Sambaファイルサーバ活用テクニック

Sambaユーザ会セミナ
2002/12/7(土)
Sambaファイルサーバ活用テクニック
~Samba インストール後にしておきたい設定~
たかはし もとのぶ (高橋基信)
日本Sambaユーザ会 幹事(副代表)
[email protected]
http://www.samba.gr.jp/
講師紹介 – たかはしもとのぶ
• 日本Sambaユーザ会幹事
– Sambaドキュメントの翻訳
– Samba日本語版の作成(Samba 2.0系列)
• 各所にて講演や雑誌の執筆をおこなう
– Software Design,UNIX USER各誌他
• Microsoft 技術者としても活動
– 日経各誌で記事執筆、講演など
– アンドキュメンテッドMicrosoftネットワーク執筆
• http://www.monyo.com/
All Rights Reserved, Copyright. Samba Users Group Japan 2002
セミナーの概要
•
•
•
•
Sambaの機能紹介
Sambaの設定方法
Sambaの設定(全体設定)
Sambaの設定(共有設定)
–
–
–
–
–
ユーザホーム機能
ゲストアクセス機能
一般の共有(グループ内共有)機能
アクセス制御機能
その他の設定
Microsoft,WindowsはMicrosoft Corporationの米国およびその他の国における商標または登録商標です。
その他の製品および会社名は、各社の登録商標又は商標です。
All Rights Reserved, Copyright. Samba Users Group Japan 2002
セミナーのねらい
• 対象となる方
– Sambaのインストールはできる
– Sambaでファイルサーバを提供する必要がある
• 目的
– 個人、部門サーバを立ち上げる手助けになる事
– Samba 2.2系列を対象(日本語版以外もOK)
• デモ
– Red Hat Linux 7.3
– Samba 2.2.7
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Sambaとは
• Windows NT 互換のサーバ機能を提供
– ファイル、印刷サーバをはじめ、各種の機能を提供
– 各種UNIX互換OS(Linux, FreeBSD等)上で動作
• オープンソース(GPL準拠)
– 誰でもソースの解析や、改良が可能
– 無償で入手が可能
• 実績がある
– 企業内導入も多数
– 各種Linuxに標準添付。HPやSGIでも正式サポート
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Samba機能紹介
• ファイル、プリンタサーバ機能の実行
• Windows NTの
サーバと同様
• クライアントPC
の設定変更不要
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Samba機能紹介
• Samba のあるネットワーク
ファイル/プリンタサーバ
名前解決(WINS)
Samba PDC
ファイル
ブラウジング
ログオン(PDC)
Windows クライアント
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Windows NTサーバを全廃
• 国際大学様
NTの度重なるダウンに耐えかねて…
– Plamo Linux 1.4.1,2.0alpha、 samba-2.0.4a,2.0.6を使用
– CPU:PentiumIII 500MHz メモリ:256MB ディスク:約50GB
– CPU:Celeron 466MHz メモリ:128MB ディスク:約20GB
• ユーザ数:登録利用者:70人
• クライアント: 約40台
ドメインコントローラ ドメインログオン
ファイルサーバ
WINSサーバ
...
ログオンスクリプト
Sambaサーバ
All Rights Reserved, Copyright. Samba Users Group Japan 2002
移動プロファイル
Windows 95/98 クライアント
Sambaの実力
• 互換性が不充分ではないか?
– 100%互換ではないが、通常の運用では問題なし
• 日本語対応は?
– 細かい点で問題があるがSamba日本語版で対応
• Windows 2000/XP 等新製品/機能への対応は?
– 最新のSambaでは対応
– 専任の担当者が開発、サポートの中核にいる
• 性能面の問題
– 全く問題なし
All Rights Reserved, Copyright. Samba Users Group Japan 2002
日本語の利用について
• 基本的には問題なし
– 日本語のファイル/ディレクトリ名は古くから対応
– 日本語の共有名はSamba 2.0.7以降で対応
– 日本語版以外でも、日本語の利用は可能
• 日本語処理の問題点
– 日本語の保存形式(EUC,SJIS,CAP,HEXなど - 一長一短)
– 「SJISの正規化」問題(Unicode と SJIS の変換ロジック)
– 外字、機種依存文字の扱い
– Samba日本語版では解決!
All Rights Reserved, Copyright. Samba Users Group Japan 2002
性能面の比較
• 1CPU 1LANカードの同一ハードウェアでは
Linuxの方が高速
• http://www.zdnet.com/sr/stories/issue/0,4537,2196106,00.html
All Rights Reserved, Copyright. Samba Users Group Japan 2002
初期導入コスト
• Samba + Linux は、圧倒的に有利
– Windows NT Server のライセンス費用が不要
– Client Access License(CAL)が不要
OS(5ライセンス)
Samba+Linux
クライアント(500ライセンス)
(TurboLinux Server)
Windows NT
\0
\1,000,000
\2,000,000
\3,000,000
\4,000,000
\5,000,000
\6,000,000
Samba と Windows NT との価格比較の一例
• ソフトウェアの初期導入コストの比較
All Rights Reserved, Copyright. Samba Users Group Japan 2002
なぜSambaを使うか?
