質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.00%

LDAPサーバの構築【Samba4内蔵LDAPデータベース】

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 2,423

KAPPA

score 15

前提・実現したいこと

Samba4ADDCを構成し、さらに内蔵のLDAPデータベース(LDB)を利用しようと考えています。LDBのデータベース(DIT)を設計するにあたって、デフォルトの「Userエントリー」にユーザアカウントのパスワードを含む詳細な情報を登録しようと考えています。また、その上で登録した情報を他のノードから伸びるエントリー(別エントリー)にぶら下げることができないかと考えています。こうすることで、パスワードなどユーザ情報に変更があった場合、「Userエントリー」のみ修正することで、関係するエントリー情報を一括で修正しようと考えています。イメージとしてはRDBの「マッピング」に近いと思います。
また、この運用方法は複数の業務を兼務するユーザのホームディレクトリの参照先問題を解決するために考えました。

「Sambaのすべて」「LDAP/OpenLDAPによるユーザ管理」などの専門書や「OSSTech」さんのPDFなどを色々と参考にし、「別名エントリ」を利用すれば上記の仕様を満たせるのではないかと考えたのですが、情報が多くありません。

具体的な質問内容は
LDAPの「別名エントリ」の設定を教えてください
になるのですが、上記の運用方法が正しいかも自身がありません。

LDAPの効率的な運用方法と合わせて、「別名エントリ」および上記の仕様を満たす方法をご教授して頂きたいと思います。

どうぞよろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • 退会済みユーザー

    2016/04/27 17:53

    こちらの質問が他のユーザから「プログラミングに関係がない質問」という指摘を受けました
    teratailでは、プログラミングに関して困っていることがないと思われる質問を推奨していません。
    「質問を編集する」ボタンから編集を行い、具体的に困っている理由や解決したいことを明確に記入していただくと、回答が得られやすくなります。

回答 2

checkベストアンサー

0

質問の内容を理解できていないので、わかる範囲で回答します。

samba4にパッケージされているLDAPについては触ったことがないので、通常のLDAPにおけるエイリアスの作成方法になりますが、オブジェクトを作成するという点では大した差異はないと思います。

以下のようなオブジェクトを作成すればよいのではないでしょうか

dn: "エイリアスオブジェクト名"
objectclass: alias
objectclass: extensibleobject
ou (or uid,cn など適宜設定): "エイリアスオブジェクトの識別名"
aliasedobjectname: "参照先のオブジェクト名"

質問の内容は以下と認識していますが合っていますか?

Usersオブジェクト以下にADアカウントの情報が格納されている。
別業務でもこのLDAPを参照したく、別名のオブジェクト識別名で参照したい。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/28 13:05

    コメント、またご回答ありがとうございます。

    「objectclass: alias 」なんてものがあるのですね!知りませんでした。
    実際、運用に適しているかどうかは分からないのですが、これを糸口に再度自分で調査していきたいと思います。ありがとうございました。

    また、質問の意図は以下のようになります。

    jp--co--example-----「Userエントリ」 #---
    + |
    +---group1---user ←--| #エイリアス
    +             |
    +---group2---user   ←--| #エイリアス

    >Usersオブジェクト以下にADアカウントの情報が格納されている。
    はい、その通りの考えです。
    >別業務でもこのLDAPを参照したく、別名のオブジェクト識別名で参照したい。
    正確には、一つのLDAPデータベース中に複数の業務DIT(大元のDN:example.co.jpは同じ)が形成されているが、各業務に携わるユーザアカウント情報を「Usersオブジェクト」以下のエントリから参照したい。ということです。また、SambaのLDAPも一般のLDAPもほとんど変わりません。
    分かりづらい説明になってしまい申し訳ありません。

    「objectclass: alias」を教えて頂いただけでも大変助かりましたが、
    また何か補足でご教授して頂けるようなご見識がありましたらどうぞよろしくお願いします。

    キャンセル

  • 2016/04/28 15:24

    すいません。私の理解が追いついていません。
    > Userエントリー」のみ修正することで、関係するエントリー情報を一括で修正しようと考えています。
    上記とありますが、このような手法で修正を望んでいるため、別名エントリとしたいとかご教示頂けると理解が追いつくかもしれません。

    ご提示頂いたコメントからはエイリアスにする必要性が感じられなく、また当該データの修正にはWindowsサーバツールを用いることが出来ないのでは?と感じています。

    キャンセル

  • 2016/05/13 14:57

    返信が遅くなってしまい、大変申し訳ありません。

    sambaおよびLDAPの構成で分からないことが多く、手探りで進めている状況です。
    >エイリアスにする必要性が感じられなく
    ご指摘の通りかもしれません。というのは、当方も何が最適なのか分からないため明確に判断することができません。
    ただ、イメージとしてはユーザのアカウント情報(名前やID、所属)が変更になった場合、大元である「Userエントリ」のみを修正すれば、他のエントリで共有されている同ユーザのアカウント情報を修正しないで済むようになるのではと考えた結果です。

    ひとまず、色々とご指摘してくださいましたover様をベストアンサーにしたいと思います。
    ありがとうございました。

    キャンセル

0

Active Directoryの実装はsamba4からになりますので、”samba4”で検索すれば多くの情報が得られるかと思います。下記コンテンツではsamba4のインストールからAD構築、DNS設定、userの追加方法、windowsクライアントのドメイン参加までの手順が載っています。

Samba4でのActive Directory構築

クライアントがドメインに参加できれば、パスワード変更などはWindowsクライアント操作になります。
ただし実際にイントラネット内で利用するにはDNSへの登録などネックになるかも知れません。
ご参考までに。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/28 09:16

    返信ありがとうございました。

    教えて頂きましたサイトは参考にしてあり、Samba自体のHost(samba4ADDC)およびClient(windows,Linux)側の設定もすでに構成してあります。

    今回ご教授して頂きたいのは、LDAPデータベースの設計方法になります。
    何卒、よろしくお願いします。

    キャンセル

  • 2016/04/28 10:26

    コメント、了解いたしました。質問を読み返しましたところ、兼務のユーザのホームディレクトリについて書かれています。これはA業務専用/B業務専用のディレクトリがそれぞれ有り、兼務の方には両業務の専用ディレクトリの参照権を与えたい(これを効率的に管理したい)イメージでしょうか。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.00%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる