[samba-jp:20638] Re: ADMTで引き継ぎをおこなったアカウントのSID履歴への対応

[y.ishikawa ＠ keel.argo-graph.co.jp]

OSSTech 小田切様

お世話になります。石川です。

ご回答ありがとうございます。

>上記はSIDではなくRIDではないですか？
>（uid/gidではないですよね？）
uid/gidでは有りません。
ADMTユーザ移行ウィザードにて移行したアカウントのSID Historyの
古いSIDのファイルと新しいプライマリSIDのファイルです。
SID-RIDとのSamba側格納時のuid/gidマッピングの関係でした。

Windowsに格納されたファイルはSID Historyにて認識しているアカウント名と
新しいプライマリSIDで認識されているアカウント名がWindowsCIFSサーバ時は
SID History情報の参照にて同一と判断されますが、ACL付きでSambaにデータ
移行すると別物としてuid/gidにマッピングがされてしまいます。

>所有者が複数になることはないはずです。
上記からSID HistoryのIDを使用しているファイルが、Samba格納時
新しいプライマリSIDで認識されているアカウント名と同一してWinbindで
マッピングされず、新規のUIDとしてWinbindテーブルに追加されてしまいます。

>Samba上はLinuxのuid/gidでアクセス制御されるのですから
>それのマッピングがどうなっているか調べてください。
再度確認してみます。

>SIDとUIDのマッピングテーブルをLDAPにして直接LDAPを編集すればできそうな
>気がしますが、ちゃんと専門のコンサルティングを受けた方がよいでしょう。
検討させて頂きます。ありがとうございます。

以上
---------------------------------------------
石川  有二  （株） アルゴグラフィックス
   Email:y.ishikawa ＠ keel.argo-graph.co.jp


                                                                           
             ODAGIRI Koji                                                  
             <odagiri ＠ osstech.                                             
             co.jp>                                                   宛先 
             送信者:                    "Samba のインストールから使い      
             samba-jp-bounces@          方、様々な質疑応答など (参加自由)" 
             samba.gr.jp                <samba-jp ＠ samba.gr.jp>             
                                                                        cc 
                                                                           
             2009/03/31 09:56                                         件名 
                                        [samba-jp:20637] Re: ADMTで引き継  
                                        ぎをおこなったアカウントのSID履歴  
              Samba のインス            への対応                           
              トールから使い                                               
             方、様々な質疑応                                              
             答など (参加自由)                                             
             <samba-jp ＠ samba.g                                             
                 r.jp> へ                                                  
             返信してください                                              
                                                                           
                                                                           



OSSTech 小田切です。

>    AD環境：旧NTドメインから新AD Windows2003にADMTを利用して既にアカウント
移
>    行済み
>    　　　　　sambaをファイル共有サーバ目的としてそのドメインメンバーとし
て
>    参画
>    認証サーバ：Windows2003
>    移行対象データサーバ：Samba３．０．１１

このSambaは絶対に使ってはいけないバージョンです。
AD連携するなら3.0.30以降を使いましょう。

> 例：
> 旧NTサーバ時に格納した所有者AAAのファイルが存在（SID：0000）
> ADMTにてWindows2003に移行後格納した所有者AAAのファイルが存在（SID：1111）
> ●アカウントAAAのSID：1111、SID履歴0000

上記はSIDではなくRIDではないですか？
（uid/gidではないですよね？）

> 上記ファイルをSambaメンバーサーバにACLを保ちデータ移行した場合、
> それぞれのファイルの所有者SIDが0000、1111として作成されるます。

所有者が複数になることはないはずです。

> 結果Winbindで自動生成されるIDも別物となり、SID履歴を使用して
> アクセスしていたファイルに所有者AAAからアクセスが出来なくなってしまいま
す。

Samba上はLinuxのuid/gidでアクセス制御されるのですから
それのマッピングがどうなっているか調べてください。

> 既存Windows2003にて構築しているAD環境に仮に追加ドメインとして
> Samba（3.0.3x〜3.2.x,3.3.x)の認証サーバを追加可能であれば、
> おなじSIDに設定（置換え）してデータ移行が可能となりますでしょうか？
>
> ・SID履歴でアクセスしていたファイルに現状のドメインのSIDを割り当てること
> 　（Windowsコマンドのsubinaclの/migratedomainの様な方法?）
>
> ・もしくはWinbindにおいて、SID履歴のSIDと現状のドメインのSIDを
> 　同一のWinbindのuidに割当てること

SIDとUIDのマッピングテーブルをLDAPにして直接LDAPを編集すればできそうな
気がしますが、ちゃんと専門のコンサルティングを受けた方がよいでしょう。

＃といいつつできるのは会社は限られますが...  :-)


--
小田切 耕司 : odagiri＠osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社
  PGP : http://pgp.nic.ad.jp/pks/lookup?op=vindex&search=0xF8217F12
  Finger Print: C849 B528 D6A7 93D2 EE64 4AA7 FFB2 BD1C F821 7F12