[samba-jp:22646] Re: Samba4とOpenLDAPについて

[TAKAHASHI Motonobu/高橋 基信]

たかはしもとのぶです。

> 質問
>   (1) Sambaサーバをファイルサーバとして使う場合、内臓のLDAPの代わりに、
> OpenLDAPを使うと制限される機能があるか？

まず、「内蔵のLDAPサーバ」は、ADのDCをつかさどるsambaプロセスに
内蔵されています。今回ファイルサーバとして使用するということは、
sambaプロセスではなく、従来からのsmbdなどを使用するため、内蔵の
LDAPサーバを使用することはできません。

※
特殊な設定をして、sambaプロセスのLDAP機能だけを有効化する
こともたぶんできますが、いずれにしてもADのDCに実装されている
LDAPサーバ機能は癖があるので、OpenLDAPと同じようには扱えません。

>   (2) その他OpenLDAPを使う場合の注意点等あれば
>        (今後使うのはやめておいたほうが良いということでも結構です)

ファイルサーバとしてSambaを使用する前提であれば、従来通りの方法で
OpenLDAPに認証情報を格納することは可能です。なお、

> やりたいこと
> (1) LDAPサーバによるUNIXのユーザ管理(RFC2307管理)
> 主にメールIMAPなどのユーザ管理とSambaユーザの管理

と書かれていますが、「Sambaユーザの管理」として想定している内容
次第では、そもそもできないかもしれません。

例えば、LDAPを使うかどうかにかかわらず、UNIXユーザとSambaユーザは
別個に管理する必要があり、パスワード情報も個別に保持する必要が
あります。

設定方法自体は、SambaをNTドメイン互換のドメインコントローラとして
設定する際によく用いられていたバックエンドにLDAPを採用する方式の
設定例などと、基本的には同じです。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>
      @damemonyo / facebook.com/takahashi.motonobu

-----Original Message-----
From: Hiroyuki Sato <hiroysato ＠ gmail.com>
Sent: Mon, 19 Oct 2015 07:29:25 +0000
To: Sambaについての様々な質疑応答用 <samba-jp ＠ samba.gr.jp>
Cc: 
Subject: [samba-jp:22644] Re: Samba4とOpenLDAPについて

佐藤です。

下記の件一点追記いたします。

CentOS7で提供されるsamba-dcを導入すると下記ドキュメントがインストールされます。
samba-toolなどが導入されないことから現状ではCentOS7上でSamba組み込みのLDAPサーバは利用
できないようです。

/usr/share/doc/samba-dc-4.1.12/README.dc

MIT Kerberos 5 Support
=======================

Fedora is using MIT Kerberos implementation as its Kerberos infrastructure
of
choice. The Samba build in Fedora is using MIT Kerberos implementation in
order
to allow system-wide interoperability between both desktop and server
applications running on the same machine.

At the moment the Samba Active Directory Domain Controller implementation is
not available with MIT Kereberos. FreeIPA and Samba Team members are
currently
working on Samba MIT Kerberos support as this is a requirement for a
GNU/Linux
distribution integration of Samba AD DC features.

We have just finished migrating the file server and all client utilities to
MIT
Kerberos.  The result of this work is available in samba-* packages in
Fedora.
We'll provide Samba AD DC functionality as soon as its support of MIT
Kerberos
KDC will be ready.

In case of further questions do not hesitate to send your inquiries to
samba-owner ＠ fedoraproject.org



2015年10月19日(月) 13:54 Hiroyuki Sato <hiroysato ＠ gmail.com>:

> 佐藤と申します。
>
> 遅ればせながらSamba4を使おうと考えております。
> Samba4とOpenLDAPの組み合わせについてアドバイスいただけますでしょうか？
>
> 添付のURLについては、私の英語力も問題で意味を取り間違えているかもしれません。
> よろしくお願いします。
>
> 質問
>   (1) Sambaサーバをファイルサーバとして使う場合、内臓のLDAPの代わりに、
> OpenLDAPを使うと制限される機能があるか？
>   (2) その他OpenLDAPを使う場合の注意点等あれば
>        (今後使うのはやめておいたほうが良いということでも結構です)
>
> やりたいこと
> (1) LDAPサーバによるUNIXのユーザ管理(RFC2307管理)
> 主にメールIMAPなどのユーザ管理とSambaユーザの管理
> (2) Sambaによるファイルサーバ提供
> グループに関しては、/etc/groupと同程度の管理ができれば良い
>
> やらなくて良いこと
>   (1) Samba4を使ったADのDCコントローラ
>
> 環境
>   (1) OS: CentOS7
>   (2) Samba: 4.1.12 (OS組み込み)
>   (3) Samba接続クライアント、Windows7,8,10
>
> 調べてわかったこと。
>   (1) Samba4はLDAPサーバを内臓している。
>   http://itpro.nikkeibp.co.jp/article/COLUMN/20131018/511931/?ST=oss&P=3
>   (2) OpenLDAPを引き続き利用することもできる
>   (3) OpenLDAPをAD互換のLDAPサーバとして使うために
> バックエンドを作っている人がいるようだ。
> http://ldapcon.org/2015/?page_id=143
>   (4) Samba内臓のLDAPサーバをRFC2307のデータを格納することが
>       できる(ようだ)
>       https://wiki.samba.org/index.php/Setting_up_RFC2307_in_AD
>   (5) OpenLDAPのサポートは互換性として残っているが色々な問題が
>   あり、現時点では、今後積極的なサポートをすることはなさそう。
>
> https://wiki.samba.org/index.php/FAQ#Is_it_planned_to_support_openLDAP_as_backend_again.3F
>
> --
> Hiroyuki Sato
>
>