- PR -

SambaとActive Directoryの連携について

1
投稿者投稿内容
未記入
会議室デビュー日: 2007/06/03
投稿数: 3
投稿日時: 2007-06-03 19:47
こんにちは

 過去ログを見たところ同じような内容があったのですが解決できないのでご教授ください。 

目標は、WindowsXP、Vistaの認証をADにまかせてSambaサーバ上のHomeをマウントすることです。現在、二点で悩んでいます。
 一点目はチケットは入手できてるようですが、"net ads join" を実行するとrootのパスワードを聞かれログインできません。"net ads join -U Adnimistrator"ですとログインできます。

 もう一点はSambaサーバは、AD上ではログインが確認できてますが、WindowsからSambaサーバにログインできないことです。
以下詳細になります。

ADはWindows2000ServerSP4
Sambaサーバは、CentOS5 x86_64 Sambaバージョンはsamba-3.0.23c-2.e15.2.0.2です。

AD:
hostname=svr01
domain=flower.local

samba:
hostname=svr02


[samba.conf]
[global]
unix charset = UTF-8
dos charset = CP932

workgroup = FLOWER
realm = FLOWER.LOCAL
security = ads
server string = samba server
netbios name = svr02
password server svr01.flower.local

log file = var/log/samba/%m.log
max log size = 50

idmap uid = 10000-50000
idmap gid = 10000-50000
template homedir = /home/%U
temlate shell = /bin/false
winbind separator = @
winbind cache time = 15
winbind use default domain = yes
encrypt passwords = yes
obey pam restrictions = yes

[homes]
path = /home/share
read only = no
browseable = no
guest ok = no


[krb5.conf]
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:var/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = FLOWER.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false

[realm]
FLOWER.LOCAL ={
kdc = svr01.flower.local
admin_server = svr01.flower.local
default_domain = flower.local
}
[domain_realm]
.flower.local = FLOWER.LOCAL
flower.local = FLOWER.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}


[nsswitch.conf]
passwd: files winbind
shadow: files winbind
group: files winbind

hosts: files dns

bootparams: files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
netgroup: files
publickey: files
automount: files
aliases: files


[/etc/pam.d/system-auth]

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_krb5.so use_first_pass
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so

account required pam_unix.so broken_shadow
account sufficient pam_winbind.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account [default=bad success=ok user_unknown=ignore] pam_winbind.so
account required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_krb5.so use_authtok
password sufficient pam_winbind.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel umask=0022
session optional pam_krb5.so

以上の設定になります。

# kinit administrator@FLOWER.LOCAL
で問題なくチケットを入手できます。


# net ads join
root's password:
libads/kerberos.c:ads_kinit_password(208)
kerberos_kinit_password root@FLOWER.LOCAL failed: Client not found in Kerberos database

となります。一点目の問題です。

# net ads join -U administrator
ですと ADのコンピュータにSambaサーバが問題なく登録されます。

上のコマンド実行後 ADにログインしたWindowsクライアントから
Sambaサーバに、アクセスすると(Sambaサーバには、アカウントは作成しておりません。)
アクセスできません(省略)というエラーになります。

参考文献
Sambaのすべて
Active DirectoryとLinuxによるシステム構築ガイド
www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=32211&forum=10
www.monyo.com

過去にも同じ質問があったかと思いますが、再度、ご教授のほどよろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-06-03 20:24
引用:

未記入さんの書き込み (2007-06-03 19:47) より:

# net ads join -U administrator
ですと ADのコンピュータにSambaサーバが問題なく登録されます。

それではダメなのでしょうか?
それとも,root と Administrator を明示的に mapping しているのですか?
引用:

上のコマンド実行後 ADにログインしたWindowsクライアントから
Sambaサーバに、アクセスすると(Sambaサーバには、アカウントは作成しておりません。)
アクセスできません(省略)というエラーになります。

winbind は動いていますか?
Samba が動いている server 側で
Active Directory の user account/group は参照できますか?
未記入
会議室デビュー日: 2007/06/03
投稿数: 3
投稿日時: 2007-06-03 20:52
Kaz様 返信ありがとうございます。
>それではダメなのでしょうか?
>それとも,root と Administrator を明示的に mapping しているのですか?

特に不具合はないのですが、参考文献でできてることができませんと
なにか設定にミスがあるのかと思ったしだいです。
Windowsからアクセスできないのも、この辺も原因かと思いました。
mappingはしておりませんので、できないでいいのでしょうか?

