[samba-jp:20637] Re: ADMTで引き継ぎをおこなったアカウントのSID履歴への対応

[ODAGIRI Koji]

OSSTech 小田切です。

>    AD環境：旧NTドメインから新AD Windows2003にADMTを利用して既にアカウント移
>    行済み
>    　　　　　sambaをファイル共有サーバ目的としてそのドメインメンバーとして
>    参画
>    認証サーバ：Windows2003
>    移行対象データサーバ：Samba３．０．１１

このSambaは絶対に使ってはいけないバージョンです。
AD連携するなら3.0.30以降を使いましょう。

> 例：
> 旧NTサーバ時に格納した所有者AAAのファイルが存在（SID：0000）
> ADMTにてWindows2003に移行後格納した所有者AAAのファイルが存在（SID：1111）
> ●アカウントAAAのSID：1111、SID履歴0000

上記はSIDではなくRIDではないですか？
（uid/gidではないですよね？）

> 上記ファイルをSambaメンバーサーバにACLを保ちデータ移行した場合、
> それぞれのファイルの所有者SIDが0000、1111として作成されるます。

所有者が複数になることはないはずです。

> 結果Winbindで自動生成されるIDも別物となり、SID履歴を使用して
> アクセスしていたファイルに所有者AAAからアクセスが出来なくなってしまいます。

Samba上はLinuxのuid/gidでアクセス制御されるのですから
それのマッピングがどうなっているか調べてください。

> 既存Windows2003にて構築しているAD環境に仮に追加ドメインとして
> Samba（3.0.3x〜3.2.x,3.3.x)の認証サーバを追加可能であれば、
> おなじSIDに設定（置換え）してデータ移行が可能となりますでしょうか？
> 
> ・SID履歴でアクセスしていたファイルに現状のドメインのSIDを割り当てること
> 　（Windowsコマンドのsubinaclの/migratedomainの様な方法?）
> 
> ・もしくはWinbindにおいて、SID履歴のSIDと現状のドメインのSIDを
> 　同一のWinbindのuidに割当てること

SIDとUIDのマッピングテーブルをLDAPにして直接LDAPを編集すればできそうな
気がしますが、ちゃんと専門のコンサルティングを受けた方がよいでしょう。

＃といいつつできるのは会社は限られますが...  :-)


-- 
小田切 耕司 : odagiri＠osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社
  PGP : http://pgp.nic.ad.jp/pks/lookup?op=vindex&search=0xF8217F12
  Finger Print: C849 B528 D6A7 93D2 EE64 4AA7 FFB2 BD1C F821 7F12