[samba-jp:20924] ２つのsambaドメイン間での信頼関係構築時にのgroup sidについて

[SAIKA Iwao]

メーリングリストの皆さま、こんにちは。皆さまのお知恵を拝借したく思い投稿
させていただきます。

sambaで構築した2つのドメイン（教員ドメイン・生徒ドメイン）があります。教
員ドメインを信頼される側、生徒ドメインを信頼する側として設定を行いまし
た。生徒側のドメインに所属するWindowsXPクライアントから教員ドメインにロ
グオンしようとしたところ、「システムに接続されたデバイスが機能していませ
ん」という表示が出てログオンできませんでした。

　原因を追跡したところ、生徒用ドメインコントローラのログにあった以下の記
述を見つけました

[2009/11/27 19:24:45, 1]
rpc_server/srv_netlog_nt.c:_net_sam_logon_internal(1017)

_net_sam_logon: user <教員ドメイン名>\<ユーザ名> has user sid
S-1-5-21-2977112611-****34319-4097854867-3096

but group sid S-1-5-21-****670681-121488430-413188586-513.

The conflicting domain portions are not supported for NETLOGON calls

なお、教員ドメインのsid（の一部）は

S-1-5-21-2977112611-****34319-4097854867

生徒ドメインのsid（の一部）は

S-1-5-21-****670681-121488430-413188586

です。

以前は生徒ドメインコントローラにsamba3.0.4を使っていましたが、最近
samba3.0.37に変更しました。以前は問題なくログオンできていました。

ということで、質問があります。

（１）　ユーザ毎に信頼ドメイン先のsidにマップさせるような仕組みが存在す
るのでしょうか。

（２）　winbindを使って解決するのでしょうか。それ以外に方法はないので
しょうか。

（３）　smb.confに何かオプションを書くことで解決できるのでしょうか。

（４）　仕様が変わってしまった（のなら）、その背景をご存知の方はいらっ
しゃいませんでしょうか。

以上ですが、どなたか御教えを頂けませんでしょうか。

よろしくお願いいたします。

なお、現在のsmb.conf（生徒ドメインコントローラ）は以下の通りです。

[global]

dos charset = CP932

unix charset = UTF-8

display charset = UTF-8

workgroup = 生徒ドメイン名

netbios name = 生徒ドメインコントローラ名

security = user

log file = /var/log/samba/log.%m

socket options = TCP_NODELAY SO_RCVBUF=8760 SO_SNDBUF=2920

syslog = 0

interfaces = bge0, 127.0.0.1

domain logons = yes

domain master = yes

os level = 65

preferred master = yes

wins support = Yes

dns proxy = no

passdb backend = ldapsam:ldap://サーバーのＩＰアドレス伏せておきます

ldap admin dn = cn = Directory Manager

ldap suffix = o=kidsdom,o=ＸＸＸＸＸ伏せておきますＸＸＸＸＸＸ,dc=jp

ldap user suffix = ou=Users

ldap group suffix = ou=Groups

ldap machine suffix = ou=Computers

ldap passwd sync = no

ldap ssl = no

ldap delete dn = no

time server = yes

admin users = Administrator

#guest account = Guest

hosts allow = ALL