[samba-jp:20222] Re: 認証情報のNAT先への複製について

[Hirohisa Ishiura]

さとうふみやす様

ご返事ありがとうございます。
早速参考にさせていただきました。

> > ＜環境＞
> > ・Linux認証クライアントにはSamba3.0.9、openldap2.0.4を導入済み
> Samba が古すぎますねぇ。単独利用ならまだイイかも
> しれませんが、AD 連携となるとたぶんまともに動かないかと。

なるほど、winbindが古すぎるとのことですね。
RHEL3の古いサーバなのですが、
バージョンアップを検討してみます。

> 私がやったことがあるのは Samba を AD ドメインメンバー
> サーバーにした構成ですが、たぶん信頼関係でも大丈夫
> なんじゃないかなぁ? AD は Windows Server 2003 R2
> だったかな?
信頼関係というのはアクセス権限を他ドメインへ継承させる機能だと理解してい
ます。ですので認証情報を独立して管理するものと思っていました。
それとも、信頼関係で認証情報を一元管理できますでしょうか？
言い方を変えると、信頼関係ということはSambaをPDCとして参加させることだと思いますが、
この場合、認証情報は社内ADで一元管理できるのでしょうか？

現在は

・社内認証データベースA
・社内認証データベースB
・データセンタ認証データベースC

があるのですが、BとCを一元管理するために同期させたいと思っています。
現状はAとBを社内ADで管理(同一ドメイン内の別グループ)し、
Cについては各OS毎に定義(/etc/passwdに定義)したり、
部分的にLDAPで管理しています。

> > ＜Windowsサーバ＞→＜Samba＞のSAMの複製はサポートされていないので、
> > 上記の方法しか思いつきませんでした。
>
> メンバーサーバーか信頼関係結べばいいので、
> SAM は不要ですよね?

少し説明が悪かったと反省しています。

winbindとADを使っての認証のNAT越え自体はすでに検証しており、
問題がないことを確認しておりました。
確かにNAT越えで社内のWindowsサーバへ認証させれば
SAM複製は不要になりますが

「データセンタ→社内」

の方向でのNAT越えはできないという事情がござまして、
やはりSAM複製相当のしくみが必要ではないかと思っています。
 # もちろん、私の方が何か勘違いしているかもしれませんが。

-- 
Ishiura Hirohisa