- - PR -
sambaの構成の仕様について
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-05-31 14:58
ミラクルリナックスの導入を考えていたのでこちらで再度検証してみました。
結果は現状かわりませんでした。 http://otn.oracle.co.jp/software/tech/linux/miracle/index.html MIRACLE LINUX V3.0 - Asianux Inside 評価版 インストール後にsp1を適用 sambaのバージョン下記のバージョンになります。 samba-3.0.10-21AX 以前から気になっていいたのですが sambaにてnet joinコマンドを実行時に windownNT Serverのイベントログにて 「コンピュータkumagaya3からのセッション設定を認証できませんでした。 セキュリティデータベースで参照しているアカウント名はkumagaya3$です。 アクセスが拒否されました。」と表示されています。 ただ、samba側ではJoined domain と表示されます。 wbinfo -u およびwbinfi -g wbinfo -m wbinfo-t コマンドで実行しても正常に表示されます。 また、現在このOSでwinbindでエラーがています /var/log/samba/winbin.log内のエラーが下記になります。 nsswitch/winbindd_group.c:winbindd_getgroups(1032) user 'root' does not exist windows側にrootというユーザーを追加する必要があるのでしょうか? また、システムのセキュアのログには下記のようなエラーがでています。 pam_winbind[1196] write to socket failed pam_winbind[1196]internal module error (retval = 3, user = `root' pam_winbind[1138] request failed: No such user, PAM error was 10, NT error was NT_STATUS_NO_SUCH_USER swat[1055] smb_pam_passcheck: PAM: smb_pam_auth failed - Rejecting User root ! swat[1055]auth/pampass.c:smb_pam_passcheck(810) swat[1114]ERROR: Failed to initialise locking database ちなみにlokkitコマンドでファイヤーウォールを無効に設定してあります。 セキュア関係のように見えるのですが、原因がいまだわかりません。 あと、samba経由でユーザーがアクセスしたときにユーザのホームディレクトリを 自動的に作成させる場合「globalセクション」にて obey pam restrictions = Yes にすべきなのでしょうか? ご教授のほどよろしくお願いいたします。 | ||||||||||||||||
|
投稿日時: 2005-05-31 21:13
こんばんわ.
さしあたり自分は security=domain でも security=ads でも問題なく動いているので, 「できない」ということではないと思います.
ここはちょっとわかりません.
「システムのセキュアのログ」が良くわかりませんが, root で login 出来てはいるのですよね? であれば,それらの log の後ろに「login できました」という log がありませんか? 「winbind で試したけどダメで,passwd 参照したら ok でした」 という話ではないかと.
PAM を使って Home Directory を作る仕掛けなら Yes にしないとダメでしょう. 以上,ご参考までに. | ||||||||||||||||
|
投稿日時: 2005-05-31 22:09
kazさんいつもお世話になっております。
ご丁寧にお返事ありがとうございます。 >さしあたり自分は security=domain でも security=ads でも問題なく動いているので, >「できない」ということではないと思います. windowsNT(PDC)+samba(member)でも問題ないということでしょうか? OSの問題ではないように思えます。 >「システムのセキュアのログ」が良くわかりませんが, >root で login 出来てはいるのですよね? windowsのイベントビューアのセキュリティログのようなイメージです。 rootでlinuxはloginして作業しています。 >であれば,それらの log の後ろに「login できました」という log がありませんか? エラーのところばかりみていたのでそこは確認していません、明日会社で 確認してみます。 >「winbind で試したけどダメで,passwd 参照したら ok でした」 >という話ではないかと. 「passwd 参照したら ok でした」というここが一番知りたいのですが、 ここは具体的にどういうことを差しているのでしょうか? どういうゆうに確認したらよろしいのでしょうか? また、「sambaにてnet joinコマンドを実行時に windownNT Serverのイベントログ件ですが、 Netlogon イベント ID 5722: エラーが表示され、マイクロソフトのHPにて解決策が あったのですが・・・ http://support.microsoft.com/default.aspx?scid=kb;ja;180114 解決方法 「LanMan BDC が存在しない場合、servers グループを削除してから PDC の Netlogon サービスを再起動します。」 servers グループというのが何を指しているのわかりませんでした。」 お手数ですが、再度、ご教授のほどよろしくお願いいたします。 | ||||||||||||||||
|
投稿日時: 2005-05-31 22:29
です.
