[samba-jp:21216] samba3でのドメイン認証は可能でしょうか

2010年 12月 1日 (水) 12:11:36 JST

はじめまして、福田と申します。
Windows2003serverのActiveDiretoryに、メンバーサーバーとしてLinuxのsambaサーバを
ドメイン参加させています。
ドメイン認証を利用して、Windowsクライアントからsambaにアクセスさせようとしていま
すが、認証がうまくいかないようです。
システム構成は下記の通り。
* sambaサーバ
** OSバージョン
SUSE Linux Enterprise Server 10 (x86_64)
VERSION = 10
PATCHLEVEL = 2
** sambaバージョン
Version 3.0.28-0.5-1657-SUSE-CODE10
** smb.confの内容
[global]
 workgroup = SAITAMA
 server string = Samba SV
 netbios name = ews003
 unix charset = UTF-8
 dos charset = CP932
 invalid users = root daemon bin sys adm
 load printers = yes
 log file = /var/log/samba/log.%m
 log level = 3
 max log size = 5000
 security = domain
 password server = DC01
 encrypt passwords = yes
 username map = /etc/samba/smbusers
 password level = 8
 socket options = TCP_NODELAY
 interfaces = 172.25.3.55/24
 wins server = XXX.XXX.XXX.160
 dns proxy = no
 nis homedir = yes
 utmp = yes
 utmp directory = /var/log/samba/
[homes]
 comment = %U's Home Directories
 browseable = no
 read only = no
 valid users = %S
 create mode = 0755
 oplocks = no
** /etc/samba/smbusersの内容
fukuda = SA70721
* ドメインコントローラ
** OS
Windows2003server
ActiveDirectory
sambaサーバとドメインコントローラは別のサブネットにいます。
sambaサーバのhostsファイルにドメインコントローラを記述して対応しています。
* 現在の状況
net rcp oldjoinコマンドでドメイン参加はできました。
windowsクライアントのエクスプローラからsambaにアクセスすると、認証が通らずディレ
クトリにアクセスできません。
windowsのドメインアカウントはSA70721、Linuxのアカウント(NISを使用しています)は
fukudaです。
NISサーバからpasswdマップ等は取れています。
ドメイン認証をやめて、security = serverに変更すると、windowsのドメインアカウント
でsambaにアクセスできます。
* Windowsクライアントからsambaにアクセスした時のログ(一部を抜粋)
** security = domainの場合(sambaにアクセスできない場合)
[2010年11月30日 13:01:21, 3] auth/auth.c:check_ntlm_password(221)
 check_ntlm_password: Checking password for unmapped user []\[]@[HD11106] with
the new password interface
[2010年11月30日 13:01:21, 3] auth/auth.c:check_ntlm_password(224)
 check_ntlm_password: mapped user is: [SAITAMA]\[]@[HD11106]
[2010年11月30日 13:01:22, 3] smbd/service.c:find_service(286)
 checking for home directory fukuda gave /home/fukuda
[2010年11月30日 13:01:22, 3] param/loadparm.c:lp_add_home(2676)
 adding home's share [fukuda] for user 'fukuda' at '/home/fukuda'
[2010年11月30日 13:01:22, 3] smbd/msdfs.c:get_referred_path(633)
 get_referred_path: |fukuda| in dfs path \ews003.XXX.XXX.co.jp\fukuda is not a
dfs root.
[2010年11月30日 13:01:22, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(739)
 Got user=[SA70721] domain=[SAITAMA] workstation=[HD11106] len1=24 len2=24
[2010年11月30日 13:01:22, 3] smbd/map_username.c:map_username(155)
 Mapped user SA70721 to fukuda
[2010年11月30日 13:01:22, 3] auth/auth.c:check_ntlm_password(221)
 check_ntlm_password: Checking password for unmapped user
[SAITAMA]\[SA70721]@[HD11106] with the new password interface
[2010年11月30日 13:01:22, 3] auth/auth.c:check_ntlm_password(224)
 check_ntlm_password: mapped user is: [SAITAMA]\[fukuda]@[HD11106]
[2010年11月30日 13:01:22, 3] libsmb/namequery.c:get_dc_list(1489)
 get_dc_list: preferred server list: ", DC01"
[2010年11月30日 13:01:22, 3] libsmb/namequery_dc.c:rpc_dc_name(194)
 rpc_dc_name: Returning DC DC01 (XXX.XXX.XXX.160) for domain SAITAMA
[2010年11月30日 13:01:22, 3] libsmb/cliconnect.c:cli_start_connection(1542)
 Connecting to host=DC01
[2010年11月30日 13:01:22, 3] lib/util_sock.c:open_socket_out(874)
 Connecting to 160.196.170.160 at port 445
[2010年11月30日 13:01:22, 3] rpc_client/cli_pipe.c:rpc_pipe_bind(2187)
 rpc_pipe_bind: Remote machine DC01 pipe \NETLOGON fnum 0x4005 bind request
returned ok.
