Windowsのドメイン参加およびユーザー認証を行いたいのですが何を
どのように設定すれば可能でしょうか?
現在、以下のような構成になっています。
既存OpenLDAP(UNIXユーザーアカウント)→新設OpenLDAP+Samba→WindowsXP(クライアント)
事情があって、ユーザーアカウントを新設LDAPに保存できないためバックエンドDBを
LDAPにして、既存LDAPを指定しています。
また、既存LDAP側の設定などを変更することも難しい状態です。
ユーザーは既存LDAP側でUNIXユーザーとして追加、変更されます。
以上、よろしくお願いします。
[samba-jp:19096] Re: SAMBA + LDAP
おそらく、新規に LDAP + Samba の環境構築に関しては調べられていると思いますし、有名な書籍もありますので、ここで説明することは無いと思うのですが、既存の LDAP アカウントからの移行となると、大きな問題がパスワードに関するアトリビュートの扱いです。
Samba で使うパスワード情報は、LDAP で一般的にパスワードとして使われる「userPassword」ではなく、「sambaNTPassword」「sambaLMPassword」という、いわば samba 専用アトリビュートに格納されます。そして、これらのアトリビュートには、生のパスワードが保存される訳ではなく、ハッシュ値が保存されます。しかもそのハッシュ値が、userPassword で使われる SHA-1 や MD5 では無く、それ用のハッシュ関数が使われます。
このため、既に userPassword に生のパスワードが保存されてないでハッシュ値で保存されている場合、理論上、sambaNTPassword や sambaLMPassword に設定されるべきパスワードのハッシュ値を決める事ができません。sambaNTPassword や sambaLMPassword を埋めるためには、何らかの形で生のパスワードが分かっていることが前提になります。
ということで、パスワードを含めた UNIX 用の LDAP アカウントをそのままの形で Samba で使うのには条件が付きますが、LDAP を使った Samba そのものに関しては下記のサイト参考になるかもしれません。
回答ありがとうございます。
まさにJULYさんがおっしゃっている「userPassword」を、いかに「sambaNTPassword」「sambaLMPassword」へ流用するか、もしくはSambaで「sambaNTPassword」「sambaLMPassword」を使用せず「userPassword」で認証を行うことができないかで悩んでおります。
既存LDAPは当方の管轄外のため手が出せず、なおかつアカウント情報の管理・更新は既存LDAPで行われるため、紆余曲折、さまざまな条件下の元、現在の構成で何とか運用そのものは行えそうなのですが、アカウントの管理の面で同期が取れないという点が最終的なネックになっております。
SSODも微妙なようですし、すべてのシステムが当方の管轄でしたらここまで悩む必要はないのですが…
gina.dllという手も視野に入れて考えているのですが、いまだ最善の手というのが見つかっておりません。
引き続きよろしくお願いいたします。