つまり PAM の内容とその設定順序によって, 認証する順序や仕組みが違ってきます. この辺は PAM について調べればお分かりになると思います.
"servers" という group はわかりかねますが, net join する際,元の computer account はどうされていますか? おそらく消去してから net join したほうが良いと思います. | ||||||||||||||||
|
投稿日時: 2005-06-27 16:47
kazさんいつもお世話になっております。
ご丁寧にお返事ありがとうございます。 お返事遅れてすいません。別件の作業がありそちらの 対応に追われていました。 その後PAMについてしらべましたが、 「passwd 参照したら」というがどれに当てはまるかが わかりませんでした。 ひとつ気になったのが、smbpasswdファイルが見あたらないのですが・・・ net join する際,元の computer account は 消去してから net join をしています。 再度ご教授のほどよろしくお願い申し上げます。 | ||||||||||||||||
|
投稿日時: 2005-06-27 18:19
こんにちわ.
PAM は「指示された順番に試行する」ので, /etc/pam.d の中の entry を順番に試行します. entry によっては「ここまで」とか「ダメだったら次」とか 設定が出来ますが,書き込まれている該当の部分は
から発していますが, これは「winbind では root は見つかりませんでした」ということです. なので,winbind 経由での logon は失敗してしまっていますけど, その直後に passwd を参照して login できているのではないかということです. 以前にも honeori 様からご指摘があるとおりですが, このことから「samba 側に root を作る必要は無い」と繋がります. よって,PAM の設定値の順序が間違っていなければ, 「とくに気にすることは無いでしょ?」と思います. 試しに Linux 上にある user account を作って, その user account で login してみれば,同じ事が起こると思います. でも,そこで login できなければちょっと困るので, PAM の設定上の順序をちゃんと考えなきゃ,な話なわけです.
source から導入しているなら「どこにあるかわからない」な話は聴きますが, MiracleLinux で入っていないことはないと思います. find しても見つかりませんか? 単に path が通っていないだけでなく?
WindowsNT SP3 以降だと SMB デジタル署名が有効になるのではないかと思いますが, あるいはそこと関係ありませんか? 以前そのような話がありました. WindowsNT 側で「client が応じたら SMB 署名を利用する」という 設定ができるのではないかと. ※微かな記憶ですので,あまりあてになりませんが... | ||||||||||||||||
|
投稿日時: 2005-08-04 18:58
お返事遅れてすいませんでした。
KAZさんその節はいろいろありがとうございました。 「WindowsNT SP3 以降だと SMB デジタル署名が有効になるのではないかと思いますが, あるいはそこと関係ありませんか? 以前そのような話がありました. WindowsNT 側で「client が応じたら SMB 署名を利用する」という 設定ができるのではないかと.」 というアドバイス頂まして、調べましてレジストリを変更しましたが現象かわりません でした。 後はsystem-authの設定が間違っているかぐらいかと思ったので、下記の用になります。 auth required /lib/security/$ISA/pam_env.so auth sufficient /lib/security/$ISA/pam_winbind.so auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok auth required /lib/security/$ISA/pam_deny.so account required /lib/security/$ISA/pam_unix.so account sufficient /lib/security/$ISA/pam_winbind.so password required /lib/security/$ISA/pam_cracklib.so retry=3 type= password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow password required /lib/security/$ISA/pam_deny.so session required /lib/security/$ISA/pam_limits.so session required /lib/security/$ISA/pam_unix.so session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0022 これで問題ないとなりますと、もうお手上げ状態です。また、すいません、 smbpasswdファイルは/etcでない場所にありました。 再度ご教授していただければありがたいです。よろしくお願い申し上げます。 | ||||||||||||||||
|
投稿日時: 2005-08-04 21:19
こんばんわ.
時間が経ってしまってますが,まず前提の確認を. Active Directory に Linux を参加させるのでしょうか? それとも NT Domain でした? それによって security = の内容が変わってくるかと. 状況を整理する意味でも, 「今の状態」を書いてみるのがよろしいのでは? | ||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。