- - PR -
samba-ldap での PDC構築
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2003-04-08 01:14
皆さんこんばんは。
samba-ldap による PDC(Windows のプライマリドメインコントローラ) の雑誌記事を読みながらPDC構築に挑戦しているんですが Win2000マシンのドメイン参加で「ドメインへようこそ」の文字が中々でないのです。 現在の状況は 1. samba - ldap 連携までは上手くいっている samba-ldap は samba-ldap-2.2.7a.ja-8ml.i386.rpm で Redhat 7.2 にインストール LDAP登録のみユーザーで、Linuxへのログインもパスワード変更も可能 2. Win2000 からは、Linux のサーバー上にホームディレクトリ等、読み書き可能 ユーザー名とパスワードをWin2000側とLinux側をあわせている。 ドメインに参加出来ていないのに見れるのは問題。 これでは、ただの samba-ldap によるワークグループサーバーである。 
3. Win2000側からドメイン参加を設定しても下記のエラーが出て参加出来ない 【ドメイン"LINUX"に参加中に次のエラーが発生しました。 入力内容が既存の資格情報のセットと一致しませんでした】 この時のLDAPのアクセスログを見ても、何もアクセスしてない(アクセスしてなきゃ パスワードもマシンもわかるわけが無い) --- こんな感じなのですが、どなたか、samba-ldap で PDC構築が上手くいっている方 何処をチェックすれば良いのかアドバイス頂けたら嬉しいです。 ※ もう1週間以上悩んでます。
[ メッセージ編集済み 編集者: Nishizaka 編集日時 2003-04-08 01:18 ] |
|
投稿日時: 2003-04-08 13:44
はじめましてdawnと言います。
分かる範囲で^^; >1. samba - ldap 連携までは上手くいっている >Linuxへのログインもパスワード変更も可能 と、ありますがこれはpamとLDAPの連携が上手くいっているということですよね? つまりldapサーバは正常に立ち上がっていて、pamの設定もldapを 参照するように設定されている。 >samba-ldap は samba-ldap-2.2.7a.ja-8ml.i386.rpm で >Redhat 7.2 にインストールLDAP登録のみユーザーで、 パッケージ名を見るとMiracle用のrpm見たいですね^^; srpmからrebuildしたほうが良いですよ♪ ftp://ftp.miraclelinux.com/pub/Miracle/ia32/standard/2.1/updates/SRPMS から落とせるみたいです。(動けば良いじゃん!って話もありますが) >2. Win2000 からは、Linux のサーバー上にホームディレクトリ等、 >読み書き 可能 ユーザー名とパスワードをWin2000側とLinux側を >あわせている。 >ドメインに参加出来ていないのに見れるのは問題。 >これでは、ただの samba-ldap によるワークグループサーバーである。 ドメインに参加できていなくても認証さえ出来ればホームディレクトリは見えるはずです。 アクセスしてIDとpassを入れれば。 上記から判断するとsambaも認証はしっかりLDAPサーバに投げている・・・ >3. Win2000側からドメイン参加を設定しても下記のエラーが出て >参加出来な い >【ドメイン"LINUX"に参加中に次のエラーが発生しました。 >入力内容が既存の資格情報のセットと一致しませんでした】 「入力内容が、既存の資格情報のセットと一致しませんでした」というエラーは 接続先コンピュータに対して現在アクセスしようとしているものと 異なるユーザーでの接続がすでに存在することが原因です。 一度ログオフを行ってすべての接続を解除してから、再度同じ処理を行ってください。 と、いうことらしいです↓ http://homepage2.nifty.com/winfaq/w2k/network.html もしかしてExplorer上で自分のホームディレクトリなどにアクセスしてから ドメインログオンの設定を行っているのではないでしょうか? あと、ドメインログオンではまりやすいところはコンピュータアカウントのところでしょうか・・・ ぜんぜんはずしていたらすいません^^ smb.confの抜き出しやエラーの際のsambaのログを抜粋して載せると何かわかるかも 知れません。 それから下記のページの設定も参考になります。 http://www.miraclelinux.com/technet/magazine/openldap/index.html |
|
投稿日時: 2003-04-08 15:14
はじめまして (^^)
