LDAP上のUNIX(Linux)ユーザーアカウントをそのまま利用してSamba3にて

Windowsのドメイン参加およびユーザー認証を行いたいのですが何を
どのように設定すれば可能でしょうか?
現在、以下のような構成になっています。
既存OpenLDAP(UNIXユーザーアカウント)→新設OpenLDAP+Samba→WindowsXP(クライアント)
事情があって、ユーザーアカウントを新設LDAPに保存できないためバックエンドDBを
LDAPにして、既存LDAPを指定しています。
また、既存LDAP側の設定などを変更することも難しい状態です。
ユーザーは既存LDAP側でUNIXユーザーとして追加、変更されます。
以上、よろしくお願いします。

回答の条件
  • URL必須
  • 1人3回まで
  • 登録:2007/12/25 20:54:29
  • 終了:2007/12/29 19:40:42

回答(2件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472007/12/26 00:57:29

ポイント70pt

[samba-jp:19096] Re: SAMBA + LDAP

おそらく、新規に LDAP + Samba の環境構築に関しては調べられていると思いますし、有名な書籍もありますので、ここで説明することは無いと思うのですが、既存の LDAP アカウントからの移行となると、大きな問題がパスワードに関するアトリビュートの扱いです。

Samba で使うパスワード情報は、LDAP で一般的にパスワードとして使われる「userPassword」ではなく、「sambaNTPassword」「sambaLMPassword」という、いわば samba 専用アトリビュートに格納されます。そして、これらのアトリビュートには、生のパスワードが保存される訳ではなく、ハッシュ値が保存されます。しかもそのハッシュ値が、userPassword で使われる SHA-1 や MD5 では無く、それ用のハッシュ関数が使われます。

このため、既に userPassword に生のパスワードが保存されてないでハッシュ値で保存されている場合、理論上、sambaNTPassword や sambaLMPassword に設定されるべきパスワードのハッシュ値を決める事ができません。sambaNTPassword や sambaLMPassword を埋めるためには、何らかの形で生のパスワードが分かっていることが前提になります。

ということで、パスワードを含めた UNIX 用の LDAP アカウントをそのままの形で Samba で使うのには条件が付きますが、LDAP を使った Samba そのものに関しては下記のサイト参考になるかもしれません。

Windowsネットワーク用統合認証サーバー構築(OpenLDAP+Samba) - Fedoraで自宅サーバー構築

id:pbg4667

回答ありがとうございます。

まさにJULYさんがおっしゃっている「userPassword」を、いかに「sambaNTPassword」「sambaLMPassword」へ流用するか、もしくはSambaで「sambaNTPassword」「sambaLMPassword」を使用せず「userPassword」で認証を行うことができないかで悩んでおります。

既存LDAPは当方の管轄外のため手が出せず、なおかつアカウント情報の管理・更新は既存LDAPで行われるため、紆余曲折、さまざまな条件下の元、現在の構成で何とか運用そのものは行えそうなのですが、アカウントの管理の面で同期が取れないという点が最終的なネックになっております。

SSODも微妙なようですし、すべてのシステムが当方の管轄でしたらここまで悩む必要はないのですが…

gina.dllという手も視野に入れて考えているのですが、いまだ最善の手というのが見つかっておりません。

引き続きよろしくお願いいたします。

2007/12/26 01:21:24
id:ffmpeg No.2

ffmpeg回答回数1202ベストアンサー獲得回数92007/12/29 01:22:54

linuxとwindowsは別のOSです。アカウントの共有はできません。できたらセキュリティホールです。http://www

id:pbg4667

質問をよくお読みください。

2007/12/29 02:02:39
  • id:pbg4667
    追記します。
    以下の条件いずれかの場合でかまいませんので、必要な物、設定をお教えください。
    LDAP上のuserPasswordが平文で収納されている場合。
    Windowsが平文にて認証を行う場合。
    双方が平文の場合。
    以上、よろしくお願いします。
  • id:ffmpeg
    UNIXでパスワードが平文で格納されてるわけがないじゃろ。(笑)

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません