Samba日本語版の設定と運用のノウハウ 応用編 オープンソースまつり‘99 11/12(金) 15:30~17:30 Samba日本語版の設定と運用のノウハウ 応用編 たかはし もとのぶ http://home.monyo.com/ monyo@samba.gr.jp http://www.samba.gr.jp/
目次 講師紹介 ブラウジング機能の詳細 Windows 95/98 のログオンサーバ Windows NT ドメインとの連係 WINSサーバ/クライアント機能 リソースへのアクセス制御 その他 Microsoft,WindowsはMicrosoft Corporationの米国およびその他の国における商標または登録商標です。 その他の製品および会社名は、各社の登録商標又は商標です。
講師紹介 1993年 早稲田大学第一文学部哲学科卒業 同年 某大手SI会社に入社(^^; 1997 年 より、UNIX, NT を中心としたサポート業務を担当 1999年 日経Windows NT 1月号より、読者の疑問に答え るQ&Aコーナの執筆を開始 1999年 「SambaとNetatalkで快適ネットワーク」 SoftwareDesign (技術評論社) 1999年7月号掲載 1999年 11月日本Sambaユーザ会設立 監査幹事
ブラウジング機能の詳細[1] Windows NT Serverと同等の機能を保有 設定を誤ると被害が大きいので注意 domain master(PDCの役割(注)) preferred master(NT Serverの役割) local master(NTWS、95/98相当の役割) os level(OS毎の優先度を設定) 設定を誤ると被害が大きいので注意 ブラウザ関連の設定を正しく行うのは困難 必要な場合以外はデフォルト値で運用を推奨 (注) ドメインマスタブラウザを指す
ブラウジング機能の詳細[2] 推奨する設定 安全な設定(Samba のデフォルト) 誰もマスタブラウザになれない時のみ、マスタブラウザとして機能する。 パッケージによってはデフォルトを変更しているので注意(Cobalt Cube, Vine Linux等) domain master = No preferred master = No local master = Yes os level = 0
ブラウジング機能の詳細(3) ローカルマスタブラウザの設定例 Windows95/98/NTクライアント PDC ルータ Samba ログオン Windows95/98/NTクライアント PDC ドメインマスタブラウザ ルータ WINSサーバ ブラウズリストの問い合わせ ブラウズリストへの登録 Samba ローカルマスタブラウザ セグメント1 ファイル ブラウズリストのマージ セグメント2 ファイルアクセス
ブラウジング機能の詳細(4) ローカルマスタブラウザの設定例 [global] workgroup = <ドメイン名> domain master = No preferred master = Yes local master = Yes os level = 31(必ずローカルマスタブ ラウザになる) wins server = <IPアドレス> (PDC発見に必要)
Windows 9x のログオンサーバ(1) Windows 9x のドメインコントローラとして機能 移動プロファイル機能も利用可能 domain logons(機能を有効にする) logon path(移動プロファイル格納位置) logon script(ログオンスクリプト格納位置) logon home(ホームディレクトリの位置) 移動プロファイル機能も利用可能 NTなしで、擬似ドメイン環境を実現
Windows 9x のログオンサーバ(2) Windows 9x のログオンサーバの機能 基本的にドメインコントローラとして機能する ブラウズリストの問い合わせ ブラウズリストへの登録 (WINS 問い合わせ) Windows95/98クライアント Samba ドメインマスタブラウザ ファイル ファイルアクセス ログオン WINS サーバ
Windows 9x のログオンサーバ(3) ログオンサーバ の設定例 ログオンサーバに必要なブラウジングの設定 [global] workgroup = <ドメイン名> domain master = yes preferred master = yes local master = yes os level = 65 WINS Support = yes domain logons = yes logon script = glogin.bat logon path = \\%N\%U\profile logon home = \\%N\%U ログオンサーバに必要なブラウジングの設定 WINS サーバとして機能させる設定
