[samba-jp:22775] Re: Windows-ADとの連携
satoshi takano
takano @ designet.co.jp
2016年 9月 6日 (火) 18:42:01 JST
高橋様
高野です。
> ということは、Samba3で試してみてもやはりできないということでしょうか?
> ちなみに、今Samba3サーバで試しているのですが信頼関係が結べないです。
> ※sambaをwindowsのドメインに参加させてあげないと信頼関係は結べないでしょうか?
> samba4の時にはdnsが合ったのでそこの意識は必要なくできた感じ?
追加で確認したいのですが、samba3で信頼関係を結ぼうと思い下記コマンド
を実行すると、下記のようにNT_STATUS_ACCESS_DENIEDとなるのですが、
理由はわかりますでしょうか?
高橋さんの記事ですと「 Trust to domain XXXXXXX established」となるのが正解だと思うのですが。
# net rpc trustdom establish XXXX
Enter XXXXXX$'s password:
cli_negprot: SMB signing is mandatory and we have disabled it.
Could not connect to server XXXXXXX
Couldn't verify trusting domain account. Error was NT_STATUS_ACCESS_DENIED
On 2016/09/06 13:21, satoshi takano wrote:
> 高橋様
>
> 高野です。
>
>> Samba3系、4系にかかわらず、従来型のSambaドメインを構築して信頼関係を
>> 結ぶという形でクリアできる可能性はあると思いますが、Windows Storage
>> Serverが対応しているか(技術的およびサポート的に)といった点を含め、
>> おススメはできないです。
>
> ということは、Samba3で試してみてもやはりできないということでしょうか?
> ちなみに、今Samba3サーバで試しているのですが信頼関係が結べないです。
> ※sambaをwindowsのドメインに参加させてあげないと信頼関係は結べないでしょうか?
> samba4の時にはdnsが合ったのでそこの意識は必要なくできた感じ?
>
> On 2016/09/01 22:19, TAKAHASHI Motonobu/高橋 基信 wrote:
>> たかはしもとのぶです。
>>
>>> > 当時検証した結果を
>>> >
>>> > <http://damedame.monyo.com/?date=20151024#p01>
>>> >
>>> > に掲載しています。ご参考まで。
>>>
>>> 上記、拝見いたしました。
>>>
>>> > こちらも問題なく機能しましたが、やはりSambaで構築したADドメインに所属するメンバについては、信頼するドメインのユーザでログオンはできるものの、アクセス許可を付与できず……。
>>> > 追記(10/25)
>>> >
>>> > リリースノートをよく見ると
>>> >
>>> > 信頼するドメインのユーザやグループをドメイングループに追加することができない
>>> >
>>> > とあるので、今のところ、アクセス許可の付与ができないのは仕様っぽい気がしました。
>>>
>>> やはり、上記のところが問題ということですね。
>>> 私の環境でも、ファイルサーバ(Windows2012R2)をWindowsのADのドメインに参加させて
>>> 双方向の信頼関係を結ぶと、AD(Windows),AD(Samba)の双方のユーザのアクセス許可ができました。
>>> しかし、ファイルサーバ(Windows2012R2)をSambaのADのドメインに参加させると
>>> AD(Windows)のユーザのアクセス制限やファイルサーバのアクセスはできませんでした。
>>
>> 確かに、当時の検証通りの挙動かもしれませんね。
>>
>>> sambaの最新(Version 4.5.0rc3)が最近でたので、そちらでも試しては見ようとは思っています。
>>> 駄目そうな気がしますが・・・
>>>
>>> ちなみに、sambaの3系だと実現できる方法があったりしますかね?
>>> 高橋さんが書かれた?と思われる記事をみつけましたので・・・
>>>
>>> http://www.atmarkit.co.jp/ait/articles/0405/25/news086_2.html
>>
>> 上記は、ドメインのメンバサーバとして挙動するSambaに関する記事ですので
>> 今回の要件の参考にはならないと思います。
>>
>> Samba3系、4系にかかわらず、従来型のSambaドメインを構築して信頼関係を
>> 結ぶという形でクリアできる可能性はあると思いますが、Windows Storage
>> Serverが対応しているか(技術的およびサポート的に)といった点を含め、
>> おススメはできないです。
>>
>
--
------------------------------------
株式会社 デージーネット
ソリューション開発部
高野 聡
E-Mail takano @ designet.co.jp
TEL 052-709-7121 FAX 052-709-7122
------------------------------------
samba-jp メーリングリストの案内