[samba-jp:19241] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題

柴田 健郎 takeofuture @ hotmail.com
2007年 2月 1日 (木) 12:32:04 JST

• 前の記事 [samba-jp:19240] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題
• 次の記事 [samba-jp:19242] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

---

いろいろアドバイスありがとうございます。
たしかにWINBINDのほうが断然管理上はよさげですね。
〔ADのユーザーをそのまま利用して、アクセスコントロールもできるのであれば
わざわざLINUXにUSERを登録する必要もなさそうです)
ただやはり、
アクセスが期待したとうりにできないのは
WINBIND使う使わない以前に
なにか根本的な問題があるのではないかと気にはなってます。
(WINBINDをいれてもその原因ででうまくいかないなど)
設定情報不足で申し訳ありません。
以下が設定です。
ちなみにADに参加するときは、時刻を合わせることを意識しなくていいのでしょう
か?
ケルベロスwそ使う限り、時間が狂ったら障害が発生するので
マシンタイムをあわせたりNTPをいれようと調査していたのですが、
WINDWOSがADに参加するとADサーバーが自動的
にマシンタイムの調整をしてくれて5分以上差がでることが許されないケルベロス
認証を維持しているとの記事をみたのですが、LINUXがADのメンバーになるときも
同じなのでしょうか?
===smb.conf===
[global]
 workgroup = MYDOMIAN
 security = ADS
 printcap name = /etc/printcap
 cups options = raw
 log level= 3
 log file = /var/log/samba/%m.log
 max log size = 50
 password server = actdir.mydomain.com
 realm = MYDOMIAN.COM
 dns proxy = no
[homes]
 comment = Home Directories
 browseable = no
 writable = yes
[printers]
 comment = All Printers
 path = /var/spool/samba
 read only = no
 guest ok = yes
 printable = yes
[PRINT$]
 comment = Printer Drives for Win clients
 path = /var/samba/printer
 write list = test.user
 guest ok = Yes
[tmp]
 comment = Temporary file space
 path = /tmp
 read only = no
===krb5.conf===
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
[libdefaults]
 default_realm = MYDOMAIN.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 default_tkt_enctypes = des-cbc-md5
 default_tgs_enctypes = des-cbc-md5
[realms]
 MYDOMAIN.COM = {
 kdc = actdir.mydomain.com:88
 admin_server = actdir.mydomain.com:749
 default_domain = mydomain.com
 }
[domain_realm]
 .mydomain.com = MYDOMAIN.COM
 mydomain.com = MYDOMAIN.COM
[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
 pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
 }
これ以外に
/etc/pam.d/system-auth に
auth sufficient /lib/security/pam_krb5.so
session optional /lib/security/pam_krb5.so
を追加してます。
このsystem-authの追加と、
krb5.conf の
 default_tkt_enctypes = des-cbc-md5
 default_tgs_enctypes = des-cbc-md5
はあってもなくても挙動に変化はありませんでした。
記事にはアカウントをSMBで作成する必要も、パスワードの同期も必要ないことを
いってましたが、実際にパスワードも同じにしてためしてみます。
_________________________________________________________________
ケータイでもメッセンジャーのスマイルマーク絵文字が使える! 
http://messenger.live.jp/mobile.htm 

---

• 前の記事 [samba-jp:19240] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題
• 次の記事 [samba-jp:19242] Re: アクティブディレクトリに参加しても、パスワードなしで参加できない問題
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

---

samba-jp メーリングリストの案内