[2010年11月30日 13:01:22, 3] rpc_client/cli_pipe.c:rpc_pipe_bind(2187)
 rpc_pipe_bind: Remote machine DC01 pipe \NETLOGON fnum 0x4006 bind request
returned ok.
[2010年11月30日 13:01:22, 2] auth/auth.c:check_ntlm_password(319)
 check_ntlm_password: Authentication for user [SA70721] -> [fukuda] FAILED
with error NT_STATUS_NO_SUCH_USER
[2010年11月30日 13:01:22, 3] smbd/error.c:error_packet_set(106)
 error packet at smbd/sesssetup.c(105) cmd=115 (SMBsesssetupX)
NT_STATUS_LOGON_FAILURE
** security = serverの場合(アクセスできる場合)
[2010年11月30日 11:39:29, 3] lib/util_sock.c:open_socket_out(874)
 Connecting to XXX.XXX.XXX.160 at port 445
[2010年11月30日 11:39:29, 3] auth/auth_server.c:server_cryptkey(79)
 connected to password server DC01
[2010年11月30日 11:39:29, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(739)
 Got user=[SA70721] domain=[SAITAMA] workstation=[HD11106] len1=24 len2=24
[2010年11月30日 11:39:29, 3] smbd/map_username.c:map_username(155)
 Mapped user SA70721 to fukuda
[2010年11月30日 11:39:29, 3] auth/auth.c:check_ntlm_password(221)
 check_ntlm_password: Checking password for unmapped user
[SAITAMA]\[SA70721]@[HD11106] with the new password interface
[2010年11月30日 11:39:29, 3] auth/auth.c:check_ntlm_password(224)
 check_ntlm_password: mapped user is: [EWS003]\[fukuda]@[HD11106]
[2010年11月30日 11:39:29, 3] auth/auth_sam.c:check_sam_security(281)
 check_sam_security: Couldn't find user 'fukuda' in passdb.
[2010年11月30日 11:39:29, 3] auth/auth.c:check_ntlm_password(270)
 check_ntlm_password: smbserver authentication for user [SA70721] succeeded
[2010年11月30日 11:39:29, 2] auth/auth.c:check_ntlm_password(309)
 check_ntlm_password: authentication for user [SA70721] -> [fukuda] ->
[fukuda] succeeded
[2010年11月30日 11:39:29, 3] smbd/password.c:register_vuid(280)
 User name: fukuda Real name: Fukuda Masamichi(meiteccast)
[2010年11月30日 11:39:29, 3] smbd/password.c:register_vuid(301)
 UNIX uid 56848 is UNIX user fukuda, and will be vuid 103
[2010年11月30日 11:39:29, 3] smbd/password.c:register_vuid(332)
 Adding homes service for user 'fukuda' using home directory: '/home/fukuda'
[2010年11月30日 11:39:29, 3] param/loadparm.c:lp_add_home(2676)
 adding home's share [fukuda] for user 'fukuda' at '/home/fukuda'
[2010年11月30日 11:39:29, 3] lib/util.c:automount_lookup(1476)
 YP Key not found: while looking up "SA70721" in map "auto.home"
[2010年11月30日 11:39:29, 3] lib/util.c:automount_lookup(1477)
 using defaults for server and home directory
[2010年11月30日 11:39:29, 3] lib/util.c:automount_lookup(1476)
 YP Key not found: while looking up "SA70721" in map "auto.home"
[2010年11月30日 11:39:29, 3] lib/util.c:automount_lookup(1477)
 using defaults for server and home directory
[2010年11月30日 11:39:29, 3] lib/util.c:automount_lookup(1476)
 YP Key not found: while looking up "SA70721" in map "auto.home"
[2010年11月30日 11:39:29, 1] smbd/service.c:make_connection_snum(1033)
 hd11106 (172.24.80.236) connect to service fukuda initially as user fukuda
(uid=56848, gid=43973) (pid13323)
[2010年11月30日 11:39:29, 1] smbd/service.c:make_connection_snum(1033)
 hd11106 (172.24.80.236) connect to service fukuda initially as user fukuda
(uid=56848, gid=43973) (pid13323)
ログを見るとドメイン認証の場合も、windowsアカウントとLinuxアカウントのマッピング
はちゃんと行っているようです。
上記のログを比較すると次の部分が異なるようです。
secutiry = domainの場合
 check_ntlm_password: mapped user is: [SAITAMA]\[fukuda]@[HD11106]
security = serverの場合
 check_ntlm_password: mapped user is: [EWS003]\[fukuda]@[HD11106]
なお、既存のsambaサーバからは同じドメインコントローラのドメイン認証でsambaにアク
セスできています。
sambaのバージョンは、Version 2.0.10-ja-1.2(Linux)とVersion
2.0.7-ja-2.0(solaris)です。
sambaのバージョンが3になってことで、ドメイン認証によるsambaアクセスができなく
なってしまったのでしょうか?
できれば既存のsambaサーバと同じ認証方式を用いたいと考えています。
対応方法をご存知の方いらっしゃいましたらご教示宜しくお願いします。