[samba-jp:19390] smbpasswd、kpasswd で ADのパスワードが変更できない
つぐ
conp889 @ gmail.com
2007年 4月 10日 (火) 20:43:44 JST
つぐ と申します。
書籍やWebサイトなどを探しましたが、
下記問題点を解決できず、
こちらに投稿させて頂きました。
※長文になり申し訳ありません。
何かご教授いただけると幸いです。
宜しくお願い致します。
■環境
○Windows Server 2003 R2(以降、WinSV2003R2)
・DNS サーバ
・ActiveDirectory(以降、AD)
・ホスト名 : sv01.test.jp
: sv03.test.jp
・グループポリシーにて、パスワードに関する制限は全て外している。
○RedHatEnterpriseLinux ES v4(以降、RHELv4)
・SambaとOpenLDAPを使用して、IDMAPマッピングを行っている
・他にも RHELv4 が数台あり、Winbid を使用し、
AD のメンバサーバになっている
○Samba 3.0.24-30
・samba.org の RHELv4 RPM パッケージ使用
・samba.org にあるパッケージは全てインストール
・ホスト名 : sv02.test.jp
■実現したいこと
RHELv4 から AD のパスワードを変更したい。
■問題点
○RHELv4から リモートの AD に対して、
・smbpasswd(Winbind認証環境構築時)、
・kpasswd(Kerbros認証環境構築時)
のどちらを使用しても、パスワードを変更することができない。
※それぞれ、PAMの設定を変更して試しました。
○smbpasswd の実行例
[user001 @ sv02 ~]$ smbpasswd -r sv01
Old SMB password:
New SMB password:
Retype new SMB password:
machine itsv01 rejected the password change: Error was : Password restriction.
Failed to change password for user001
[user001 @ sv02 ~]$
○kpasswd の実行例
[user001 @ sv02 ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: user001 @ TEST.JP
Valid starting Expires Service principal
04/10/07 15:28:37 04/11/07 01:28:40 krbtgt/TEST.JP @ TEST.JP
renew until 04/11/07 15:28:37
Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached
[user001 @ sv02 ~]$ kpasswd
Password for user001 @ TEST.JP:
Enter new password: :
Enter it again: :
Password change rejected
■状況
○AD でパスワードを変更した際に RHELv4 から
新しいパスワードでログインできる。
○wbinfo による SIDとUID・GID は問題なく確認できる。
■試したこと
○$ smbpasswd -r sv01
○$ smbpasswd -r SV01
○# smbpasswd -r sv01 -U user001
○# smbpasswd -r SV01 -U user001
■設定内容
○/etc/nsswitch.onf
以下追記
passwd: files winbind
shadow: files winbind
group: files winbind
○/etc/samba/smb.conf
[global]
workgroup = TEST
dos charset = CP932
unix charset = UTF-8
display charset = UTF-8
realm = TEST.JP
security = ADS
netbios name = SV02
idmap uid = 1000-2000
idmap gid = 1000-2000
idmap backend = ldap:ldap://localhost
ldap admin dn = cn=Manager,dc=test,dc=jp
ldap suffix = dc=test,dc=jp
ldap idmap suffix = ou=Idmap
winbind cache time = 15
winbind separator = @
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
password server = sv01.test.jp sv03.test.jp
obey pam restrictions = yes
log level = 10
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = no
template shell = /bin/false
○/etc/kr5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TEST.JP
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
TEST.JP = {
kdc = sv01.test.jp:88
admin_server = sv01.test.jp:749
default_domain = test.jp
}
[domain_realm]
.test.jp = TEST.JP
test.jp = TEST.JP
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
○/etc/pam.d/ssd (Kerberos 認証検証時設定)
auth sufficient /lib/security/pam_krb5.so
auth sufficient /lib/security/pam_unix.so
account sufficient /lib/security/pam_krb5.so
account sufficient /lib/security/pam_unix.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel
umask=0077
○/etc/pam.d/ssd (Winbind 認証検証時設定)
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so
account sufficient /lib/security/pam_winbind.so
account sufficient /lib/security/pam_unix.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel
umask=0077
■参考
○統合認証の設定(Winbind+Kerberos)
・http://rina.jpn.ph/~rance/server/mail04.html
○ActiveDirectory と Linux によるシステム構築ガイド
・秀和システム 書籍
○徹底解説 Samba LDAP サーバ構築
・技術評論社 書籍
○検索エンジンによる検索
など
宜しくお願い致します。
samba-jp メーリングリストの案内