>パッケージ名を見るとMiracle用のrpm見たいですね^^; >srpmからrebuildしたほうが良いですよ♪ >ftp://ftp.miraclelinux.com/pub/Miracle/ia32/standard/2.1/updates/SRPMS >から落とせるみたいです。(動けば良いじゃん!って話もありますが) おっと、書くのを忘れてました。ソースRPMから --rebuild したものを インストールしてます。 >「入力内容が、既存の資格情報のセットと一致しませんでした」というエラーは >接続先コンピュータに対して現在アクセスしようとしているものと >異なるユーザーでの接続がすでに存在することが原因です。 >一度ログオフを行ってすべての接続を解除してから、再度同じ処理を行ってください。 >と、いうことらしいです↓ >http://homepage2.nifty.com/winfaq/w2k/network.html 成る程、そういう事でしたか。 ディスクトップにショットカットを置いているんでこいつが繋いでいるんですね。きっと。 今は環境が違うんで自宅に帰ってから試してみます。(上手くいくといいなぁ〜) >あと、ドメインログオンではまりやすいところはコンピュータアカウントのところでしょうか・・・ これは、smbldap-useradd.pl -w コンピュータ名 の事ですか? これも小文字で登録しないといけないんですよね? WIN2000側が大文字の時は、一旦小文字のコンピュータ名に変えてからやんないといけないんでしょうか? ---- もう一個、別の事で悩んでます。(本物のドメインの存在する環境) どうしてもうまくいかないんでパケットをモニターしていたら、既に同一セグメント上に 本物のPDCが居る場合には、本物側に LOGON 要求が行っているみたいなんです。 WIN2000 の IP を別セグメントにしたら samba-PDC に参加出来ました。 これってどうにもなんないんですかねぇ〜? |
|
投稿日時: 2003-04-08 15:50
こんにちは。
>これは、smbldap-useradd.pl -w コンピュータ名 の事ですか? >これも小文字で登録しないといけないんですよね? >WIN2000側が大文字の時は、一旦小文字のコンピュータ名に >変えてからやん ないといけないんでしょうか? たしか大丈夫ですよ。Windows2000のコンピュータ名は大文字でも ドメインログオンできたはずです。 >もう一個、別の事で悩んでます。(本物のドメインの存在する環境) >どうしてもうまくいかないんでパケットをモニターしていたら、 >既に同一セグメント 上に本物のPDCが居る場合には、 >本物側に LOGON 要求が行っているみたいな んです。 >WIN2000 の IP を別セグメントにしたら samba-PDC に参加出来ました。 >これってどうにもなんないんですかねぇ〜? 同じドメイン名でWinNTとsambaのPDCがたっているってことですか? それはNGですよね^^; 別ドメインなら問題ないですけど。 sambaで何をしたいかによると思います。 NTのPDCがいるところでIDとpassを一元管理したいと言うなら、 sambaのwinbindを使うのがいいと思います。 |
|
投稿日時: 2003-04-08 16:39
ども。(^^)
> たしか大丈夫ですよ。Windows2000のコンピュータ名は大文字でも > ドメインログオンできたはずです。 そうですか。どちらでも大丈夫なのですね。(^^) > 同じドメイン名でWinNTとsambaのPDCがたっているってことですか? > それはNGですよね^^; > 別ドメインなら問題ないですけど。 いえ、別名のドメインです。 んで、色々やった結果、これは間違いでした。同一セグメントでもドメイン名が 違えば参加出来るみたいです。 そもそもの参加出来ない原因は、 本物のドメインに参加中のまま、Sambaのドメインへ変更しようとした事が 間違いの始まりだったみたいです。 面倒でも一旦、ローカルコンピュータのAdministrator でログインして ワークグループに変更後、リブートして、sambaのドメインに参加という 手順を踏めば参加出来る事がわかりました。 # 一旦ワークグループにしないといけないんですかねぇ〜? > sambaで何をしたいかによると思います。 > NTのPDCがいるところでIDとpassを一元管理したいと言うなら、 > sambaのwinbindを使うのがいいと思います。 パスワードの統一をしたいってのが一番の目的ですね まぁ一元化は危ないのかも知れないですが、現在のWindows-PDCだと別々にメール& FTPサーバーが建っているんで、それにパスワードも別々の管理で一般ユーザー からはパスワードの変更も簡単には出来ない状態なので、別の意味でもっと危ない 状態なのです。 とりあえずお陰で一歩先に進めました。ありがとうございます。 |
|
投稿日時: 2003-04-08 17:26
dawnです。
>パスワードの統一をしたいってのが一番の目的ですね >まぁ一元化は危ないのかも知れないですが、 >現在のWindows-PDCだと別々 にメール&FTPサーバーが建っているんで、 >それにパスワードも別々の管理で一般ユーザ ーからはパスワードの変更も >簡単には出来ない状態なので、別の意味でもっと危 ない状態なのです。 パスワードの一元化が目的ならwinbindでも可能ですね。 しかも、ユーザの管理はNT上で出来るからWindows上のユーザ管理に慣れてる人は 良いかも。 |
|
投稿日時: 2003-04-08 20:40
こんばんは。(^^)
> パスワードの一元化が目的ならwinbindでも可能ですね。 > しかも、ユーザの管理はNT上で出来るからWindows上のユーザ管理に慣れてる人は > 良いかも。 まぁ一元化だけだったら、winbind でも十分ですねぇ〜。 samba-ldap 時の管理ツールってまだ十分に無いんでしたっけ? 他の理由としてはファイルサーバーのライセンスが安く済むってのも あるんですけどね。(理由としては、こっちが大きいかな) 管理ツール類が整備されるともっといいんですけどね。(^^) |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。