NT ドメインとの連係機能(1) NT ドメインのクライアントとして機能 信頼関係ドメインのアカウントでもアクセス可 security = domain(機能を有効化) encrypt passwords = yes(暗号化パスワード) password server(ドメインコントローラの指定) 信頼関係ドメインのアカウントでもアクセス可 ユーザの自動作成、削除機能が使用可能 add user script(ユーザを自動追加) delete user script(ユーザを自動削除)
NT ドメインとの連係機能(2) NTドメインのクライアントとしての動作概要 メンバサーバとして機能する PDC ログオン PDC Windows95/98/NTクライアント ドメインマスタブラウザ SAM WINSサーバ ファイルアクセス Samba 認証要求 ブラウズリストの問い合わせ ブラウズリストへの登録 ファイル ユーザ情報の受信
NT ドメインとの連係機能(3) 事前に準備が必要 NTドメインクライアントの設定例 DOMAIN_MEMBER.txt を参照 [global] workgroup = <ドメイン名> security = domain encrypt passwords = yes password server = <ドメインコントローラ> add user script = /usr/samba/bin/useradd.sh %u
WINS サーバ/クライアント機能 WINSサーバ機能 WINSクライアント機能 WINS Support = Yes 複製機能はない NTのWINSサーバがあれば、そちらを使うこと WINSクライアント機能 WINS Server = <IPアドレス> WINS Support と WINS Server は同時に指定しないこと
リソースへのアクセス制御[1] ホスト単位でのアクセス制御(NTでは不可) 共有単位でのアクセス制御 hosts allow, hosts deny 共有単位でのアクセス制御 ユーザ、グループ単位でのアクセス制御 valid users, invalid users 読み込み専用共有の作成 NTの共有に対するアクセス権付与に相当 NTFS のアクセス権に相当するのは、UNIX上でのアクセス権になる
リソースへのアクセス制御[2] Windows 95/98/NTクライアント(user2がログオン中) Samba PC1 PC2 PC3 r/wアクセス Samba read onlyアクセス アクセス拒否 PC1 = NG ALL = OK 共有1 read only 共有2 user1 = read user2 = r/w ホスト単位のアクセス制御 共有単位のアクセス制御 ユーザ/グループ単位のアクセス制御 file1 -rw-rw-r-- file2 -r--r--r-- UNIX ファイルシステムでのアクセス権
リソースへのアクセス制御(3) プロジェクトの共有フォルダの設定例 [project1] valid users = +project1 hosts allow = 192.168.1.0/255.255.255.0 writeable = yes force group = project1 create mask = 664 directory mask = 775
リソースへのアクセス制御(4) 認証されないアカウントのマッピング機能 Guestアカウントを有効にするのと同様 Samba の既定では、認証されないアカウントは一切リソースにアクセスできない guest ok にしていても、不可能 認証されないアカウントの処理方法を変更 map to guest(認証に失敗した場合の対応) guest account(ゲストアカウントを指定) Guestアカウントを有効にするのと同様 セキュリティの問題が発生する可能性あり
リソースへのアクセス制御(5) アーカイブディレクトリの設定例 認証されなくても、読み取り専用アクセスが可能 [global] map to guest = Bad User guest account = nobody [pub] guest ok = yes guest only = yes guest account = ftp writeable = no
ユーザftpとしてファイルにアクセス(guest account = ftp, guest only = yes) リソースへのアクセス制御[6] map to guest パラメータの動作概要 map to guest 無設定 map to guest 設定 Samba にアカウント があるuser1 Samba にアカウント がないuser2 Samba にアカウント がないuser2 user1として認証 user2として認証失敗 map to guest アクセス拒否 nobodyとして認証 pub共有に接続 ユーザftpとしてファイルにアクセス(guest account = ftp, guest only = yes)
その他 詳細はブースで!! CAP, netatalk との連係機能 ファイル名変換機能 遠隔からのパスワード変更機能 時刻サーバ機能 PDC機能(ベータ版) その他多数 詳細はブースで!!