OS アカウント、SASL アプリケーションともう一つ、Samba の認証統一も目標の一つ。でも、こちらは結論が出た。結局のところ、擬似的な統一しかできない。

原理的に無理かなぁ、とは思ってました(^^;。結局、samba 用には samba 用のスキーマで、ntPassword と lmPassword を格納しないとだめなので、結局、samba に付いてくるスクリプトを使って、samba 側からパスワードを変更して、その結果で userPassword を更新することになる。

これだと、直接 LDAP 側からパスワードを更新したらアウト！ LDAP 側で DBMS のトリガーのように、「これが更新される時にはこの処理を自動的に行う」みたいなことをしないと、パスワードが違う状態は容易に作られてしまう。

いっそのこと LDAP のバックエンドに PostgreSQL でも使って、そっちでトリガー処理みたいなことをやらせた方がよいのかなぁ。でも、DBMS まで登場させるのはちょっとなぁ...。

あとは究極的には Kerberos。O'reilly から本が出るし、Kerberos に挑戦してみたいけど、でも、Windows のアプリケーションで Kerberos に対応したものは皆無だしなぁ。メールソフトで SASL GSSAPI に対応している、なんて見たことないし...。