さて、漸く佳境へ入って参りました。
ドメイン0でLDAPサーバの設定が完了したので、ドメインUの認証をドメイン0のLDAPサーバで行います。
まずはLinuxから。
# aptitude install libnss-ldap libpam-ldap ldap-utils
初期設定の質問に答えて/etc/nsswitch.confでldapを参照するように書き換える。
で、/etc/pam.d以下を編集しようとしたら。。。既に書き換わってる!
ドメインUの方はsid使ってるんですよ。
すげー。
pam.dの設定しないでいいじゃん。
sufficientは推奨しないらしくて使っていない。
理由は、LDAP認証が通っただけでOKとしたくないアプリもあるからだそうだ。
いわれてみればそうだ。
一応設定をさらす。
# grep ^[^#] common-*
common-account:account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
common-account:account [success=1 default=ignore] pam_ldap.so
common-account:account requisite pam_deny.so
common-account:account required pam_permit.socommon-auth:auth [success=2 default=ignore] pam_unix.so nullok_secure
common-auth:auth [success=1 default=ignore] pam_ldap.so use_first_pass
common-auth:auth requisite pam_deny.so
common-auth:auth required pam_permit.socommon-password:password [success=2 default=ignore] pam_unix.so obscure md5
common-password:password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
common-password:password requisite pam_deny.so
common-password:password required pam_permit.so
common-password:password optional pam_gnome_keyring.socommon-session:session [default=1] pam_permit.so
common-session:session requisite pam_deny.so
common-session:session required pam_permit.so
common-session:session required pam_unix.so
common-session:session optional pam_ldap.so
common-session:session optional pam_ck_connector.so nox11
pamの方の設定はインストールするだけで終わっちゃったよ。
で、/etc/ldap/ldap.confを設定してLDAPサーバをみるようにする。
BASE dc=waterblue,dc=net
URI ldap://192.168.1.x
みえるかテスト。
# ldapsearch -x
見える。一瞬で終わってしまった。
で、次にWindowsをドメイン参加させようとしたんだが、うまくいかない。
smbldap-adduser -w でマシンを登録して smbldap-adduser -aでWindowsユーザとうろくして、Windows側からドメインに参加しようとしてもうまくいかない。
完全につまったのでここまで。
手がかりは以下のエラーログ。
[2009/06/14 15:37:27, 0] lib/smbldap.c:smbldap_open(1029)
smbldap_open: cannot access LDAP when not root
とりあえず権限はこんな感じ。
# net -U administrator rpc rights list
SeMachineAccountPrivilege Add machines to domain
SeTakeOwnershipPrivilege Take ownership of files or other objects
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeRemoteShutdownPrivilege Force shutdown from a remote system
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeDiskOperatorPrivilege Manage disk shares
なにが悪いんだろうか。
「ドメインUをドメイン0のLDAPサーバで認証させる」への1件のフィードバック