[samba-jp:20220] 認証情報のNAT先への複製について

[Hirohisa Ishiura]

初めまして。石浦と申します。

書籍やWebサイトなどを探しましたが、
実現できるかどうか分からないことがございましたので
こちらに投稿させて頂きました。


＜環境＞
・Linux認証クライアントにはSamba3.0.9、openldap2.0.4を導入済み
＜要件＞
・データセンタ内でパスワードを定期的に強制変更させたい
　　→社内ADではパスワードの強制変更は完了しており、以下の構成のもと認証サーバXを導入したい
　　→社内ADは現在単一ドメインであるが、データセンタではAD(社内)の特定グループのみの認証に制限させる

＜構成＞
・AD(社内)⇔NAT越え⇔認証サーバX(データセンタ)⇔複数のLinux認証クライアント


ここで、認証サーバXをLinux(Samba)で実現する場合

　「AD(社内)⇔NAT越え⇔認証サーバX」

の箇所が実現できるのかが分かっていません。

例えば、以下のような方法であれば Samba＋OpenLDAPで実現できますでしょうか。

１．間にもうひとつSambaを介入させる
　　AD(社内)⇔Samba1(社内)⇔NAT越え⇔認証サーバX(Samba2)
２．Samba1のcronで定期的にnet rpc vampireを実行し、ADとSamba1を同期させる
３．Samba1、Samba2のpassdb backendをOpenLDAPにしSamba1→Samba2の複製を実現
４．Samba2のLDAPがidmap backendも兼ねることでSAMとuid/gidを一元管理する
    →兼ねることができなければ別にOpenLDAPを用意する
５．図にすると以下の構成

                  ＜社内＞                      　　　　　　　　　　　　　　　　       ＜データセンタ＞
    AD→(定期的にコマンド発行)→Samba1→|NAT越え|→Samba2→idmapサーバ→winbindクライアント


＜Windowsサーバ＞→＜Samba＞のSAMの複製はサポートされていないので、
上記の方法しか思いつきませんでした。

上記の案ではADサーバとwinbindクライアントの間に複数の処理を介入させなければなりませんので
もう少しシンプルに実現できる方法はないでしょうか。

認証サーバXをWindows2003にし、ADの複製機能を使えばシンプルに実現できるものと思われますが
リリースが間近なsamba 3.2やsamba 4.0では別の解決策がないものかと思っております。

なお、認証サーバXに関しては任意のSambaを導入することが可能ですが、
認証クライアントのLinuxに関しては上で書きましたように
ミドルウェアのバージョンに制約がございます。

何かご教授いただけると幸いです。
宜しくお願い致します。


■参考にした情報
　統合認証の設定（Winbind+Kerberos）
　　・http://rina.jpn.ph/~rance/server/mail04.html

　ActiveDirectory と Linux によるシステム構築ガイド
　　・秀和システム 書籍

　徹底解説 Samba LDAP サーバ構築
　　・技術評論社 書籍