange-* and group-* に関連した知識)

305.4 ネットワークファイルシステム(NFS) (総重量: 3)

総重量	3
説明	NFSv4を利用できる。IDマッピング、NFSv4のACL、NFSのKerberos認証の理解。

主な知識分野:

• 主なNFSv4機能の知識。
• NFSv4サーバとクライアントの、設定と管理。
• NFSv4 pseudoファイルシステムの理解と利用。
• NFSv4 ACLの理解と利用
• NFSv4の認証にKerberosを使用

用語とユーティリティ:

• exportfs
• /etc/exports
• /etc/idmapd.conf
• nfs4_editfacl
• nfs4_getfacl
• nfs4_setfacl
• mount (NFS mountの共通のオプションを含む)
• /etc/fstab