[samba-jp:22565] Re: 複数のADドメインに対してファイル共有を提供する

2015年 6月 8日 (月) 11:06:42 JST

OSSTech 小田切です。


>> SambaがあるADドメイン（AA）に参加している場合に，
>> 別のドメインのADドメイン（BB）に参加しているユーザに対してファイル共有を
>> 提供する場合はどのようにすればよいでしょうか。
> 
> 趣旨がよくわからないので答えにくいのですが、
> AAドメインがBBドメインを信頼していれば、AAドメインに
> 参加しているSambaサーバで

Samba4のNTドメインモードならともかく
ADドメインモードでは信頼関係はまだ結べないのではないですか？

>> winbindのidmapを
>>
>>         idmap config AA : base_rid = 1000
>>         idmap config AA : range = 1000000-2000000
>>         idmap config AA : backend = rid
>>
>>         idmap config BB : base_rid = 1000
>>         idmap config BB : range = 3000000-4000000
>>         idmap config BB : backend = rid
>>
>> などは可能でしょうか。
> 
> といった設定を行うことで、BBドメインのユーザに対してもUIDや
> GIDを払い出すことは可能です。

ということで出来ないのではないですか？

> 信頼関係がないのであれば、矢野さんが書いている通りで、
> 基本的には、何らかの形でAAドメインのユーザとして認証して
> もらうしかありません。

ひとつのファイルサーバーを複数のADドメインに参加することはできないので
AAドメインとBBドメインの両方のユーザーに使わせるのは無理ではないですか？

security = server を使えば、できなくもなさそうですが、
Samba 4では使えませんよね？


> これは、Windowsの認証の概念に起因する仕様です。

？？


-- 
小田切 耕司 : odagiri ＠ osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社

  PGP : http://pgp.nic.ad.jp/pks/lookup?op=index&search=0xC7701E58
  Key fingerprint = 1FAB E978 4F99 3AAE EC5A  C1B3 E6F5 3B80 C770 1E58

 エンジニア募集中！ http://www.osstech.co.jp/company/recruit