[samba-jp:19304] Re: vistaドメイン参加について

TAKAHASHI Motonobu monyo @ monyo.com
2007年 3月 2日 (金) 22:35:56 JST 

たかはしもとのぶです。

幾つかまとめて返答します。

From: SATOH Fumiyasu <fumiya @ samba.gr.jp>

> At Fri, 02 Mar 2007 14:58:33 +0900,
> 小田切@OSSTech wrote:
> > http://wiki.samba.gr.jp/mediawiki/index.php/Windows_Vista%E3%81%8B%E3%82%89%E3%81%AESamba%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0
> > 
> > そもそも上記のKBは必要でしょうか?-->monyoさん
> 
> マシンアカウントをドメイン参加の前に作成する方法
> (古い、セキュアでない方法)と、マシンアカウントを
> ドメイン参加と同時に行なう方法 (新しい、セキュアだが
> 参加時に管理者権限が必要) がありますが、Vista の場合は
> 前者でないとダメ…ってことではないでしょうか?

そういう趣旨です。わたしの方では Samba PDC 1.4 (Samba 3.0.14a) で何度
か試して、事前にマシンアカウントを作成しておかないと参加できなかったの
で、このようなKB を作成したのですが、

> [samba-jp:19298] Re: vistaドメイン参加について

によると、マシンアカウントを作成しなくても参加できたみたいですね。この
点は、再度確認したいと思います。

ちなみにわたしの環境は Windows Vista Bussiness 32bit (MSDN版) です。
あと、

>できれば、識者の方で対応策をご教授くださると助かりますが、無理でしょうか?
>『LAN Manager 認証レベルのデフォルトが「NTLMv2 応答のみ送信」となって
>いるため、「NTLM 応答のみ送信」』に対応する方法はどのようにすれば良い
>でしょうか?

KB の文面の書き方が悪いのかも知れないですが、KB の趣旨は Windows NT で
構築した Windows ドメインに参加する際の注意です。小田切さんも指摘して
いますが、Samba 3.0 系列は NTLMv2 に対応していますので、この変更は行な
わなくても Samba 3.0 で構築した Windows ドメインへの参加は可能です。

なお、Samba 2.2 系列は、NTLMv2 に対応していないので、ドメイン参加以前
に、ファイルサーバとしての Samba 2.2 系列のサーバにアクセスする際にも、
この変更が必要ですね。

設定変更は、ローカルポリシー(もちろんGPOでも可)から可能です。

なお、わたしの手元でも Samba 2.2.12 の環境を構築して確認しました。
Windows Vista は以下の設定変更を行ないました。

o LAN Manager 認証レベルを NTLM および LMハッシュを送信する設定とする
o セキュアチャネルの署名、暗号化を無効
o Samba 側ではあらかじめコンピュータアカウントを作成

しかし、[samba-jp:19289] Re: vistaドメイン参加について の

-----
[2007/03/02 11:01:57, 0, pid=13082, effective(65534, 100), real(0, 0)] rpc_server/srv_pipe.c:api_pipe_bind_req(829)  api_pipe_bind_req: unknown auth type 1 requested.
-----

というエラーが出て、ドメイン参加はできませんでした。

該当部分のソースコードを Samba 2.2.12 と Samba 3.0.0 および Samba
3.0.24 で確認しましたが、Samba 2.2.12 や Samba 3.0.0 では
RPC_NTLMSSP_AUTH_TYPE しか対応していない一方、Samba 3.0.24 では
RPC_AUTH_TYPE_KRB5_1 という新しいタイプにも対応しているため、エラーに
ならず処理を続行できるようです。

# どのバージョンから、対応したかは確認していません。

実際には Kerberos 認証は成功せず、NTLM 認証によってドメイン参加するの
で、少しソースをいじれば何とかなるかも知れませんが、別の箇所でエラーが
発生するかも知れませんし、いい方を変えるとソース修正なしの対応は不可能
だといえます。

# Windows Vista で Kerberos 認証を無効にする方法があれば別ですが。

-----
TAKAHASHI, Motonobu (たかはしもとのぶ)         monyo @ monyo.com
                                               http://www.monyo.com/

samba-jp メーリングリストの案内