[samba-jp:20991] Re: sambaドメインにおける認証

[Yasuma Takeda]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

武田＠OSSテクノロジです。

nakafumi さんは書きました:
> お世話になります、仲村です。
>
> 趣旨は、既存のsamba+ldapドメイン環境に新しいsambaを追加するにあたり
> smb.confの設定を
> security = domain
> とするのがいいのか、
> security = user
> passdb backend = ldapsam:ldap://smbdom
> とするのがいいか、ということです。
> 
> 追加するsambaサーバーのログインなどはldapに対応済みです。
> windowsからこのsambaを利用する際に、ドメイングループなどで
> アクセス制限できるようにしたいと思っています。

実現可能な構成パターンとしては、次の3つかと思います。

1. security = domainの場合
   1.1 OSのユーザー情報をLDAP参照する場合
       winbind連携で、idmap backendとしてnssを利用します。

   1.2 OSのユーザー情報をLDAP参照しない場合
       winbind連携で、idmap backendとして、ridなどを利用します。

2. security = userの場合
   OSのユーザー情報をLDAP参照させて、Sambaも
   passdb backend = ldapsamで参照させます。

1と2の使い分けですが、LDAPのスレーブも同じsambaサーバー上に
立てるのなら、PDC、BDCが停止しても影響を受けない2を
選択するメリットはあるかなと思います。

ですが、普通は1のドメインメンバー構成にするのが真っ当な構成だと
思います。

1.1と1.2の使い分けですが、ほとんど好みの問題のような気もしますが、
1.2の場合、各ユーザーのログインシェルとかをユーザーごとに
変更できないのではないかと思います。

以上、参考までに。

Yasuma Takeda <yasuma ＠ osstech.co.jp>

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkttC2IACgkQFqeEDqJUyIdZ9ACfSvS1E+JMCDjGQnM/GJ2TZRnE
acwAoMOPWNDmMdZlk1q/BdsmPpFXi1AF
=jVNf
-----END PGP SIGNATURE-----