高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
winbinddとは?概要
このページでは winbindd が何をするソフトなのかを、初心者にも分かりやすく解説します。Samba というソフトウェアの一部であり、Windowsのアカウント情報とUnix系システムを結ぶ仲介役です。要するに、Windowsのユーザー名やグループ名と、Linux のユーザー名・グループ名を同じ土俵で扱えるようにする道具です。
企業や学校などの環境では、Windowsのアカウントでログインしている人がLinuxサーバーにもその同じIDでログインできると便利です。そのとき winbindd が中心的な役割を果たします。Windows 側の情報を取り込み、Unix 側のファイルやプロセスの権限と結びつけることで、混乱を減らし管理を楽にします。
基本的な役割
winbindd は以下のような役割を持ちます。Windows SID(Security Identifier:セキュリティ識別子)と
Linux の uid・gid、さらにはネームサービス(ユーザー名、グループ名)の対応づけを行います。
- Windows のアカウント情報を取得して、Linux の user/pass と結びつける
- Windows のグループ情報を Linux のグループとして扱えるようにする
- getent や wbinfo などのコマンドから、認証・認可の情報を取得できるようにする
仕組みと動作のイメージ
勝手に難しく感じるかもしれませんが、イメージはこうです。winbindd が Windows Domain Controller や Active Directory から情報を取り出し、Linux 側の NSS/PAM との連携で人の名前と権限を橋渡しします。これにより、Linux へのログイン時に Windows のアカウントで通るようになります。
動作を理解するうえで大事なポイントは次の通りです。IDマッピング(Windows SID と Unix の UID/GID の対応づけ)と、NSS/PAM(Name Service Switch / Pluggable Authentication Modules)の連携です。winbindd 自体はサービスとして走り続け、ネットワークやドメインの状態に合わせて情報を更新します。
導入の前提と注意点
導入前にはいくつかの前提があります。DNS の正解性、時刻同期、そして Windows 側のドメイン設定です。DNS が乱れていると winbindd は正しくドメインを認識できません。時刻が大きくずれていると、 Kerberos 認証に失敗します。これらが揃って初めて、winbindd は安定して動作します。
実際の運用イメージと代表的な設定
実務では、Samba の設定ファイル(通常は /etc/samba/smb.conf 付近)を手直しします。代表的な設定項目は以下の通りです。workgroup や security、idmap config などです。これらを正しく設定することで、Windows ドメインの情報を winbindd が取りに行く道筋を作ります。
設定のイメージとしては、idmap backend に <span>idmap ad や rid を選んで、AD/Domain Controller から直接 UID/GID を取得する方法がよく使われます。設定後は、サービスの再起動 を行い、動作確認をします。
よく使うコマンドと使い方の例
実務で役立つコマンドを覚えておくと、問題が起きたときの原因追及が早くなります。以下は代表的なものです。
| 用途 | |
|---|---|
| wbinfo --user | Windows 側のユーザーに対応する Unix 側の情報を取得 |
| wbinfo --group | Windows のグループ情報の取得 |
| getent passwd | NSS 経由でユーザー情報を確認 |
| getent group | NSS 経由でグループ情報を確認 |
| wbinfo -t | KDC/Kerberos の信頼関係の判定 |
トラブルシューティングの基本
問題が起きたときは、まずログを確認します。Samba のログは多くの場合 /var/log/samba/ にあります。次に、DNS の設定、時刻同期、ネットワークの到達性をチェックします。winbindd の再起動(systemctl restart winbind)や、getent、wbinfo 系のコマンドで情報が返ってくるかを順に確認すると原因が見つかりやすいです。
実務でのポイント
実務でのポイントは、ドメインの信頼関係が崩れていないか、時刻・DNS・ネットワークの安定性、NSS/PAM の連携設定をきちんと保つことです。これらを守れば、Windows のアカウントで Linux にログインするワークフローが自然に動き、権限の管理も統一されていきます。
まとめ
このページの要点は次のとおりです。winbinddは Windows のアカウント情報と Unix 系システムの権限情報を橋渡しする役割を担います。正しく設定するには DNS・時刻・ドメイン設定が重要で、IDマッピングと NSS/PAM の連携が鍵となります。日常の運用では wbinfo や getent で状況を確認し、必要に応じて Samba の設定を微調整します。これを理解しておくと、Windows と Linux の混在環境でもスムーズに認証・認可を管理できるようになります。
winbinddの同意語
- winbindd
- Samba の Windows ドメイン連携デーモン。Windows ドメインの認証とユーザー・グループ情報の ID マッピングを担当します。
- winbind デーモン
- winbindd の日本語表現。Windows 認証連携を担うデーモンを指します。
- winbind サービス
- winbindd を指す別称。Samba の Windows 認証と情報連携機能を提供するサービスです。
