オープンソースまつり‘99 11/12(金) 15:30~17:30 Samba日本語版の設定と 運用のノウハウ 応用編 たかはし もとのぶ http://home.monyo.com/ [email protected] http://www.samba.gr.jp/ 目次 講師紹介 ブラウジング機能の詳細 Windows 95/98 のログオンサーバ Windows NT ドメインとの連係 WINSサーバ/クライアント機能 リソースへのアクセス制御 その他 Microsoft,WindowsはMicrosoft Corporationの米国およびその他の国における商標または登録商標です。 その他の製品および会社名は、各社の登録商標又は商標です。 講師紹介 1993年 早稲田大学第一文学部哲学科卒業 同年 某大手SI会社に入社(^^; 1997 年 より、UNIX, NT を中心としたサポート業務を担当 1999年 日経Windows NT 1月号より、読者の疑問に答え るQ&Aコーナの執筆を開始 1999年 「SambaとNetatalkで快適ネットワーク」 SoftwareDesign (技術評論社) 1999年7月号掲載 1999年 11月日本Sambaユーザ会設立 監査幹事 ブラウジング機能の詳細[1] Windows NT Serverと同等の機能を保有 • domain master(PDCの役割(注)) • preferred master(NT Serverの役割) • local master(NTWS、95/98相当の役割) • os level(OS毎の優先度を設定) 設定を誤ると被害が大きいので注意 • ブラウザ関連の設定を正しく行うのは困難 • 必要な場合以外はデフォルト値で運用を推奨 (注) ドメインマスタブラウザを指す ブラウジング機能の詳細[2] 推奨する設定 • 安全な設定(Samba のデフォルト) • 誰もマスタブラウザになれない時のみ、マスタ ブラウザとして機能する。 domain master preferred master local master os level = = = = No No Yes 0 • パッケージによってはデフォルトを変更してい るので注意(Cobalt Cube, Vine Linux等) ブラウジング機能の詳細(3) ローカルマスタブラウザの設定例 ログオン Windows95/98/ NTクライアント PDC ルータ ブラウズリスト の問い合わせ ブラウズリスト への登録 Samba ローカルマスタ ブラウザ ファイル セグメント2 ドメインマスタ ブラウザ WINSサーバ ファイルアクセス セグメント1 ブラウズリスト のマージ ブラウジング機能の詳細(4) ローカルマスタブラウザの設定例 [global] workgroup domain master preferred master local master os level wins server = = = = = <ドメイン名> No Yes Yes 31(必ずローカルマスタブ ラウザになる) = <IPアドレス> (PDC発見に必要) Windows 9x のログオンサーバ(1) Windows 9x のドメインコントローラとして機能 • domain logons(機能を有効にする) • logon path(移動プロファイル格納位置) • logon script(ログオンスクリプト格納位置) • logon home(ホームディレクトリの位置) 移動プロファイル機能も利用可能 NTなしで、擬似ドメイン環境を実現 Windows 9x のログオンサーバ(2) Windows 9x のログオンサーバの機能 • 基本的にドメインコントローラとして機能する ブラウズリストの問い合わせ Windows95/98 クライアント ブラウズリストへの登録 (WINS 問い合わせ) Samba ファイルアクセス ログオン ドメインマスタ ブラウザ ファイル WINS サーバ Windows 9x のログオンサーバ(3) ログオンサーバ の設定例 [global] ログオンサーバ workgroup = <ドメイン名> に必要なブラウ domain master = yes ジングの設定 preferred master = yes local master = yes os level = 65 WINS サーバとし WINS Support = yes て機能させる設定 domain logons = yes logon script = glogin.bat logon path = \\%N\%U\profile logon home = \\%N\%U NT ドメインとの連係機能(1) NT ドメインのクライアントとして機能 • security = domain(機能を有効化) • encrypt passwords = yes(暗号化パスワード) • password server(ドメインコントローラの指定) 信頼関係ドメインのアカウントでもアクセス可 ユーザの自動作成、削除機能が使用可能 • add user script(ユーザを自動追加) • delete user script(ユーザを自動削除) NT ドメインとの連係機能(2) NTドメインのクライアントとしての動作概要 • メンバサーバとして機能する Windows95/98/ NTクライアント ログオン PDC ドメインマスタ ブラウザ SAM WINSサーバ ファイルアクセス ブラウズリスト の問い合わせ ブラウズリスト への登録 Samba ファイル 認証要求 ユーザ情報の受信 NT ドメインとの連係機能(3) 事前に準備が必要 • DOMAIN_MEMBER.txt を参照 NTドメインクライアントの設定例 [global] workgroup = <ドメイン名> security = domain encrypt passwords = yes password server = <ドメインコントローラ> add user script = /usr/samba/bin/useradd.sh %u WINS サーバ/クライアント機能 WINSサーバ機能 • WINS Support = Yes • 複製機能はない • NTのWINSサーバがあれば、そちらを使うこと WINSクライアント機能 • WINS Server = <IPアドレス> • WINS Support と WINS Server は同 時に指定しないこと リソースへのアクセス制御[1] ホスト単位でのアクセス制御(NTでは不可) • hosts allow, hosts deny 共有単位でのアクセス制御 • ユーザ、グループ単位でのアクセス制御 – valid users, invalid users • 読み込み専用共有の作成 • NTの共有に対するアクセス権付与に相当 – NTFS のアクセス権に相当するのは、UNIX上でのアク セス権になる リソースへのアクセス制御[2] Windows 95/98/NTクライアント(user2がログオン中) PC1 PC2 PC3 r/wアクセス Samba read onlyアクセス PC1 = NG ALL = OK ホスト単位の アクセス制御 共有1 read only 共有2 user1 = read user2 = r/w ユーザ/グループ単 位のアクセス制御 共有単位の アクセス制御 UNIX ファイルシス テムでのアクセス権 アクセス拒否 file1 -rw-rw-r-file2 -r--r--r-- リソースへのアクセス制御(3) プロジェクトの共有フォルダの設定例 [project1] valid users = +project1 hosts allow = 192.168.1.0/255.255.255.0 writeable = yes force group = project1 create mask = 664 directory mask = 775 リソースへのアクセス制御(4) 認証されないアカウントのマッピング機能 • Samba の既定では、認証されないアカウント は一切リソースにアクセスできない – guest ok にしていても、不可能 • 認証されないアカウントの処理方法を変更 – map to guest(認証に失敗した場合の対応) – guest account(ゲストアカウントを指定) Guestアカウントを有効にするのと同様 • セキュリティの問題が発生する可能性あり リソースへのアクセス制御(5) アーカイブディレクトリの設定例 • 認証されなくても、読み取り専用アクセスが可能 [global] map to guest guest account [pub] guest ok guest only guest account writeable = Bad User = nobody = = = = yes yes ftp no リソースへのアクセス制御[6] map to guest パラメータの動作概要 map to guest 無設定 Samba にアカウント があるuser1 user1として認証 Samba にアカウント がないuser2 map to guest 設定 Samba にアカウント がないuser2 user2として認証失敗 map to guest アクセス拒否 nobodyとして認証 pub共有に接続 ユーザftpとしてファイルにアクセス(guest account = ftp, guest only = yes) その他 CAP, netatalk との連係機能 ファイル名変換機能 遠隔からのパスワード変更機能 時刻サーバ機能 PDC機能(ベータ版) その他多数 詳細はブースで!!
© Copyright 2024 ExpyDoc
