[samba-jp:19241] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題

[柴田 健郎]

いろいろアドバイスありがとうございます。
たしかにWINBINDのほうが断然管理上はよさげですね。
〔ADのユーザーをそのまま利用して、アクセスコントロールもできるのであれば
わざわざLINUXにUSERを登録する必要もなさそうです）

ただやはり、
アクセスが期待したとうりにできないのは
WINBIND使う使わない以前に
なにか根本的な問題があるのではないかと気にはなってます。
（WINBINDをいれてもその原因ででうまくいかないなど）

設定情報不足で申し訳ありません。
以下が設定です。

ちなみにADに参加するときは、時刻を合わせることを意識しなくていいのでしょう
か？
ケルベロスｗそ使う限り、時間が狂ったら障害が発生するので
マシンタイムをあわせたりNTPをいれようと調査していたのですが、
WINDWOSがADに参加するとADサーバーが自動的
にマシンタイムの調整をしてくれて5分以上差がでることが許されないケルベロス
認証を維持しているとの記事をみたのですが、LINUXがADのメンバーになるときも
同じなのでしょうか？

===smb.conf===
[global]
   workgroup = MYDOMIAN
   security = ADS
   printcap name = /etc/printcap
   cups options = raw
   log level= 3
   log file = /var/log/samba/%m.log
   max log size = 50
   password server = actdir.mydomain.com
   realm = MYDOMIAN.COM
   dns proxy = no

[homes]
   comment = Home Directories
   browseable = no
   writable = yes

[printers]
   comment = All Printers
   path = /var/spool/samba
   read only = no
   guest ok = yes
   printable = yes

[PRINT$]
   comment = Printer Drives for Win clients
   path = /var/samba/printer
   write list = test.user
   guest ok = Yes

[tmp]
   comment = Temporary file space
   path = /tmp
   read only = no


===krb5.conf===
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = MYDOMAIN.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 default_tkt_enctypes = des-cbc-md5
 default_tgs_enctypes = des-cbc-md5

[realms]
 MYDOMAIN.COM = {
  kdc = actdir.mydomain.com:88
  admin_server = actdir.mydomain.com:749
  default_domain = mydomain.com
 }

[domain_realm]
 .mydomain.com = MYDOMAIN.COM
 mydomain.com = MYDOMAIN.COM

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

これ以外に
/etc/pam.d/system-auth に
auth        sufficient    /lib/security/pam_krb5.so
session     optional      /lib/security/pam_krb5.so

を追加してます。
このsystem-authの追加と、
krb5.conf　の
 default_tkt_enctypes = des-cbc-md5
 default_tgs_enctypes = des-cbc-md5

はあってもなくても挙動に変化はありませんでした。
記事にはアカウントをSMBで作成する必要も、パスワードの同期も必要ないことを
いってましたが、実際にパスワードも同じにしてためしてみます。

_________________________________________________________________
ケータイでもメッセンジャーのスマイルマーク絵文字が使える！ 
http://messenger.live.jp/mobile.htm