[samba-jp:22656] Re: Samba4とOpenLDAPについて

[TAKAHASHI Motonobu/高橋 基信]

たかはしもとのぶです。

> 2, OpenLDAPをバックエンドに使う従来のLDAP対応
>   (1) NTドメインのドメインコントローラ用
>   (2) Windows NTのサポートは終了して10年以上たつ。
>   (3) 機能強化されることはない(だろう)

端的にいえば上記のとおりですが、(1)について、想定用途は
NTドメインのドメインコントローラ用ですが、そうではない、
スタンドアロンサーバの認証情報格納先として使うこともできます。

> Samba4のLDAPを使う場合、現在のOpenLDAPのように(パスワード等は別にしろ)ユーザ情報を
> 一元的に格納できるのは便利かなど思うので次のようなことを今後調べたいと思います。
> 
> ・Samba4のLDAPサーバにUIDやGIDを指定して、RFC2307の情報を格納する

まず、Samba4のLDAPスキーマはWindows Server 2008 R2と同等で、
RFC2307はすでに含まれています。

属性の登録方法として、Windows側からは、いわゆるUNIX属性のインタ
フェースを使うか、ADSIEditなどのツールを使うか、スクリプトを使うなど
すれば属性を登録するができます。

> ・PythonなどのスクリプトでSamba4上にユーザ情報を登録する(Samba情報、RFC2307情報)

最新（確か4.2以降？）のSambaであれば、samba-toolコマンドによる
ユーザ作成時に、RFC2307情報も登録することができます。ちなみに、
samba-toolコマンドは中を見てもらえばわかりますが、pythonで書かれて
います。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>
      @damemonyo / facebook.com/takahashi.motonobu

-----Original Message-----
From: Hiroyuki Sato <hiroysato ＠ gmail.com>
Sent: Tue, 27 Oct 2015 12:15:13 +0000
To: Sambaについての様々な質疑応答用 <samba-jp ＠ samba.gr.jp>
Cc: 
Subject: [samba-jp:22655] Re: Samba4とOpenLDAPについて
たかはし様

佐藤です。

自分で調べたことも含めまとめると次のようなことだと理解しました。
ありがとうございました。

1, Samba4内臓のLDAPサーバ
  (1) ActiveDirectoryのドメインコントローラを提供するためのLDAPサーバを内臓
  (2) RFC2307の情報を格納することもできる。

2, OpenLDAPをバックエンドに使う従来のLDAP対応
  (1) NTドメインのドメインコントローラ用
  (2) Windows NTのサポートは終了して10年以上たつ。
  (3) 機能強化されることはない(だろう)

3, RHEL7/CentOS7バンドルのSambaについて
  (1) ADのドメインコントローラとなる機能はまだ提供されてない。kerberosの問題
  (2) 利用する場合は、自分でコンパイルする等の作業が必要

Samba4のLDAPを使う場合、現在のOpenLDAPのように(パスワード等は別にしろ)ユーザ情報を
一元的に格納できるのは便利かなど思うので次のようなことを今後調べたいと思います。

・Samba4のLDAPサーバにUIDやGIDを指定して、RFC2307の情報を格納する
・PythonなどのスクリプトでSamba4上にユーザ情報を登録する(Samba情報、RFC2307情報)


2015年10月26日(月) 2:01 TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>:

> たかはしもとのぶです。
>
> > OpenLDAP対応には注力せずに、今後Samba内臓LDAPに注力していくのかな？と思いました。
>
> 若干意味は違いますが、ある意味上記の認識で間違ってはいないと
> 思います。
>
> 繰り返しになりますが、Samba内蔵のLDAPサーバ機能は、Active
> Directoryのドメインコントローラ機能の一部として、実装されている
> ものです。
>
> 上記は、今後もマイクロソフト社の実装に追従する形での機能強化が
> 行われると思いますが、LDAPサーバとしての機能強化という位置づけ
> ではなく、あくまでADのドメインコントローラ機能の実装強化という
> 位置づけになります。
>
> 少々紛らわしいですが、元々のメールにある(1)〜(5)のうち(2)以外は、
> あくまでADのドメインコントローラ機能の一部であるLDAPサーバの
> 機能を OpenLDAP で実装するプロジェクトについての情報です。
>
> これは、Sambaユーザの情報を OpenLDAP などの LDAP サーバに格納すると
> いう、従来からの LDAP 対応とはまったく別物です。
>
> 従来からのいわゆる LDAP 対応については、元々はSambaサーバで
> （ADのドメインコントローラではなく）古いNTドメインのドメイン
> コントローラを構築する際に、複数のドメインコントローラ間で
> 認証情報を共有させる目的で実装されたものです。
>
> NTドメインを構築可能なWindows NTのサポートが終了してから10年
> 以上たつこともありますので、少なくとも機能強化されることは
> ないと思いますし、長い目で見れば廃止されていく方向にあるの
> ではないかと思います。
>
> その意味で、OpenLDAP 対応は注力されないという表現は誤っていないと
> 思いますし、認証情報を OpenLDAP などの LDAP サーバに格納する
> 形態も、あまり推奨できないと思っています。
>
> --
> TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>
>       @damemonyo / facebook.com/takahashi.motonobu
>
> -----Original Message-----
> From: Hiroyuki Sato <hiroysato ＠ gmail.com>
> Sent: Mon, 19 Oct 2015 23:58:57 +0000
> To: Sambaについての様々な質疑応答用 <samba-jp ＠ samba.gr.jp>
> Cc:
> Subject: [samba-jp:22647] Re: Samba4とOpenLDAPについて
>
> 高橋様
>
> 佐藤です。
>
> ご回答ありがとうございます。
> 従来通りのOpenLDAPを使う方法でユーザ管理できれば大丈夫です。
> OpenLDAP対応には注力せずに、今後Samba内臓LDAPに注力していくのかな？と思いました。
>
> --
> Hiroyuki Sato
>