[samba-jp:20637] Re: ADMTで引き継ぎをおこなったアカウントのSID履歴への対応

ODAGIRI Koji odagiri @ osstech.co.jp
2009年 3月 31日 (火) 09:54:17 JST


OSSTech 小田切です。

>    AD環境:旧NTドメインから新AD Windows2003にADMTを利用して既にアカウント移
>    行済み
>         sambaをファイル共有サーバ目的としてそのドメインメンバーとして
>    参画
>    認証サーバ:Windows2003
>    移行対象データサーバ:Samba3.0.11

このSambaは絶対に使ってはいけないバージョンです。
AD連携するなら3.0.30以降を使いましょう。

> 例:
> 旧NTサーバ時に格納した所有者AAAのファイルが存在(SID:0000)
> ADMTにてWindows2003に移行後格納した所有者AAAのファイルが存在(SID:1111)
> ●アカウントAAAのSID:1111、SID履歴0000

上記はSIDではなくRIDではないですか?
(uid/gidではないですよね?)

> 上記ファイルをSambaメンバーサーバにACLを保ちデータ移行した場合、
> それぞれのファイルの所有者SIDが0000、1111として作成されるます。

所有者が複数になることはないはずです。

> 結果Winbindで自動生成されるIDも別物となり、SID履歴を使用して
> アクセスしていたファイルに所有者AAAからアクセスが出来なくなってしまいます。

Samba上はLinuxのuid/gidでアクセス制御されるのですから
それのマッピングがどうなっているか調べてください。

> 既存Windows2003にて構築しているAD環境に仮に追加ドメインとして
> Samba(3.0.3x〜3.2.x,3.3.x)の認証サーバを追加可能であれば、
> おなじSIDに設定(置換え)してデータ移行が可能となりますでしょうか?
> 
> ・SID履歴でアクセスしていたファイルに現状のドメインのSIDを割り当てること
>  (Windowsコマンドのsubinaclの/migratedomainの様な方法?)
> 
> ・もしくはWinbindにおいて、SID履歴のSIDと現状のドメインのSIDを
>  同一のWinbindのuidに割当てること

SIDとUIDのマッピングテーブルをLDAPにして直接LDAPを編集すればできそうな
気がしますが、ちゃんと専門のコンサルティングを受けた方がよいでしょう。

#といいつつできるのは会社は限られますが...  :-)


-- 
小田切 耕司 : odagiri@osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社
  PGP : http://pgp.nic.ad.jp/pks/lookup?op=vindex&search=0xF8217F12
  Finger Print: C849 B528 D6A7 93D2 EE64 4AA7 FFB2 BD1C F821 7F12




samba-jp メーリングリストの案内