samba 日本語版の設定と運用のノウハウ 応用編
DESCRIPTION
オープンソースまつり ‘ 99 11/12( 金 ) 15:30 ~ 17:30. Samba 日本語版の設定と運用のノウハウ 応用編. たかはし もとのぶ http://home.monyo.com/ [email protected] http://www.samba.gr.jp/. 目次. 講師紹介 ブラウジング機能の詳細 Windows 95/98 のログオンサーバ Windows NT ドメインとの連係 WINS サーバ / クライアント機能 リソースへのアクセス制御 - PowerPoint PPT PresentationTRANSCRIPT
SambaSamba 日本語版の設定日本語版の設定と運用のノウハウ と運用のノウハウ 応応用編用編
オープンソースまつり‘ 99 11/12( 金 ) 15:30 ~ 17:30
たかはし もとのぶたかはし もとのぶhttp://home.monyo.com/http://home.monyo.com/
[email protected]@samba.gr.jp
http://www.samba.gr.jp/http://www.samba.gr.jp/
たかはし もとのぶたかはし もとのぶhttp://home.monyo.com/http://home.monyo.com/
[email protected]@samba.gr.jp
http://www.samba.gr.jp/http://www.samba.gr.jp/
目次目次 講師紹介講師紹介 ブラウジング機能の詳細ブラウジング機能の詳細 Windows 95/98Windows 95/98 のログオンサーバのログオンサーバ Windows NTWindows NT ドメインとの連係ドメインとの連係 WINSWINS サーバサーバ // クライアント機能クライアント機能 リソースへのアクセス制御リソースへのアクセス制御 その他その他
Microsoft,WindowsMicrosoft,Windows はは Microsoft CorporationMicrosoft Corporation の米国およびその他の国における商標または登録商標での米国およびその他の国における商標または登録商標です。す。その他の製品および会社名は、各社の登録商標又は商標です。 その他の製品および会社名は、各社の登録商標又は商標です。
講師紹介講師紹介
19931993 年 早稲田大学第一文学部哲学科卒業年 早稲田大学第一文学部哲学科卒業 同年 某大手同年 某大手 SISI 会社に入社会社に入社 (^^;(^^; 1997 1997 年 より、年 より、 UNIX, NT UNIX, NT を中心としたサポート業を中心としたサポート業
務を担当務を担当 19991999 年 日経年 日経 Windows NT 1Windows NT 1 月号より、読者の疑問月号より、読者の疑問
に答えに答え る る Q&AQ&A コーナの執筆を開始 コーナの執筆を開始 19991999 年 「年 「 SambaSamba とと NetatalkNetatalk で快適ネットワーク」で快適ネットワーク」
SoftwareDesign SoftwareDesign (技術評論社) (技術評論社) 19991999 年年 77月号掲載月号掲載
19991999 年 年 1111 月日本月日本 SambaSamba ユーザ会設立 監査幹事ユーザ会設立 監査幹事
ブラウジング機能の詳細ブラウジング機能の詳細 [1][1]
Windows NT ServerWindows NT Server とと同等の機能を保有同等の機能を保有• domain master(PDCdomain master(PDC の役割の役割 (( 注注 ))))• preferred master(NT Serverpreferred master(NT Server の役割の役割 ))• local masterlocal master (( NTWSNTWS 、、 95/9895/98 相当の役割)相当の役割)• os level(OSos level(OS 毎の優先度を設定毎の優先度を設定 ))
設定を誤ると被害が大きいので注意設定を誤ると被害が大きいので注意• ブラウザ関連の設定を正しく行うのは困難ブラウザ関連の設定を正しく行うのは困難• 必要な場合以外はデフォルト値で運用を推奨必要な場合以外はデフォルト値で運用を推奨
( 注 ) ドメインマスタブラウザを指す
ブラウジング機能の詳細ブラウジング機能の詳細 [2][2] 推奨する設定推奨する設定
• 安全な設定安全な設定((SambaSamba のデフォルトのデフォルト))• 誰もマスタブラウザになれない時のみ、マスタブラウザとして機能する。誰もマスタブラウザになれない時のみ、マスタブラウザとして機能する。
• パッケージによってはデフォルトを変更しているので注意パッケージによってはデフォルトを変更しているので注意((Cobalt Cube, Vine LinuxCobalt Cube, Vine Linux等等))
domain master = Nodomain master = Nopreferred master = Nopreferred master = Nolocal master = Yeslocal master = Yesos level = 0os level = 0
ルータルータ
ブラウジング機能の詳細ブラウジング機能の詳細 (3)(3)
ローカルマスタブラウザの設定例ローカルマスタブラウザの設定例
PDCPDCWindows95/98/NT クライアント ドメインマスドメインマス
タブラウザタブラウザWINSWINS サーバサーバ
ブラウズリスブラウズリストの問い合わトの問い合わせせ
ブラウズリスブラウズリストへの登録トへの登録
ブラウズリスブラウズリストのマージトのマージ
ログオンログオン
SambaSamba
セグメントセグメント22
セグメンセグメントト 11
ファイルファイル
ファイルアクセファイルアクセスス
ローカルマスローカルマスタブラウザタブラウザ
ブラウジング機能の詳細ブラウジング機能の詳細 (4)(4)
ローカルマスタブラウザの設定例ローカルマスタブラウザの設定例
