[samba-jp:22261] Re: PDC/BDCでのIDマッピング

Yutaka Toya nyanko @ moon.email.ne.jp
2014年 5月 29日 (木) 13:13:21 JST 

戸矢です。

たかはしさん、お答えありがとうございました。おかげさまで停滞状態から抜け
出すことができました。完全解決してからご報告をと思っていましたが、それ
にはもうしばらくかかりそうです。

> これは、Samba4でドメインコントローラを構築しているということですよね。
> その場合、idmap config設定は無効です。

おっしゃる通りです。CentOS6.5上のSamba4をドメインコントローラとして稼働
させています。"idmap config"が無効であるとわかり大きく前進できました。
本当にありがとうございます。

> http://damedame.monyo.com/?date=20140106#p01
>
> のように、UNIX属性の値を反映させることはできると思います。
> また、Samba 4.1以降では、samba-tool user add コマンドの --uid-number
> オプションにより、手動でユーザを作成する場合は明示的にUIDを指定できるよう
に
> なっています。
>
> Samba 4.0台は、以下の設定を行えば、同様にUNIX属性のUIDの値を参照する
> ようになります。
>
>
http://wiki.samba.gr.jp/mediawiki/index.php?title=Samba_4.0.0%E3%81%AEDC%E4%
B8%8A%E3%81%A7UID/GID%E3%81%AE%E5%80%A4%E3%81%ABUNIX%E5%B1%9E%E6%80%A7%E3%81
%8C%E5%8F%8D%E6%98%A0%E3%81%95%E3%82%8C%E3%81%AA%E3%81%84
>
> 後、以下の方法もまだ使えるかもしれません。
>
> https://lists.samba.org/archive/samba/2011-January/160518.html
>
> これは、直接データベースの情報を書き換えるやり方です。

/usr/local/samba/private/ にあるidmap.ldbやsam.ldbを編集する方法はユー
ザやグループを追加するたびの作業として現実的ではないと考え、Windowsの
管理ツールからユーザ情報の「UNIX属性」を入力する方法を試しました。
正しく2つのドメインコントローラで同じUID/GIDがマッピングされました。
idmap.ldbにすでにマッピング情報が記録されていても、「UNIX属性」の情報が
優先されるんですね。


現在の問題は2つ。1つは"samba-tool ntacl sysvolcheck"でエラーが発生
すること。もう1つはSID:S-1-5-18 のような、Windowsの管理ツールから情報を
編集できない特殊なユーザ/グループがあることです。


まず1つ目。知らないうちにsysvolcheckでエラーが発生するようになり、泣く
泣くプロビジョニングからやり直したものの、やはり「UNIX属性」をいじって
いるうちにエラーが再発。エラーが出ても正常ならそれはそれで良いのですが、
やはり正常であることが確認できないと不安なもので、いろいろ調べてみまし
た。現在までに判明しているのは次の通りです。

・ビルトイングループ"Domain Admins"の「UNIX属性」を設定した後で
 "samba-tool ntacl sysvolreset"を実行すると、以降sysvolcheckでエラーが
 発生する。該当グループの「UNIX属性」を解除して再度sysvolresetを実行
 するとエラーは発生しなくなる。他のビルトイングループの「UNIX属性」は
 影響しない。

・"Domain Admins"の「UNIX属性」を設定してsysvolresetを実行すると、
 /usr/local/samba/var/locks/sysvol/[ドメイン名]/Profiles/ 以下のディレ
 クトリのオーナーが"Administrator"になるが、該当グループの「UNIX属性」
 を解除して再度sysvolresetを実行すると、なぜかオーナーが"3000005"(私の
 環境では"Domain Admins"が割り当てられています)に変化する。

1つくらいならidmap.ldbやsam.ldbをいじって解決してもいいかなとは思って
いますが、果たしてうまく行きますかどうか。見えない箇所への影響が怖くて
慎重に検証しています。


続いて2つ目。一部、特殊なユーザやグループの情報がWindowsの管理ツール
から参照/編集できません。rsyncとlsyncを使ってPDC/BDC間でsysvolのレプリ
ケーションをしており、これらユーザ/グループのIDを統一しておかないと
sysvol以下が更新されるたびにBDCでsysvolresetを行わなければなりません。
また、Windowsのユーザープロファイルをサーバに保存することを考えている
こともあり、なんとかしたいところです。sam.ldbにも情報が保存されておら
ず、idmap.ldbにマッピング情報が保存されているだけです。これを書き換えた
だけで問題ないのかどうなのか、書き換えた後でWindowsクライアントから移動
ユーザープロファイルを作成するなどの検証が必要になりそうです。


以上、お礼とご報告でした。どなたかのお役に立てれば幸いです。


                         Yutaka Toya (nyanko @ moon.email.ne.jp)

samba-jp メーリングリストの案内