[samba-jp:22748] Windows-ADとの連携

[satoshi takano]

はじめまして、高野と申します。

今、SambaとWindows ADと連携させて下記のようなシステムを
構築したいと考えております。

☆Sambaサーバ

OS：CentOS7
Samba：(ver4.4.5)

☆Windowsサーバ(ActiveDirectory)

OS：Windows Server 2003
※機能レベルは2000から2003に上げた状態。

実現したいことは下記となります。

・Sambaサーバ側にドメインコントローラ(samba.test)を作成。
・Windowsサーバ側のドメインコントローラ(ad.adtest)と信頼関係を設定。
※方向はSambaサーバ→Windowsサーバ
・WindowsStorageサーバ(Windows2012R2)をファイルサーバとして構築し、Sambaサーバのドメインコントローラーに
参加させる。
・WindowsStorageサーバ側で両ドメインコントローラのユーザのアクセス制限等を行う。
・Sambaサーバのドメインコントローラに参加しているユーザ・Windowsサーバのドメインコントローラに参加している
ユーザでファイルサーバにアクセス(ログイン)できるようにしたい。

現状、いろいろ試したのですが、Sambaサーバのドメインコントローラに参加しているユーザは
ファイルサーバにアクセスできるのですが、Windowsサーバのドメインコントローラに参加している
ユーザはファイルサーバにアクセスできません。
※ファイルサーバ側のアクセス制限もSambaサーバのユーザにしか設定できません。

行ったこととしては、下記となります。

- Sambaサーバにsamba4.4.5をインストール
- 下記コマンドを実施
/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive
Realm [TEST]: samba.test
   Domain [samba]:
   Server Role (dc, member, standalone) [dc]:
   DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
   DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]:xxx.xxx.xxx.xxx
Administrator password:xxxxxxx
Retype password:xxxxxxx
- sambaを起動
- Windowsサーバにて入力方向の信頼関係を設定
- 下記コマンドを実行してSambaサーバから出力方向の信頼関係を設定
/usr/local/samba/bin/samba-tool domain trust create ad.adtest --type=external --direction=outgoing -U administrator ＠ xxx.adtest --create-location=local --ipaddress=xxx.xxx.xxx.xxx
- Windowsサーバ・Sambaサーバ共に検証を行ってみると信頼関係が結ばれていることが確認できた状態。

ここまでです。
Windowsサーバにはadtestユーザを作成

下記コマンドを実行するとユーザ情報が表示されます。
/usr/local/samba/bin/wbinfo --user-info AD\\adtest

下記コマンドを実行すると認証(krb)もパスします。
/usr/local/samba/bin/wbinfo -K AD\\adtest%パスワード

なのでwinbind的にはユーザが見える状態のようです。

smb.confのグローバルセクションは下記のとおりです。

[global]
          netbios name = HOSTNAME
          realm = SAMBA.TEST
          workgroup = SAMBA
          dns forwarder = xxx.xxx.xxx.xxx
          server role = active directory domain controller
          idmap_ldb:use rfc2307 = yes

本件の解決にご助力いただけると大変助かります。

よろしくお願いいたします。