[global][global]workgroup = <workgroup = < ドメイン名ドメイン名 >>domain master = Nodomain master = Nopreferred master = Yespreferred master = Yeslocal master = Yeslocal master = Yesos level = 31os level = 31(( 必ずローカルマスタ必ずローカルマスタブブ ラウザにな ラウザになるる ))winswins server =server = <IP<IP アドレスアドレス >> (PDC(PDC発見に必要発見に必要 ))
Windows 9xWindows 9x のログオンサーのログオンサーババ (1)(1) Windows 9xWindows 9x のドメインコントローラとしのドメインコントローラとし
て機能て機能• domain logons(domain logons( 機能を有効にする)機能を有効にする)• logon path(logon path(移動移動プロファイルプロファイル格納位置格納位置 ))• logon script(logon script( ログオンスクリプトログオンスクリプト格納位置格納位置 ))• logon home(logon home( ホームディレクトリホームディレクトリの位置の位置 ))
移動プロファイル機能も利用可能移動プロファイル機能も利用可能 NTNT なしで、擬似ドメイン環境を実現なしで、擬似ドメイン環境を実現
Windows 9xWindows 9x のログオンサーバのログオンサーバ(2)(2) Windows 9xWindows 9x のログオンサーバの機能のログオンサーバの機能
•基本的基本的にドメインコントローラとして機能するにドメインコントローラとして機能する
SambaSamba
WINS WINS サーバサーバ
Windows95/98クライアント
ブラウズリストの問い合わブラウズリストの問い合わせせ
ブラウズリストへの登録ブラウズリストへの登録
(WINS (WINS 問い合わせ問い合わせ ))
ログオログオンン
ドメインマスドメインマスタブラウザタブラウザ ファイルファイルファイルアクセファイルアクセ
スス
Windows 9xWindows 9x のログオンサーバのログオンサーバ(3)(3) ログオンサーバログオンサーバ の設定例 の設定例
[global][global]workgroup = <workgroup = < ドメイン名ドメイン名 >>domain master = yesdomain master = yespreferred master = yespreferred master = yeslocal master = yeslocal master = yesos level = 65os level = 65WINS Support = yesWINS Support = yesdomain logons = yesdomain logons = yeslogon script = glogin.batlogon script = glogin.batlogon path = \\%N\%U\profilelogon path = \\%N\%U\profilelogon home = \\%N\%Ulogon home = \\%N\%U
ログオンサーバログオンサーバに必要なブラウに必要なブラウジングの設定ジングの設定
WINS WINS サーバとサーバとして機能させるして機能させる設定設定
NTNT ドメインとの連係機能ドメインとの連係機能 (1)(1) NTNT ドメインのクライアントとして機能ドメインのクライアントとして機能
• security = domainsecurity = domain(( 機能を有効化機能を有効化 ))• encrypt passwords = yesencrypt passwords = yes((暗号化暗号化パスワードパスワード ))• password serverpassword server(( ドメインコントローラのドメインコントローラの指定指定 ))
信頼関係信頼関係ドメインドメインののアカウントアカウントでもでもアクセスアクセス可可
ユーザの自動作成、削除機能が使用可能ユーザの自動作成、削除機能が使用可能• add user script(add user script( ユーザを自動追加ユーザを自動追加 ))• delete user script(delete user script( ユーザユーザを自動削除を自動削除 ))
ドメインマスドメインマスタブラウザタブラウザ
WINSWINS サーバサーバ
NTNT ドメインとの連係機能ドメインとの連係機能 (2)(2) NTNTドメインのクライアントとしての動作概要ドメインのクライアントとしての動作概要
• メンバサーバとして機能するメンバサーバとして機能する
SAMSAM
認証要求認証要求
PDCPDCWindows95/98/NT クライアント
ブラウズリスブラウズリストの問い合わトの問い合わせせ
ブラウズリスブラウズリストへの登録トへの登録
ログオンログオン
ファイルアクセファイルアクセスス
ファイルファイル
SambaSamba
ユーザ情報の受信ユーザ情報の受信
NTNT ドメインとの連係機能ドメインとの連係機能 (3)(3) 事前に準備が必要事前に準備が必要
• DOMAIN_MEMBER.txt DOMAIN_MEMBER.txt を参照を参照 NTNT ドメインクライアントドメインクライアントの設定例の設定例
[global][global]workgroup = <workgroup = < ドメイン名ドメイン名 >>security = domainsecurity = domainencrypt passwords = yesencrypt passwords = yespassword server = <password server = < ドメインコントローラドメインコントローラ >>add user script = add user script = /usr/samba/bin/useradd.sh %u/usr/samba/bin/useradd.sh %u
WINS WINS サーバサーバ // クライアントクライアント機能機能
WINSWINSサーバ機能サーバ機能• WINS Support = YesWINS Support = Yes•複製機能はない複製機能はない• NTNTののWINSWINSサーバがあれば、そちらを使うことサーバがあれば、そちらを使うこと
WINSWINSクライアント機能クライアント機能• WINSWINS Server = <IPServer = <IPアドレスアドレス>>• WINS Support WINS Support と と WINS Server WINS Server は同時に指定しないことは同時に指定しないこと
