2007年12月26日

[samba-jp:19939]SambaのActiveDirectory連携について


お世話になります。深瀬と申します。

下記、環境でsambaとActiveDirectoryの連携を試みてはいるのですが、
ドメイン参加することが出来ません。

【環境】
Red Hat Enterprise Linux ES release 4 (Nahant Update 6)

samba-3.0-25b-0.4E6(rpmパッケージ)
samba3-3.0.28-35(途中でsamba-3.0-25b-0.4E6からアップデート実施)(rpmパッケージ)
samba3.0.28(source)
krb5-devel-1.3.4-54

sambaサーバ:LDAP2.testldap.local
ActiveDirectory:ad1.testldap.local(Windows2003R2)

sambaサーバの参照DNSはad1.testldap.localとなり、
DNSには、ldap2.testldap.localの正引き、逆引きのレコードを
登録しています。

kinit administrator@xxxxxと実行すると
チケットを取れていることは確認できるのですが、
一度、kdestoryでチケットキャッシュを消して(消さなくても)
「net ads join -U administrator」を実行すると

[root@xxxxx ~]# net ads join -U administrator
administrator's password:
[2007/12/22 09:29:56, 0] libsmb/cliconnect.c:cli_session_setup_spnego(857)
Kinit failed: Client not found in Kerberos database
Failed to join domain: Improperly formed account name
[root@xxxxx ~]#

また、testjoinを実施してみると
net ads testjoin -U administrator
LDAP2$@TESTLDAP.LOCAL's password:
[2007/12/22 09:27:45, 0] libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password LDAP2$@TESTLDAP.LOCAL failed: Preauthentication failed
Join to domain is not valid: Logon failure
[root@xxxxx ~]#

となります。

net ads infoでは、ActiveDirectoryサーバーの情報を
確認することが出来ます。

[root@xxxxx ~]# net ads info
LDAP server: 172.16.60.103
LDAP server name: ad1.testldap.local
Realm: TESTLDAP.LOCAL
Bind Path: dc=TESTLDAP,dc=LOCAL
LDAP port: 389
Server time: 水, 26 12月 2007 12:19:43 JST
KDC server: 172.16.60.103
Server time offset: 0

上記現象は、AD上にldap2コンピュータアカウントを先に作った場合、
作らなかった場合、双方とも同じ現象です。

また、上記記述しております各sambaのバージョンで
同じ現象です。

設定の問題かと思うのですが、どこがいけないのかわからず
対処法をお教えいただけないでしょうか?

どうぞよろしくお願い致します。

【smb.conf】
[global]
workgroup=testldap
realm=TESTLDAP.LOCAL
preferred master = no
server string = Samba
security=ADS
encrypt passwords=yes
log level = 3
max log size = 50
netbios name=ldap2
dos charset=CP932
unix charset=UTF-8
socket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
winbind enum users = yes
winbind enum groups = yes
winbind use default domain=yes
winbind cachetime=15
winbind separator=@
idmap uid=1000-50000
idmap gid=10000-50000
template homedir=/home/%U
template shell=/bin/false
password server=ad1.testldap.local
obey pam restrictions=yes

[homes]
comment=HomeDirectories
browseable=no


【krb5.conf】
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = TESTLDAP.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
TESTLDAP.LOCAL = {
kdc = ad1.testldap.local:88
admin_server = ad1.testldap.local:749
default_domain = testldap.local
}

[domain_realm]
.testldap.local = TESTLDAP.LOCAL
testldap.local = TESTLDAP.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

以上、よろしくお願い致します。


**☆……*……………*☆……………**…☆…**☆……**…☆*……**☆
株式会社ネットマークス
西日本支社 西日本技術統括部
西日本第三技術部
深瀬 尚子
 〒541-0041 大阪市中央区北浜4丁目7番28号
       住友ビル2号館3階
TEL : 06-6204-9080
FAX : 06-6228-0048
E-MAIL : fukase.naoko@xxxxx

      最近肩こりがひどくありませんか?
     【セキュリティのツボキャンペーン中】
http://www.netmarks.co.jp/solution/security-campaign.html
*☆……**…☆*……**☆……*…………*☆***☆……**…☆*……**☆

投稿者 xml-rpc : 2007年12月26日 12:39
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/68006
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。