- Samba Winbind デーモン
- Samba パッケージに含まれる winbindd の別称。Windows 認証・ID マッピングを実行します。
- Samba Winbind サービス
- Samba の Windows 認証・ユーザー情報連携機能を提供する一連の動作を指します。
- Windows ドメイン認証デーモン
- Windows ドメインへの認証を行うデーモンとしての説明表現。winbindd の役割を指します。
- Windows ドメイン連携デーモン
- Windows ドメインと Linux 系システムをつなぐ役割のデーモンという意味。
- Windows アカウント連携デーモン
- Windows アカウント情報と Linux アカウント情報を連携するデーモンという意味。
- SID-UID マッピングデーモン
- Windows の SID と Unix の UID/GID を対応付ける機能を担うデーモンという説明。
- nss_winbind
- NSS(Name Service Switch)用の winbind 対応モジュール。ユーザー・グループ情報の取得に使われ、winbindd と連携します。
- pam_winbind
- PAM で winbindd を利用して認証を行うモジュール。ログイン時の認証情報を winbindd から取得します。
- idmap_winbind
- Winbind の ID マッピングバックエンド。SID と UID/GID の対応づけを提供します。
winbinddの対義語・反対語
- ローカル認証モード
- 概念上の対義語です。ドメイン連携を行わず、/etc/passwd や /etc/shadow などのローカルデータベースだけを用いて認証・ID解決を行う運用。Winbindを使わず、Windowsユーザーを自動で解決しない状態。
- スタンドアロン運用
- 概念上の対義語です。サーバーをWindowsドメインに参加させず、独立したシステムとして運用する状態。外部の認証サービスに依存せず、ローカルの認証機構を優先します。
- Winbind未使用
- 概念上の対義語です。winbinddサービスを起動・利用していない状態。Windowsのユーザー情報をUnixへ自動解決する機能を使いません。
- ドメイン連携なし
- 概念上の対義語です。Active DirectoryやSambaのドメインと連携せず、ローカル認証や他の認証機構に任せる設定。
- Active Directory未連携
- 概念上の対義語です。ADと通信・同期していない状態。Windowsアカウントの自動解決機能を無効化します。
- Windowsドメイン非対応
- 概念上の対義語です。Windowsドメインのユーザー情報を自動的に解決・適用する機能が無い状態。
winbinddの共起語
- Samba
- WindowsとUnix系を統合するオープンソースのソフトウェアスイート。winbinddはSambaの一部として、Windowsドメイン認証とUID/GIDのマッピングを担います。
- Active Directory
- Windowsのディレクトリサービス。winbinddはADドメインに参加し、ユーザー/グループ情報を取得して認証に利用します。
- ドメイン
- Windowsネットワークの管理単位。winbinddはドメインに参加して認証・照合を行います。
- ドメインコントローラ
- ADを提供するサーバ。winbinddはDCへアクセスして認証情報やアカウント情報を取得します。
- Kerberos
- 認証プロトコル。winbinddはKerberosを使ってTGTやサービスチケットを取得・検証します。
- NTLM
- Windowsの旧式認証方式。Kerberosが使えない場合に代替として使われることがあります。
- NTLMv2
- NTLMの強化版。より強固な認証応答を提供します。
- idmap
- WindowsのSIDをUnixのUID/GIDへ対応付けるマッピング機構。winbinddで利用されます。
- idmap config
- smb.conf内のidmap設定セクション。どのドメイン/範囲をどうマッピングするかを定義します。
- idmap backend
- SIDからUID/GIDへの実装バックエンド。例: rid, ad, tdb, autorid。
- RID
- Relative Identifier。SID末尾の数値群で、Unix側の UID/GID へ割り当てる単位となることが多いです。
- SID
- Security Identifier。Windowsのユーザーやグループを一意に識別する識別子。
- UID
- Unix系のユーザーID。winbinddはSIDから対応するUIDを割り当てます。
- GID
- Unix系のグループID。winbinddはSIDから対応するGIDを割り当てます。
- NSS
- Name Service Switch。passwd/group情報をwinbindd経由で解決します。
- PAM
- Pluggable Authentication Module。pam_winbindなどを使って認証を統合します。
- pam_winbind
- PAMモジュール。winbinddの認証機能をPAM経由で利用可能にします。
- smb.conf
- Sambaの設定ファイル。winbindの動作やidmap設定はここに記述します。
- realm
- Kerberos認証領域名。REALMと表記されることが多く、Kerberos設定の鍵となります。
- REALM
- Kerberosの領域名(大文字表記が一般的)。
- net ads
- ADへ問い合わせ・管理を行うコマンド群。ドメイン情報の取得・テストに使用します。
- net join
- ドメインへ参加するコマンド。winbind/ Samba環境で用いられます。
- realm join