リソースへのアクセス制御リソースへのアクセス制御[1][1]
ホスト単位でのアクセス制御ホスト単位でのアクセス制御 ((NTNT では不では不可可 ))• hosts allow, hosts denyhosts allow, hosts deny
共有単位でのアクセス制御共有単位でのアクセス制御• ユーザ、グループ単位でのアクセス制御ユーザ、グループ単位でのアクセス制御
– valid users, invalid usersvalid users, invalid users
• 読み込み専用共有の作成読み込み専用共有の作成• NTNT の共有に対するアクセス権付与に相当の共有に対するアクセス権付与に相当
– NTFSNTFS のアクセス権に相当するのは、のアクセス権に相当するのは、 UNIXUNIX上での上でのアクセス権になるアクセス権になる
リソースへのアクセス制御リソースへのアクセス制御[2][2]
Windows 95/98/NTWindows 95/98/NT クライアントクライアント ((user2user2 がログオがログオン中ン中 ))
共有共有 22user1user1 == readreaduser2user2 == r/wr/w
共有共有 22user1user1 == readreaduser2user2 == r/wr/w
r/wr/w アクセスアクセス
ユーザユーザ // グループグループ単位のアクセス制単位のアクセス制御御
SambaSambaread onlyread only アクセアクセスス
共有共有 11read onlyread only
共有共有 11read onlyread only
共有単位の共有単位のアクセス制アクセス制御御
PC1 = NGPC1 = NGALL = OKALL = OK
PC1 = NGPC1 = NGALL = OKALL = OK
PC1PC1 PC2PC2 PC3PC3
ホスト単位のホスト単位のアクセス制御アクセス制御
file1 -rw-rw-r--file1 -rw-rw-r--file2 -r--r--r--file2 -r--r--r--
UNIX UNIX ファイルシファイルシステムでのアクセステムでのアクセス権ス権
アクセス拒アクセス拒否否
リソースへのアクセス制御リソースへのアクセス制御(3)(3)
プロジェクトの共有フォルダの設定例プロジェクトの共有フォルダの設定例
[project1][project1]valid users = +project1valid users = +project1hosts allow = 192.168.1.0/255.255.255.0hosts allow = 192.168.1.0/255.255.255.0writeable = yeswriteable = yesforce group = project1force group = project1create mask = 664create mask = 664directory mask = 775directory mask = 775
認証されないアカウントのマッピング機認証されないアカウントのマッピング機能能• SambaSamba の既定では、認証されないアカウンの既定では、認証されないアカウン
トは一切リソースにアクセスできないトは一切リソースにアクセスできない– guest okguest ok にしていても、不可能にしていても、不可能
•認証されないアカウントの処理方法を変更認証されないアカウントの処理方法を変更– map to guest(map to guest(認証に失敗した場合の対応認証に失敗した場合の対応 ))– guest account(guest account(ゲストアカウントを指定ゲストアカウントを指定 ))
GuestGuest アカウントを有効にするのと同様アカウントを有効にするのと同様• セキュリティの問題が発生する可能性ありセキュリティの問題が発生する可能性あり
リソースへのアクセス制御リソースへのアクセス制御(4)(4)
リソースへのアクセス制御リソースへのアクセス制御(5)(5)
アーカイブディレクトリの設定例アーカイブディレクトリの設定例• 誰でも、誰でも、 ftpftp ユーザとして読み取り専用アクセスが可能ユーザとして読み取り専用アクセスが可能• アカウントがなくてもアクセスできるアカウントがなくてもアクセスできる
[global][global]map to guest = Bad Usermap to guest = Bad Userguest account = nobodyguest account = nobody[pub][pub]guest ok = yesguest ok = yesguest only = yesguest only = yesguest account = ftpguest account = ftpwriteable = nowriteable = no
リソースへのアクセス制御リソースへのアクセス制御[6][6]map to guest パラメータの動作概要
Samba Samba にアカウントにアカウントがあるがある user1user1
map to guest map to guest 無設定無設定Samba Samba にアカウントにアカウント
がないがない user2user2Samba Samba にアカウントにアカウント
がないがない user2user2
map to guest map to guest 設設定定
user1user1 として認証として認証 user2user2 として認証失敗として認証失敗
map to guestmap to guestnobodynobody として認証として認証
pubpub共有に接続共有に接続
ユーザユーザ ftpftp としてファイルにアクセスとしてファイルにアクセス ((guest account = ftp, guest only = yesguest account = ftp, guest only = yes))
アクセス拒否アクセス拒否
その他その他
CAP, netatalkCAP, netatalk との連係機能との連係機能 ファイル名変換機能ファイル名変換機能遠隔からのパスワード変更機能遠隔からのパスワード変更機能 時刻サーバ機能時刻サーバ機能 PDCPDC 機能機能 ((ベータ版ベータ版 )) その他多数その他多数
詳細はブースで詳細はブースで !!!!