- PR -

samba+winbindでドメイン参加後、情報が引き出せない

1
投稿者投稿内容
未記入
会議室デビュー日: 2005/12/05
投稿数: 4
投稿日時: 2005-12-05 16:41
Linux上のファイルにActiveDirectoryグループ単位でセキュリティを掛けたいを考えております。

samba + winbindを使ってLinuxマシンをドメインに参加させる事は成功しました。
しかしながら以下のようにwbinfoで確認するときちんと情報が取り出せていないようです。

ドメインには参加している(ActiveDirectory上では確認済)のにユーザーやグループの情報が
引き出せないのはなぜなのでしょう?
もちろんドメインユーザー(AD上の)でのSSHログインもできません。

どのエラーログを見たらよいか、どの設定ファイルを修正すべきかいろいろ調べているのですが
わかりません。もし、同じような状況を体験された方がいらっしゃいましたらご教授下さい。
よろしくお願いします。


環境

Debian3.1
Samba version 3.0.14a-Debian

wbinfo -t の結果

UNX09:/var/log# wbinfo -t
checking the trust secret via RPC calls succeeded

wbinfo -u の結果

UNX09:/var/log# wbinfo -u
Error looking up domain users

wbinfo -g の結果

UNX09:/var/log# wbinfo -g
BUILTIN+system operators
BUILTIN+replicators
BUILTIN+guests
BUILTIN+power users
BUILTIN+print operators
BUILTIN+administrators
BUILTIN+account operators
BUILTIN+backup operators
BUILTIN+users
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-05 16:49
こんばんわ.

まずは環境の説明を.
その Linux はちゃんと DNS を参照できていますか?
時刻同期はできていますか?
wbinfo -t と wbinfo -g は正しく返ってきているようですが,
samba や pam の設定,nsswitch.conf の内容も重要ではないかと.
未記入
会議室デビュー日: 2005/12/05
投稿数: 4
投稿日時: 2005-12-05 17:22
kazさん
ご回答ありがとうございました。ご指摘の通り情報が不足しておりました。

追加情報ですが
DNS,NTP共にできておりました。以下はsmb.conf,system-auth,nsswitch.confの内容
です。間違いがあるようでしたらご教授下さい。

お願いいたします。


-----smb.conf-----

[global]

workgroup = corpusers
realm = corpusers.net
obey pam restrictions = Yes
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = No
winbind uid = 10000-20000
winbind gid = 10000-20000
security = DOMAIN
wins support = No
password server = *
wins server = 192.168.0.15
encrypt passwords = Yes
winbind separator = +
template homedir = /home/%D/%U
template shell = /bin/bash
server string = %h server (Samba %v)
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
encrypt passwords = true
passdb backend = tdbsam guest
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\\snew\\sUNIX\\spassword:* %n\\n *Retype\\snew\\sUNIX\\spassword:* %n\\n .

[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0700
directory mask = 0700


-----system-auth-----

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/pam_winbind.so

password required /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so


-----nsswitch.conf-----


passwd: files winbind
group: files winbind
shadow: compat

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

未記入
会議室デビュー日: 2005/12/05
投稿数: 4
投稿日時: 2005-12-05 17:41
krb5.confの情報を記載し忘れました。

-----krb5.conf-----

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log


[libdefaults]
default_realm = corpusers.net
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code
# are correct and overriding these specifications only serves to disable
# new encryption types as they are added, creating interoperability problems.
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}

[realms]
CORPUSERS.NET = {
kdc = unx09.corpusers.net:88
admin_server = unx09.corpusers.net:749
default_domain = corpusers.net
}

[domain_realm]
.corpusers.net = CORPUSERS.NET
corpusers.net = CORPUSERS.NET


[login]
krb4_convert = true
krb4_get_tickets = true

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-05 21:00
直接の因果関係があるかどうかわかりませんが,
引用:

未記入さんの書き込み (2005-12-05 17:22) より:

-----smb.conf-----

[global]

security = DOMAIN

Active Directory へ参加する場合は
security = ADS
ではないかと.
引用:

encrypt passwords = Yes

encrypt passwords = true

2つありますね.
encrypt passwords = Yes
のほうが正しい記述だと思います.
引用:

-----system-auth-----
account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/pam_winbind.so

pam_unix.so のほうを sufficient にするとどうでしょう?
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2005-12-06 16:15
参考までにADドメインに参加できているsmb.conf krb5.conf をさらしておきます。

***************** smb.conf ****************************************

[global]
dos charset = CP932
unix charset = EUCJP-MS
display charset = EUCJP-MS
workgroup = GALAXY
realm = GALAXY.LOCAL
netbios name = FREEDOM
security = ADS
password server = SUN MOON
passdb backend = tdbsam
disable netbios = Yes
preferred master = No
local master = No
domain master = No
socket options = TCP_NODELAY
add share command = /usr/lib/samba/bin/addshare.pl
change share command = /usr/lib/samba/bin/chgshare.pl
delete share command = /usr/lib/samba/bin/delshare.pl
idmap uid = 30000-40000
idmap gid = 30000-40000
# winbind separator = +
winbind use default domain = Yes
admin users = @"Domain Admins"

[C$]
path = /
valid users = @"Domain Admins"
write list = @"Domain Admins"

[Data]
path = /DataDrive/Data
read only = No
create mask = 0660
directory mask = 0770

*****************krb5.conf****************************************

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = GALAXY.LOCAL

[realms]
GALAXY.LOCAL = {
kdc = SUN.galaxy.local
}

[domain_realm]
.galaxy.local = GALAXY.LOCAL
galaxy.local = GALAXY.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

設定を確認することが一番ですが、
設定が正しいのに、どうしても正常に動作しない場合はバグの可能性が高いです。
ソースからコンパイルして最新版を使うことも必要かもしれません。

samba のバージョンを変えただけで正常に動作する場合もあります。
初心者
会議室デビュー日: 2006/01/23
投稿数: 12
投稿日時: 2006-01-27 18:07
kaz さんの助言を参考に

samba-3.0.9-1.3E.5.src.rpm に必要なパッケージをすべてインストールして
コンパイルをおこないましたが

SAMBA VERSION: 3.0.9
checking for i686-pc-linux-gnu-gcc... no
checking for gcc... no
checking for i686-pc-linux-gnu-cc... no
checking for cc... no
checking for cc... no
checking for i686-pc-linux-gnu-cl... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.
エラー: Bad exit status from /var/tmp/rpm-tmp.28059 (%build)

というエラーがでてしまいました。ここから WEB などを調べて検討してみましたが
よくわかりません。助言があったらよろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-01-28 00:08
引用:

初心者さんの書き込み (2006-01-27 18:07) より:

samba-3.0.9-1.3E.5.src.rpm に必要なパッケージをすべてインストールして
コンパイルをおこないましたが

ゴメンナサイ,そんな助言しましたでしょうか?
引用:

というエラーがでてしまいました。ここから WEB などを調べて検討してみましたが
よくわかりません。助言があったらよろしくお願いします。

compiler が導入されていないか,
PATH の通っている場所に見当たらないと書かれていますが?
つまり開発環境が無いので build できないということです.
で,設定は変更してみたりしたんでしょうか?
1

スキルアップ/キャリアアップ(JOB@IT)