[samba-jp:19939] SambaのActiveDirectory連携について

[fukase.naoko ＠ nsas.co.jp]

お世話になります。深瀬と申します。

下記、環境でsambaとActiveDirectoryの連携を試みてはいるのですが、
ドメイン参加することが出来ません。

【環境】
Red Hat Enterprise Linux ES release 4 (Nahant Update 6)
samba-3.0-25b-0.4E6（rpmパッケージ）
samba3-3.0.28-35（途中でsamba-3.0-25b-0.4E6からアップデート実施）（rpmパッケージ）
samba3.0.28（source）
krb5-devel-1.3.4-54

sambaサーバ：LDAP2.testldap.local
ActiveDirectory:ad1.testldap.local(Windows2003R2)

sambaサーバの参照DNSはad1.testldap.localとなり、
DNSには、ldap2.testldap.localの正引き、逆引きのレコードを
登録しています。

kinit administrator ＠ TESTLDAPと実行すると
チケットを取れていることは確認できるのですが、
一度、kdestoryでチケットキャッシュを消して（消さなくても）
「net ads join -U administrator」を実行すると

[root ＠ LDAP2 ~]# net ads join -U administrator
administrator's password:
[2007/12/22 09:29:56, 0] libsmb/cliconnect.c:cli_session_setup_spnego(857)
  Kinit failed: Client not found in Kerberos database
Failed to join domain: Improperly formed account name
[root ＠ LDAP2 ~]#

また、testjoinを実施してみると
net ads testjoin -U administrator
LDAP2$@TESTLDAP.LOCAL's password:
[2007/12/22 09:27:45, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password LDAP2$@TESTLDAP.LOCAL failed: Preauthentication failed
Join to domain is not valid: Logon failure
[root ＠ LDAP2 ~]#

となります。

net ads infoでは、ActiveDirectoryサーバーの情報を
確認することが出来ます。

[root ＠ LDAP2 ~]# net ads info
LDAP server: 172.16.60.103
LDAP server name: ad1.testldap.local
Realm: TESTLDAP.LOCAL
Bind Path: dc=TESTLDAP,dc=LOCAL
LDAP port: 389
Server time: 水, 26 12月 2007 12:19:43 JST
KDC server: 172.16.60.103
Server time offset: 0

上記現象は、AD上にldap2コンピュータアカウントを先に作った場合、
作らなかった場合、双方とも同じ現象です。

また、上記記述しております各sambaのバージョンで
同じ現象です。

設定の問題かと思うのですが、どこがいけないのかわからず
対処法をお教えいただけないでしょうか？

どうぞよろしくお願い致します。

【smb.conf】
[global]
workgroup=testldap
realm=TESTLDAP.LOCAL
preferred master = no
server string = Samba
security=ADS
encrypt passwords=yes
log level = 3
max log size = 50
netbios name=ldap2
dos charset=CP932
unix charset=UTF-8
socket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
winbind enum users = yes
winbind enum groups = yes
winbind use default domain=yes
winbind cachetime=15
winbind separator=@
idmap uid=1000-50000
idmap gid=10000-50000
template homedir=/home/%U
template shell=/bin/false
password server=ad1.testldap.local
obey pam restrictions=yes

[homes]
comment=HomeDirectories
browseable=no


【krb5.conf】
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = TESTLDAP.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
 TESTLDAP.LOCAL = {
  kdc = ad1.testldap.local:88
  admin_server = ad1.testldap.local:749
  default_domain = testldap.local
 }

[domain_realm]
 .testldap.local = TESTLDAP.LOCAL
 testldap.local = TESTLDAP.LOCAL

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

以上、よろしくお願い致します。




**☆……*……………*☆……………**…☆…**☆……**…☆*……**☆
 株式会社ネットマークス
 西日本支社　西日本技術統括部
 西日本第三技術部
 深瀬　尚子
　〒541-0041　大阪市中央区北浜4丁目7番28号 
　　　　             　　住友ビル2号館3階
 TEL : 06-6204-9080 
 FAX : 06-6228-0048
 E-MAIL : fukase.naoko ＠ netmarks.co.jp

　　　　　　最近肩こりがひどくありませんか？
　　　　　【セキュリティのツボキャンペーン中】
http://www.netmarks.co.jp/solution/security-campaign.html
*☆……**…☆*……**☆……*…………*☆***☆……**…☆*……**☆