>winbind は動いていますか?
>Samba が動いている server 側で
>Active Directory の user account/group は参照できますか?

Winbindは動作しています。
Wbinfo "-u" "-t" "-g"
で参照できております。

宜しくお願いいたします。



[ メッセージ編集済み 編集者: 未記入 編集日時 2007-06-03 21:13 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-06-03 23:04
引用:

未記入さんの書き込み (2007-06-03 20:52) より:
Kaz様 返信ありがとうございます。
>それではダメなのでしょうか?
>それとも,root と Administrator を明示的に mapping しているのですか?

特に不具合はないのですが、参考文献でできてることができませんと
なにか設定にミスがあるのかと思ったしだいです。
Windowsからアクセスできないのも、この辺も原因かと思いました。
mappingはしておりませんので、できないでいいのでしょうか?

そこが精密に再現していなければならない理由があるなら,
設定も環境も同じにするべきでしょう.
目的を取り違えていませんか?
引用:

>winbind は動いていますか?
>Samba が動いている server 側で
>Active Directory の user account/group は参照できますか?

Winbindは動作しています。
Wbinfo "-u" "-t" "-g"
で参照できております。

とすると,Active Directory への参加は正常にできているのですよね?

client から Samba server へ接続できないのは,通信上の問題ですか?
それとも CIFS や NetBIOS での通信で接続できないのですか?
名前解決ができていないだけとか?
まずは「具体的に何ができないか?」を切り分けてみてください.
未記入
会議室デビュー日: 2007/06/03
投稿数: 3
投稿日時: 2007-06-04 22:06
kaz様 返信ありがとうございます。
引用:

そこが精密に再現していなければならない理由があるなら,
設定も環境も同じにするべきでしょう.
目的を取り違えていませんか?
引用:


たしかにその通りでした。ご指摘ありがとうございます。この点は問題なしということにします。



とすると,Active Directory への参加は正常にできているのですよね?

client から Samba server へ接続できないのは,通信上の問題ですか?
それとも CIFS や NetBIOS での通信で接続できないのですか?
名前解決ができていないだけとか?
まずは「具体的に何ができないか?」を切り分けてみてください.



Active Directory上のSambaサーバを削除し、再度、"net ads join"にて
ログインしますと問題なく登録されております。

ClientからSambaサーバへは、Ping、SSHで通信できております。

名前の解決ですが以下のコマンドを実行してみました。



Samba Serverから
# nslookup -type=srv _ldap.tcp.FLOWER.LOCAL
Server: 192.168.1.100
Address: 192.168.1.100#53
_ldap.tcp.FLOWER.LOCAL service = 0 100 389 sv01.flower.local.

# nslookup PC01
Server: 192.168.1.100
Address: 192.168.1.100#53
Name: pc01.flower.local
Address: 192.168.1.10

PC01(windows)から
> nslookup -type=srv _ldap.tcp.FLOWER.LOCAL
Server: 192.168.1.100
Address: 192.168.1.100:53
_ldap.tcp.FLOWER.LOCAL SRV service location:
      priority = 0
weight = 100
port = 389
svr hostname = sv01.flower.local
svr01.flower.local internet address = 192.168.1.100

> nslookup svr02
Server: svr01.flower.local
address: 192.168.1.100:53
name: svr02.flower.local
address: 192.168.1.101

Windowsネットワークは勉強不足なので不安ですが、
名前の解決はできていると思いますがいかがでしょうか?

肝心のログをみたところ、以下の通りでした。

[log.wb-FLOWER]
nsswitch/winbindd_dual.c:child_read_request(49)
Got invalid request length: 0
nsswitch/winbindd_ads.c:lookup_usergroups_memberof(685)
No memberOf for this user?!?

[192.168.1.10]
smbd/sesssetup.c:reply_spnego_kerberos(310)

[sei.log]
auth/auth_util.c:create_builtin_administrators(785)
create_builtin_administrators: Failed to create Administrators
auth/auth_util.c:create_builtin_users(751)
create_builtin_users: Failed to create Users
Username FLOWER@sei is invalid on this system

[log.winbindd-idmap]
sam/idmap_tdb.c:db_allocate_id(68)
idmap Fatal Error: UID range full!! (max: 50000)

アカウントが存在しないという意味になるのでしょうか?
uid等もうすこし 設定をいじってみます。

引き続きご指導お願いいたします。
1

スキルアップ/キャリアアップ(JOB@IT)