[samba-jp:22647] Re: Samba4とOpenLDAPについて

Hiroyuki Sato hiroysato @ gmail.com
2015年 10月 20日 (火) 08:58:57 JST


高橋様

佐藤です。

ご回答ありがとうございます。
従来通りのOpenLDAPを使う方法でユーザ管理できれば大丈夫です。
OpenLDAP対応には注力せずに、今後Samba内臓LDAPに注力していくのかな?と思いました。

--
Hiroyuki Sato



2015年10月19日(月) 22:30 TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>:

> たかはしもとのぶです。
>
> > 質問
> >   (1) Sambaサーバをファイルサーバとして使う場合、内臓のLDAPの代わりに、
> > OpenLDAPを使うと制限される機能があるか?
>
> まず、「内蔵のLDAPサーバ」は、ADのDCをつかさどるsambaプロセスに
> 内蔵されています。今回ファイルサーバとして使用するということは、
> sambaプロセスではなく、従来からのsmbdなどを使用するため、内蔵の
> LDAPサーバを使用することはできません。
>
>> 特殊な設定をして、sambaプロセスのLDAP機能だけを有効化する
> こともたぶんできますが、いずれにしてもADのDCに実装されている
> LDAPサーバ機能は癖があるので、OpenLDAPと同じようには扱えません。
>
> >   (2) その他OpenLDAPを使う場合の注意点等あれば
> >        (今後使うのはやめておいたほうが良いということでも結構です)
>
> ファイルサーバとしてSambaを使用する前提であれば、従来通りの方法で
> OpenLDAPに認証情報を格納することは可能です。なお、
>
> > やりたいこと
> > (1) LDAPサーバによるUNIXのユーザ管理(RFC2307管理)
> > 主にメールIMAPなどのユーザ管理とSambaユーザの管理
>
> と書かれていますが、「Sambaユーザの管理」として想定している内容
> 次第では、そもそもできないかもしれません。
>
> 例えば、LDAPを使うかどうかにかかわらず、UNIXユーザとSambaユーザは
> 別個に管理する必要があり、パスワード情報も個別に保持する必要が
> あります。
>
> 設定方法自体は、SambaをNTドメイン互換のドメインコントローラとして
> 設定する際によく用いられていたバックエンドにLDAPを採用する方式の
> 設定例などと、基本的には同じです。
>
> --
> TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
>       @damemonyo / facebook.com/takahashi.motonobu
>
> -----Original Message-----
> From: Hiroyuki Sato <hiroysato @ gmail.com>
> Sent: Mon, 19 Oct 2015 07:29:25 +0000
> To: Sambaについての様々な質疑応答用 <samba-jp @ samba.gr.jp>
> Cc:
> Subject: [samba-jp:22644] Re: Samba4とOpenLDAPについて
>
> 佐藤です。
>
> 下記の件一点追記いたします。
>
> CentOS7で提供されるsamba-dcを導入すると下記ドキュメントがインストールされます。
> samba-toolなどが導入されないことから現状ではCentOS7上でSamba組み込みのLDAPサーバは利用
> できないようです。
>
> /usr/share/doc/samba-dc-4.1.12/README.dc
>
> MIT Kerberos 5 Support
> =======================
>
> Fedora is using MIT Kerberos implementation as its Kerberos infrastructure
> of
> choice. The Samba build in Fedora is using MIT Kerberos implementation in
> order
> to allow system-wide interoperability between both desktop and server
> applications running on the same machine.
>
> At the moment the Samba Active Directory Domain Controller implementation
> is
> not available with MIT Kereberos. FreeIPA and Samba Team members are
> currently
> working on Samba MIT Kerberos support as this is a requirement for a
> GNU/Linux
> distribution integration of Samba AD DC features.
>
> We have just finished migrating the file server and all client utilities to
> MIT
> Kerberos.  The result of this work is available in samba-* packages in
> Fedora.
> We'll provide Samba AD DC functionality as soon as its support of MIT
> Kerberos
> KDC will be ready.
>
> In case of further questions do not hesitate to send your inquiries to
> samba-owner @ fedoraproject.org
>
>
>
> 2015年10月19日(月) 13:54 Hiroyuki Sato <hiroysato @ gmail.com>:
>
> > 佐藤と申します。
> >
> > 遅ればせながらSamba4を使おうと考えております。
> > Samba4とOpenLDAPの組み合わせについてアドバイスいただけますでしょうか?
> >
> > 添付のURLについては、私の英語力も問題で意味を取り間違えているかもしれません。
> > よろしくお願いします。
> >
> > 質問
> >   (1) Sambaサーバをファイルサーバとして使う場合、内臓のLDAPの代わりに、
> > OpenLDAPを使うと制限される機能があるか?
> >   (2) その他OpenLDAPを使う場合の注意点等あれば
> >        (今後使うのはやめておいたほうが良いということでも結構です)
> >
> > やりたいこと
> > (1) LDAPサーバによるUNIXのユーザ管理(RFC2307管理)
> > 主にメールIMAPなどのユーザ管理とSambaユーザの管理
> > (2) Sambaによるファイルサーバ提供
> > グループに関しては、/etc/groupと同程度の管理ができれば良い
> >
> > やらなくて良いこと
> >   (1) Samba4を使ったADのDCコントローラ
> >
> > 環境
> >   (1) OS: CentOS7
> >   (2) Samba: 4.1.12 (OS組み込み)
> >   (3) Samba接続クライアント、Windows7,8,10
> >
> > 調べてわかったこと。
> >   (1) Samba4はLDAPサーバを内臓している。
> >   http://itpro.nikkeibp.co.jp/article/COLUMN/20131018/511931/?ST=oss&P=3
> >   (2) OpenLDAPを引き続き利用することもできる
> >   (3) OpenLDAPをAD互換のLDAPサーバとして使うために
> > バックエンドを作っている人がいるようだ。
> > http://ldapcon.org/2015/?page_id=143
> >   (4) Samba内臓のLDAPサーバをRFC2307のデータを格納することが
> >       できる(ようだ)
> >       https://wiki.samba.org/index.php/Setting_up_RFC2307_in_AD
> >   (5) OpenLDAPのサポートは互換性として残っているが色々な問題が
> >   あり、現時点では、今後積極的なサポートをすることはなさそう。
> >
> >
> https://wiki.samba.org/index.php/FAQ#Is_it_planned_to_support_openLDAP_as_backend_again.3F
> >
> > --
> > Hiroyuki Sato
> >
> >
>


samba-jp メーリングリストの案内