[samba-jp:19241] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題
柴田 健郎
takeofuture @ hotmail.com
2007年 2月 1日 (木) 12:32:04 JST
いろいろアドバイスありがとうございます。
たしかにWINBINDのほうが断然管理上はよさげですね。
〔ADのユーザーをそのまま利用して、アクセスコントロールもできるのであれば
わざわざLINUXにUSERを登録する必要もなさそうです)
ただやはり、
アクセスが期待したとうりにできないのは
WINBIND使う使わない以前に
なにか根本的な問題があるのではないかと気にはなってます。
(WINBINDをいれてもその原因ででうまくいかないなど)
設定情報不足で申し訳ありません。
以下が設定です。
ちなみにADに参加するときは、時刻を合わせることを意識しなくていいのでしょう
か?
ケルベロスwそ使う限り、時間が狂ったら障害が発生するので
マシンタイムをあわせたりNTPをいれようと調査していたのですが、
WINDWOSがADに参加するとADサーバーが自動的
にマシンタイムの調整をしてくれて5分以上差がでることが許されないケルベロス
認証を維持しているとの記事をみたのですが、LINUXがADのメンバーになるときも
同じなのでしょうか?
===smb.conf===
[global]
workgroup = MYDOMIAN
security = ADS
printcap name = /etc/printcap
cups options = raw
log level= 3
log file = /var/log/samba/%m.log
max log size = 50
password server = actdir.mydomain.com
realm = MYDOMIAN.COM
dns proxy = no
[homes]
comment = Home Directories
browseable = no
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
read only = no
guest ok = yes
printable = yes
[PRINT$]
comment = Printer Drives for Win clients
path = /var/samba/printer
write list = test.user
guest ok = Yes
[tmp]
comment = Temporary file space
path = /tmp
read only = no
===krb5.conf===
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
[realms]
MYDOMAIN.COM = {
kdc = actdir.mydomain.com:88
admin_server = actdir.mydomain.com:749
default_domain = mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
これ以外に
/etc/pam.d/system-auth に
auth sufficient /lib/security/pam_krb5.so
session optional /lib/security/pam_krb5.so
を追加してます。
このsystem-authの追加と、
krb5.conf の
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
はあってもなくても挙動に変化はありませんでした。
記事にはアカウントをSMBで作成する必要も、パスワードの同期も必要ないことを
いってましたが、実際にパスワードも同じにしてためしてみます。
_________________________________________________________________
ケータイでもメッセンジャーのスマイルマーク絵文字が使える!
http://messenger.live.jp/mobile.htm
samba-jp メーリングリストの案内