!== !== NT-Guest-Access.txt for Samba release 2.0.7 26 Apr 2000 !== 翻訳者: 高橋基信 更新日: 1999/03/04 ============================================================================ >以下の現象は既知の問題か、もう修正されているか、それとも私の設定の >問題なのか分からないのですが...。 > >会社の PDC をパスワード認証に使っております。基本的にはうまく動作して >いるのですが、一点だけ気になる点があります。 > >Samba サーバと PDC との認証プロセスで、必ずパススルー認証の試みが一回 >失敗しているのです。 > >最初のパススルー要求は、不正なユーザパスワード(1F1F1F......) で行われ >ます。PDC からの拒否 SMB (SMB reject)により、Samba サーバは、直ちに正 >しい暗号化された Bell Master ドメインのユーザパスワードを使って、二回 >目の要求を送ります。 > >最初に行われる、不正な要求の試みをなくせれば良いのですが。 発生した事象は、故意に行われています。 問題は、Samba が "security = server" に設定されていて、Windows NT がパ スワードサーバとして使われている時の動作に、Windows NT のバージョンに よってはバグがある事です。(注: "security = domain" の場合は、この問題 は発生しません) NT サーバは、不正なパスワードを用いたユーザのログオン要求を guest ロ グオン要求として扱い、ユーザを guest ユーザとしてログオンさせます。 バグというのは、NT サーバが Samba サーバに対して、この処理が行われた事 を通知しない事です (プロトコル中で、こうした時に使用する為にある guest ビットを設定しない)。このため Samba サーバは、ユーザが誤ったパス ワードを入力し、guest としてログオンしてしまったか、正しいユーザ名とパ スワードを入力して、正しいユーザとしてログオンを行ったかを知る事ができ ないのです。 ユーザが、不正なパスワードと "root" ユーザ名を使って Samba サーバにア クセスしようとした時の事を考えると、このバグの重大性が認識できると思い ます。 Samba サーバは、NT サーバが正しく認証してくれると信じているのです... このため、Samba は故意に不正なパスワードを使ったログオン要求を行い、 その要求が成功するかどうかをチェックしています。 もし成功してしまうのであれば、その NT サーバは、上記のバグのために "security = user" の認証には使えない事になります。もし失敗すれば、そ のサーバは大丈夫です。 NT のイベントログで、わざと行った不正な接続要求を見る事ができますが、 現在の所、このバグがある NT サーバを使わない事以外に、回避策はなさそう です。