- realmコマンドでドメインへ参加する操作。
- SSSD
- System Security Services Daemon。winbindの代替または併用として使われることがあります。
- LDAP
- Lightweight Directory Access Protocol。ADはLDAPを提供し、情報参照に使われます。
- DNS
- Domain Name System。ADの動作にはDNSが必須で、名前解決に欠かせません。
- WINS
- Windows Internet Name Service。NetBIOS名解決の補助を担い、古い環境で使われます。
- GSSAPI
- Generic Security Services API。KerberosなどのセキュリティAPIの標準仕様。
- Kerberos tickets
- Kerberosチケット。TGTやサービスチケットとして発行され、認証に用いられます。
- SMB
- Server Message Block。Windows互換のファイル共有/プリンタ共有プロトコル。winbindはSMB経由の認証照合にも関与します。
winbinddの関連用語
- winbindd
- Windows ドメインと連携して Linux/UNIX のユーザー・グループ情報を取得・認証する Samba のデーモン。NSS/PAM の統合や Kerberos/NTLM 認証の仲介を行う。
- wbinfo
- winbindd と連携して情報を問い合わせるコマンド。ユーザー名・グループ名・SID などから UNIX の UID/GID へのマッピングを取得できる。
- Samba
- Windows ネットワークと連携するためのオープンソースの実装。ファイル共有やプリンター共有だけでなく winbindd などの認証機能を提供する。
- Active Directory
- Microsoft のディレクトリサービス。winbindd は AD からユーザー・グループ情報を取得し、認証を支援する。
- Domain Controller
- AD の責任者サーバー。winbindd は DC から SID やアカウント情報を参照する。
- SID
- Security Identifier の略。Windows のアカウントを一意に識別する識別子。UNIX 側の UID/GID へマッピングされることがある。
- RID
- Relative Identifier の略。SID の末尾にあるドメイン内のアカウントを示す番号。UNIX ID の生成に使われることがある。
- IDMAP
- Windows SID と UNIX UID/GID の対応を管理する仕組み。winbindd や idmapd が担う。
- idmap_backend
- ID マッピングの実装方式を指定する設定。rid / ad / ldap / tdb などがある。
- idmap_rid
- RID バックエンド。ドメイン内の RID を使って UNIX UID/GID を割り当てる最もシンプルな方法。
- idmap_ad
- Active Directory を直接参照して SID から UID/GID を割り当てるバックエンド。
- idmap_ldap
- LDAP ディレクトリを利用して SID と UID/GID を結び付けるバックエンド。
- tdb
- Samba の軽量データベース。idmap などの情報を保持するストレージとして使われる。
- tdb_backend
- tdb をバックエンドとして使用する設定要素。
- getent
- NSS 経由で winbindd から情報を取得するためのコマンド。passwd / group / shadow の情報を取得できる。
- nsswitch.conf
- NSS の設定ファイル。passwd, group, shadow のソースとして winbindd を指定する。
- pam_winbind
- PAM のモジュール。ログイン時に winbindd を介して認証を行う。
- NSS
- Name Service Switch の略。システムのユーザー情報源を切り替える仕組み。
- Kerberos
- AD などの環境で使われる認証プロトコル。チケットを用いて安全に認証する。
- kinit
- Kerberos のチケットを取得するコマンド。初回認証や更新時に使用。
- userPrincipalName
- UPN。ドメイン付きのユーザー名形式。例 user@example.com。Kerberos 認証でよく使われる。
- sAMAccountName
- AD 上のログイン名属性。多くの場合 UNIX 側の login 名として使われる。
- DNS SRV
- DNS のサービスレコード。Active Directory のドメインコントローラを自動発見するために使われる。
- Net ads join
- Linux マシンを Windows ドメインへ参加させる操作。ドメイン認証の準備を整える。
- NTLM
- Windows の旧式認証プロトコル。Kerberos が使えない場合に使用されることがある。
- NTLMv2
- NTLM の改良版。セキュリティが向上した認証方式。
- Cache files
- winbindd は高速化のためにキャッシュを使用する。例: winbindd_cache.tdb、winbindd_idmap.tdb など。
- SSSD
- System Security Services Daemon。winbindd の代替として AD 連携を提供する別の実装。
- Domain Trusts
- 複数のドメイン間の信頼関係。跨ドメイン認証の設定要素。
- Troubleshooting
- トラブルシューティングの基本。 wbinfo -t, getent, net ads test などを使って原因を特定する。
インターネット・コンピュータの人気記事
