samba+ldapでPDCを設定したときに、ドメインに参加するところで失敗することが何度かあった。そんなときの確認ポイント。

LDAPに登録されたSIDとsambaサーバのSIDが異なる

smbldap-toolsなどからLDAPに登録されたアカウント群のSIDが、動作しているsambaサーバのSIDを確認する。

サーバ側では以下のコマンドを実行する

# net getlocalsid

LDAPではsambaDomainNameのsambaSIDを調べる。異なる場合には

# net setlocalsid [SID値]

を実行してあわせる。

smb.confの設定

“ldap group suffix”とか”ldap machine suffix”、または”admin users”の設定を見る。

ケアレスミスであるかも。

ログを見る

slad.confでは”loglevel”を256にする。smb.confでは”log level”を3にする。個人的にはsambaのログは読みにくい。slapdの256でのログはLDAPでどんなデータの参照があるのか比較的流れを読みやすいと感じた。

slapdで書き込み権限

上記ログを見ていて気づいたこと。samba+LDAPでは特にLDAPのデータを書き換えられなくてもsambaの認証に問題は発生しない。しかしドメイン参加のときにはou=Computers(ホストの情報)の更新が発生する。そのため、書き込み権限がなかったり参照専用のslaveサーバを使用していると、ドメイン参加に失敗する。しかもsamba側ではそのログが出ないんだな。まあそんな構成にしているのがヘンと言われればそうなのだけど。

つまり、ここでハマったということですよ。