[samba-jp:22579] Re: samba4のドメイン認証だけ無効にしたい

TAKAHASHI Motonobu/高橋 基信 monyo @ monyo.com
2015年 7月 19日 (日) 09:33:33 JST


たかはしもとのぶです。

> すみません、うまく伝えることができなくて申し訳ないです。
> samba3のドメイン環境からsamba4adへの移行にあたり、
> まず既存のサーバー(postfix,dovecot,samba+ldapsam,ftp,httpなど)の
> LDAPの認証や取得が問題ないか実データを使ってテストするつもりでした。
> 
> アカウントデータを、samba3ドメインのLDAPデータからインポートした
> のですが、winクライアントのAD参加はもう少し先の予定なので、
> このような質問をさせていただきました。
> 
> 何かアドバイスありますでしょうか。

なるほど。趣旨は理解しました。元々のご質問が

> 既存のsamba3ドメイン環境のネットワーク上で、samba4adのdnsやldapなどを
> 検証したい

ということなのですが、ポイントとしては同じネットワークにsamba3の
ドメインと、そこからユーザ情報などを移行したsamba4のドメインが
共存できるかというところになります。

一点を除き、ドメインコントローラは自分から自発的に他のコンピュータと
通信をしないので、共存させておいて構いません。

その一点は、ブラウジング機能に関連する137/udpや138/udpのブロード
キャスト通信になります。

以下のいずれかの方法で、上記ブロードキャスト通信が行われないように
してみてください。

(1) server services = -nbt を設定して、nmbd相当の機能が起動しない
ようにする。

※とりあえず上記設定を行ってみて、137/udpなどでリッスンしてない
ことと、DNSサーバとして動作していることは確認しましたが、かなり
イレギュラーな設定になるので、どこかで問題がでるかも知れません。

(2) UNIXサーバのファイアウォール機能を使って、137/udpや138/udpの
通信が外に出ないようにブロックする。

上記を行っておけば、samba3ドメインと同じ環境でsamba4のドメイン
コントローラを起動させたうえで、後は普通にLDAPやKerberosサーバと
して動作させても問題ないはずです。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
      @damemonyo / facebook.com/takahashi.motonobu


samba-jp メーリングリストの案内