2007年12月 7日

[samba-jp:19916]sambaからLDAP内ユーザ情報を検索する際の検索ベース

太田@NECです。

LDAP連携をしていたのですが、ちょっと気になる動作をしていたので、
その理由をどなたかご存じでないでしょうか。

現象: LDAP連携を行なう場合、ユーザ情報を検索するときには、
ldap suffix の値を使い、 ldap user suffix を使わない。
グループ情報を検索するときには ldap group suffix を使う。


Sambaバージョン: 3.0.24AX-6 (MIRACLE LINUX V4用)

LDAP上のユーザを利用するときに、ldap admin dn でbind操作を行なった
後、ユーザ情報を検索しに行きます。その時、最初にユーザ情報を検索
しますが、以下のように、ベースのDNを ldap suffix の値のみで検索
しています(LDAPサーバ上のldapのログ)。

conn=0 op=2 SRCH base="dc=ribbon" scope=2 deref=0 filter="(&(uid=x123456)(objectClass=sambaAccount))"
---------ここ

Dec 8 18:36:51 localhost slapd[852]: conn=0 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory pwdLastSet pwdCanChange pwdMustChange logonTime logoffTime kickoffTime cn sn displayName smbHome homeDrive scriptPath profilePath description userWorkstations rid primary
GroupID lmPassword ntPassword domain objectClass acctFlags modifyTimestamp modifyTimestamp uidNumber
Dec 8 18:36:51 localhost slapd[852]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Dec 8 18:36:51 localhost slapd[852]: daemon: activity on 1 descriptor
Dec 8 18:36:51 localhost slapd[852]: daemon: activity on:

その後、グループを検索するときには、

Dec 8 18:36:51 localhost slapd[852]: conn=0 op=3 SRCH base="cn=groups,dc=ribbon" scope=2
---------------------ここ
deref=0 filter="(&(?=undefined)(gidNumber=10001))"

Dec 8 18:36:51 localhost slapd[852]: conn=0 op=3 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Dec 8 18:36:51 localhost slapd[852]: conn=0 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=
Dec 8 18:36:51 localhost slapd[852]: daemon: activity on 1 descriptor

と、ldap group suffixの値を使っています。
これは正しい動作なのでしょうか。

なお、.confは下記のとおりです。

[global]
dos charset = CP932
unix charset = UTF-8
display charset = UTF-8
workgroup = SAMBA
netbios name = testsamba
# server string = %L : Samba %v on %h
passdb backend = ldapsam_compat:ldap://ldapserver
log file = /var/log/samba/log.%m
log level = 2
max log size = 500
dead time = 15
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
lm announce = No
preferred master = No
dns proxy = No
wins support = No
ldap suffix = dc=ribbon
ldap machine suffix = ou=Computers
ldap user suffix = cn=users
ldap group suffix = cn=groups
ldap admin dn = cn=sambaribbon,cn=users,dc=ribbon
ldap ssl = no
printing = bsd
lppause command = lpc hold %p %j
lpresume command = lpc release %p %j
queuepause command = lpc stop %p
queueresume command = lpc start %p
dos filetimes = Yes
dos filetime resolution = Yes
browseable = no

#ソース見ないとわかないかなあ...

--
太田 俊哉@NEC OSS開本 OSS推進センター OSS/LinuxソリューションG(芝.港.東京)
(samba-jp/ldap-jp Staff,mutt-j admin,analog-jp/samba-jp postmaster)

投稿者 xml-rpc : 2007年12月 7日 19:24
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67381
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。