----経緯---
・Samba ADを立てた
・Windows7向けのリモートサーバ管理ツールでユーザとグループを設定した
・Windows7で複数のアカウントからログインできることを確認した
・Samba ファイルサーバについてADと認証連携を組んだ
(厳密にはwinbindを先に導入してからファイル共有を設定した)
・CentOSへADアカウントでログインできることを確認した
・ゲスト共有フォルダを設定して読み書きを確認した
・ADのアカウント毎のホームディレクトリが自動生成され読み書きできることを確認した
あとはADのグループ毎の共有設定と確認。それから、テストではfirewalld、iptables、SELinuxを外しているのでこれを適宜あてていったん終了...のハズだったのだが。
ここで、ひとつ問題が発生(直前のエントリ)。
Windowsドメインに参加しているPCにおいて、
Microsoftの仕様によりドメインユーザがアクセスできないため、
Microsoft推奨の対策に従ってコンピュータを
ドメインからいったん外し(WORKGROUPへ)たところ、
従来のドメインユーザのプロファイルやファイルサーバのアクセス権が正常に動作しなくなった、ということなのだが。従来のアカウントではグループ毎の共有設定がままならないので、テストアカウントとグループを作り直さねばならない。
dango(団子) ドメインローカルセキュリティグループ
ユーザmitarashi(みたらし) パスワードHitokushiha-4ko(ひと串は4個)
同様に kurian(栗餡) iroha-Kuchinashi(色は梔子)
arare(霰) ドメインローカルセキュリティグループ
hinaarare(雛あられ) (ookiinodake-Tabetai)大きいのだけ食べたい
smb.confを編集して、mkdir /home/dango、chmod 770 /home/dango。
で。
まず、mitarashiでログインしdangoへアクセスしてみたがアクセス拒否、ネットワークパスワードの入力を求められた。これ以前に、mitarashiのホームディレクトリが
\\FS01\mitarashiにアクセスできません
という状況。wbinfo -u では、先のアカウントはすべて問題無いように見える。ホームディレクトリへのアクセス時のエラーは、
NT Status: STATUS_NOT_FOUND (0x0000225)
で、「オブジェクトが見つかりませんでした。」な類の意味であるようだ。(参照:http://accelart.jp/blog/NTSTATUSErrMsgJa.html)
これがもしもdangoに発生しているならばsmb.confで手動設定しているので作業ミスの可能性は非常に高いのだが、ADと認証連携で自動的に生成されるアカウント毎のホームディレクトリで!? しかも、Windowsの「ネットワーク(コンピュータ)」でGUIにブラウザブルなフォルダ。一方でguest ok な共有は読み書き可能であるので、ADとの認証連携の一部の問題か。
全く的外れかもしれないが、Windowsクライアントを、問題発生前のシステムイメージで復元してみる。
ところが、クライアント側の問題とは全く別に、ファイルサーバ側でそもそも、新しいいくつかのアカウントのホームディレクトリが存在しないことに気付いた。Windowsクライアントからは、ファイルサーバの中にあたかも存在するように見えているにも関わらず。
ディレクトリツリー上は存在するが、実体が無い!??
さて、これはどうしたものか。
0 件のコメント:
コメントを投稿