私が引き継ぐことになった元 IT 担当者は、Windows からログインするユーザーを認証するために OpenLDAP サーバーを使用する Fedora サーバー上に Samba 共有を設定していました。
最近、新しい従業員が加わり、LDAP のさまざまな手順を踏んでシステムに追加しました。しかし、そのログインを使用して Samba 共有にアクセスできないようです。LDAP 設定とグループを調べ、新しいユーザー アカウントを既存のアカウントと比較していますが、このユーザーが Samba 共有にアクセスできるようにするために LDAP でどのような設定が必要なのかわかりません。
もちろん、元バカな IT 担当者は何も文書化せず、ネットワーク上にさまざまな奇妙な設定をしています。そのため、ここで何を探せばいいのかわからず困っています。
どこから始めればいいでしょうか?
Samba 共有をホストしているサーバーでは、当然 samba が実行されていますが、smbldap-tools もロードされています。
答え1
承認だけでなく認証にも LDAP を使用していることは確かですか? LDAP でパスワードを変更した場合、共有では古いパスワードまたは新しいパスワードでのログインが許可されますか? これは重要な質問です。パスワードを変更しても Samba サーバーでパスワードが取得されない場合、Samba サーバーはローカルに設定された Samba ユーザーを使用して、LDAP でそのグループのメンバーシップを確認している可能性があります。
答え2
pdbeditSamba コントローラ上では、開始するには良い場所です。 にユーザーが表示されますかpdbedit -L? を使用してnet rpc users同様の操作を行うこともできますが、これはパスワード データベースを直接照会するのではなく、ネットワーク経由で機能します。
ユーザーが出力に表示されない場合は、必要な属性が存在しないことを意味します。私たちは smbldap-tools を使用していないので、 または を使用できますsmbpasswd -a $usernameがpdbedit -a $username、そうではない場合もあります。
ユーザーが出力に表示されたら、スタックの上位から調べ始めます。 でユーザーとしてログインできますかnet -U $username rpc share?
ログ ファイルも役に立つことがよくあります。ログ ファイルは、マシン名と IP アドレスの下の /var/log/samba/ に保存されます。 を使用して、smbcontrol smbd debug次のような適切なデバッグ セクションを表示できますpassdb。
答え3
Windows用のLDAP GUIツールがあります。ldapadmin. これは、Samba に必要な LDAP ディレクトリのデータを、人間が読めるシンプルな形式で表示します。エントリ内のすべての詳細を確認することもできます。
また、smb.conf の LDAP 構成を確認しましたか? カスタマイズされている場合、どの LDAP 属性が使用されているかがわかります。
答え4
Openldap / Samba ドメイン コントローラーに精通していない場合は注意が必要です。設定を壊してしまうと、誰もドメインにログインできなくなる可能性があります。
通常、ほとんどの人は smbldap-tools を使用します...つまり、/opt/IDEALX/...smbldap-useradd -m -a username ; smbldap-passwd username ; smbpasswd usernane です。
samba/openldap にユーザーを追加するツールは多数あります。「net」ツールは samba スイートに含まれています。これらは汎用ツールであり、DOS で使用できる Windows ツールと同様に使用できるように設計されています。