[samba-jp:19916] sambaからLDAP内ユーザ情報を検索する際の検索ベース

OPC oota oota @ mail.linux.bs1.fc.nec.co.jp
2007年 12月 7日 (金) 19:24:47 JST 

太田@NECです。

LDAP連携をしていたのですが、ちょっと気になる動作をしていたので、
その理由をどなたかご存じでないでしょうか。

現象: LDAP連携を行なう場合、ユーザ情報を検索するときには、
      ldap suffix の値を使い、 ldap user suffix を使わない。
      グループ情報を検索するときには ldap group suffix を使う。

Sambaバージョン: 3.0.24AX-6 (MIRACLE LINUX V4用)

LDAP上のユーザを利用するときに、ldap admin dn でbind操作を行なった
後、ユーザ情報を検索しに行きます。その時、最初にユーザ情報を検索
しますが、以下のように、ベースのDNを ldap suffix の値のみで検索
しています(LDAPサーバ上のldapのログ)。

conn=0 op=2 SRCH base="dc=ribbon" scope=2 deref=0 filter="(&(uid=x123456)(objectClass=sambaAccount))"
                       ---------ここ

Dec  8 18:36:51 localhost slapd[852]: conn=0 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory pwdLastSet pwdCanChange pwdMustChange logonTime logoffTime kickoffTime cn sn displayName smbHome homeDrive scriptPath profilePath description userWorkstations rid primary
GroupID lmPassword ntPassword domain objectClass acctFlags modifyTimestamp modifyTimestamp uidNumber
Dec  8 18:36:51 localhost slapd[852]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Dec  8 18:36:51 localhost slapd[852]: daemon: activity on 1 descriptor
Dec  8 18:36:51 localhost slapd[852]: daemon: activity on:

その後、グループを検索するときには、

Dec  8 18:36:51 localhost slapd[852]: conn=0 op=3 SRCH base="cn=groups,dc=ribbon" scope=2 
                                                            ---------------------ここ
deref=0 filter="(&(?=undefined)(gidNumber=10001))"

Dec  8 18:36:51 localhost slapd[852]: conn=0 op=3 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Dec  8 18:36:51 localhost slapd[852]: conn=0 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=
Dec  8 18:36:51 localhost slapd[852]: daemon: activity on 1 descriptor

と、ldap group suffixの値を使っています。
これは正しい動作なのでしょうか。

なお、.confは下記のとおりです。

[global]
        dos charset = CP932
        unix charset = UTF-8
        display charset = UTF-8
        workgroup = SAMBA
        netbios name    = testsamba
#       server string = %L : Samba %v on %h
        passdb backend = ldapsam_compat:ldap://ldapserver
        log file = /var/log/samba/log.%m
        log level = 2
        max log size = 500
        dead time = 15
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        lm announce = No
        preferred master = No
        dns proxy = No
        wins support = No
        ldap suffix = dc=ribbon
        ldap machine suffix = ou=Computers
        ldap user suffix = cn=users
        ldap group suffix = cn=groups
        ldap admin dn = cn=sambaribbon,cn=users,dc=ribbon
        ldap ssl = no
        printing = bsd
        lppause command = lpc hold %p %j
        lpresume command = lpc release %p %j
        queuepause command = lpc stop %p
        queueresume command = lpc start %p
        dos filetimes = Yes
        dos filetime resolution = Yes
        browseable = no

#ソース見ないとわかないかなあ...

--
太田 俊哉@NEC OSS開本 OSS推進センター OSS/LinuxソリューションG(芝.港.東京) 
(samba-jp/ldap-jp Staff,mutt-j admin,analog-jp/samba-jp postmaster)

samba-jp メーリングリストの案内