[samba-jp:19096] Re: SAMBA ＋ LDAP

[Toshinori Kawamoto]

川本です。

> 竹内 @ OSSテクノロジです。

  以下、詳説ありがとうございます。大変助かります。
 
> > この場合、Samba 内部でユーザ情報を保持することなく LDAP のみで
> > ユーザ管理を行えると考えていました。
> > なので ldap コマンド群で事足りると判断しました。
> 
> 確かにマシンBではユーザ情報は必要なく、
> すべてマシンAにてユーザ管理できる環境です。
> 
> ただ、小田切さんが言っている
> >> ldappasswdコマンドではSambaのパスワードは変更されないので
> >> ダメですよ。
> というのと川本さんが思っていることとはちょっとずれている気がします。
> 
> 
> LDAPに登録されるユーザごとのエントリーには
> 以下のようなものがあります。
> （パスワードの類はいじってます）
> 
> dn: uid=user01,ou=Users,dc=example,dc=com
> objectClass: top
> objectClass: inetOrgPerson
> objectClass: posixAccount
> objectClass: shadowAccount
> objectClass: sambaSamAccount
> userPassword:: {CRYPT}6hgJX4NV.Axadfvf6
> uid: user01
> uidNumber: 1000
> sn: user01
> cn: user01
> loginShell: /bin/bash
> homeDirectory: /home/user01
> sambaNTPassword: 8976969869D692325456DFCB39BC110E5
> sambaLMPassword: 6856880551B462464699C8435B51404EE
> 
> この中でuserPasswordとされているのが/etc/passwdに値する
> posixAccount用のパスワードとなります。
> 
> smbpasswdファイルに値するsambaパスワードは
> sambaNTPasswordとsambaLMPasswordになります。
> 
> このsambaLMPassword等をldappasswdコマンドでは変更できないと
> 小田切さんは言っているのです。

  なるほど。やっと理解できました。 
  LDAP でのユーザ管理統一に幻想を抱き過ぎていたようです。

  LDAP という媒体を使用するものの userPassword / sambaNTPassword / sambaLMPassword
  とそれぞれ別に記録されており、管理にあたってコマンドはどれを編集対象とするかで選別
  する必要があるのですね。

  ＃ パスワードは userPassword に統一されるものと盲信しておりました。
  ＃ 更に言うと migrate_passwd.pl / migrate_group.pl では情報不足で別途 sambaNTPassword / sambaLMPassword
  ＃ 用に登録が必要なのですね。

> なので川本さんが実現したいことを可能するためには
> LDAPコマンド群だけではなく、
> 小田切さんの言っているsmbpasswdもしくは
> 高橋さんの言っているpdbeditが必要となるわけです。

  大変勉強になりました。この基礎知識を生かしてもう一度勉強し直してみます。
  一般図書ではなかなか読み取れませんでした。本当に助かりました。

以上、小田切様をはじめ皆様ありがとうございました。

-- 
Toshinori Kawamoto <kawamoto ＠ nds-tyo.co.jp>