[samba-jp:19228] アカウントのロック

EMOTO Masahiko emo @ nifs.ac.jp
2007年 1月 31日 (水) 11:52:48 JST


あるユーザ(MYDOMAIN\user1)が特定のWindows PC(PC1) からSambaで公開されて
いるリソース(\\LINUX1\user1)にアクセスしようとして、Windows の
「ファイル名を指定して実行」から\\LINUX1\user1 を入力し、
現れたダイアログで、ユーザ名パスワードを入力すると


--------------------------------------------------------
\\LINUX1にアクセスできません。このネットワークリソースを使用する
アクセス許可がない可能性があります。アクセス許可があるかどうか
サーバの管理者に問い合わせてください。

参照されたアカウントは現在ロックアウトされているため、
ログオンできない可能性があります。
----------------------------------------------------------

というメッセージが現れ接続できません。
実際に Windows Server のアクティブディレクトリの
ユーザ管理画面をみると確かにuser1 のアカウントがロック
されています。


LINUX1 の /var/log/samba のログを探してもPC1から
アクセスされた形跡が見当たりません。


この時

* PC1から MYDOMAIN\user1 を使って LINUX1 へ ssh や ftp でのログインは可能
* PC1から MYDOMAIN\user2 を使って LINUX1 上の共有フォルダ MYDOMAIN\user2
へはアクセスできる
* PC1から MYDOMAIN\user1 を使って Windows 上の共有リソースへはアクセス可能
* PC2から MYDOMAIN\user1 を使って LINUX1 上の共有フォルダ MYDOMAIN\user1
へアクセス可能

という状況なのですが、

どこに問題があるのでしょうか?

PC1固有の問題のようにも思われるのですが、ネットワークの設定を
見る限り特に PC2 と変わりがないように見えます。

江本


使用環境

DC1,DC2 : Windows 2000 Server Active Directory ドメインコントローラ

LINUX1 : Fedora Core 4 (x86_64), samba 3.0.22c

PC1 : Windows XP SP2

PC2 : Windows XP SP2


=====================
Smb.conf の内容 (ドメイン名、ホストアドレス等は書き換えています)
=====================
[global]

netbios name = LINUX1
workgroup = MYDOMAIN
server string = Samba Server
printcap name = /etc/printcap
load printers = yes
cups options = raw
log file = /var/log/samba/%m.log
max log size = 50
security = ads
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
wins server = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
dns proxy = no
idmap uid = 10000000-20000000
idmap gid = 10000000-20000000
idmap backend = idmap_rid:MYDOMAIN=10000000-20000000
allow trusted domains = No
template shell = /bin/bash
password server = dc1 dc2
winbind use default domain = no
realm = MYDOMAIN
[homes]
comment = Home Directories
browseable = no
writable = yes

===================
/etc/krb5.confの内容
=====================
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = MYDOMAIN
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com:88
admin_server = kerberos.example.com:749
default_domain = example.com
}

MYDOMAIN = {
kdc = dc2
kdc = dc1
}

[domain_realm]
.mydomain = .MYDOMAIN
mydomain.com = MY.DOMAIN

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}








samba-jp メーリングリストの案内