• 明らかに低い初期導入コスト
• 信頼性の実績があるSamba+Linux
– コストをかけないと信頼性が低い Windows NT
• Sambaで管理コストが低減できる場合も多い
– もちろんケースバイケース
• 動作保証がないのは、結局Windows NT/2000も同じ
最終的にTCOの削減になるから
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Sambaユーザ会セミナ
2002/12/7(土)
Samba の設定方法
設定ファイルsmb.confと
SWAT(Samba Web管理ツール)
設定の前に
• UNIXマシンのネットワーク設定をチェック
– IP アドレス/ネットマスク
– hostsやDNS (重要!)
• コマンドラインからは
– ifconfigコマンド
– /etc/resolv.conf
– /etc/hosts
• 設定の確認は
– ping コマンドの活用
All Rights Reserved, Copyright. Samba Users Group Japan 2002
linuxconfでの設定例
ファイルのインストール先
• デフォルトとのパスの違いに注意する
ファイル名
説明
デフォルトインストール先
RedHat系Linuxでの
インストール先
smbclientなど
コマンド類
/usr/local/samba/bin
/usr/bin
smbd,nmbdなど
デーモン
/usr/local/samba/sbin
/usr/sbin
smb.confなど
設定ファイル
/usr/local/samba/lib
/etc
smbpasswdなど
セキュリティ情報
/usr/local/samba/private
/etc
log.*など
ログファイル
/usr/local/samba/var
/var/log/samba
browse.datなど
一時ファイル
/usr/local/samba/var/locks
/var/lock/samba
*.htmlなど
SWATファイル
/usr/local/samba/swat/help
/usr/share/swat/help
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Sambaの設定方法
• 基本的にはsmb.confファイルを編集
• SWATにより、Webベースでの設定が可能
– 設定自体はsmb.confと一対一対応
smb.confファイルの編集
All Rights Reserved, Copyright. Samba Users Group Japan 2002
SWATによる設定
smb.confの構成
• 基本構造
[セクション名]
パラメータ名 = パラメータ値
・
・
• 各セクションが共有に対応
• [global]、[homes]、[printers]
の特殊セクションがある
– [global]セクションだけは、
特定の共有に対応しない
All Rights Reserved, Copyright. Samba Users Group Japan 2002
smb.conf
[global]
Samba全体の設定
parameter = value
[homes]
ユーザホーム機能(後述)
の共有の設定
[printers]
OSで定義されたプリンタの為の
共有の設定
[share1]
share1共有の設定
[share2]
share2共有の設定
...
SWATの起動
• http://Sambaサーバ名:901/ で起動
• rootで認証する
• 右のような画面が現
れれば成功
– /etc/hosts.allowや
/etc/xinetd.d/swatの設定が
必要な場合が多い
– PAM対応のOSで、認証に失敗するときは、/etc/pam.d/samba
があるか確認
All Rights Reserved, Copyright. Samba Users Group Japan 2002
SWATのメニュー項目
• Sambaの設定と運用がWebで可能
– 各種ドキュメントの閲覧
• 「導入編」にあるドキュメントは必ず目を通しておこう
– Samba全体を設定する[global]セクションの設定
– 各ディスク共有の設定
• ユーザホーム機能を実現する [homes] セクションの設定
– 各プリンタ共有の設定
• OSが定義したプリンタを共有する [printers] セクションの設定
– Sambaデーモンの起動と終了
• アクセス状況の表示、セッションの強制切断も可能
– smb.confファイルの内容表示
– Sambaユーザの追加や削除、パスワードの変更
All Rights Reserved, Copyright. Samba Users Group Japan 2002
SWATの注意点
• smb.confのコメントを消去してしまう
smb.conf中のデフォルト値の設定も消去する
– 動作上支障はないが、smb.confを直接参照した時の
視認性が悪くなる
• Linux版のNetscapeで編集しないこと
– Netscapeのバグでsmb.confが破壊されることがある
• 平文パスワード認証のためセキュリティが低下
– ssh,stone等と組み合わせる
– xinetdやtcp_wrapperなどでアクセス制御する
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Sambaユーザ会セミナ
2002/12/7(土)
Samba の設定
「全体設定
」の設定
設定の心構え
• まずは簡単な設定で
– 設定できる項目は多いが、殆どはデフォルトでOK
– 動かないからといって焦っていろいろオプションをい
じらない
– セキュリティ関連の設定は動作を確認してから
– いきなりLANカード2枚の設定も止めたほうが無難
• ステップバイステップで焦らずに!
All Rights Reserved, Copyright. Samba Users Group Japan 2002
基本的な設定
• workgroup = <ワークグループ名>
– Windows側の設定にあわせる
• encrypt passwords = yes
– 暗号化パスワードを利用
– Samba独自のパスワードを設
定する必要がある
• os level = 1
– 「ネットワークコンピュータ」関
連のトラブルを避ける
• wins server = x.x.x.x
– ネットワーク上にWINSサーバが存在
している場合は設定
SWATでの設定(合成図)
デフォルトから修正が必要な個所
All Rights Reserved, Copyright. Samba Users Group Japan 2002
セキュリティモードの設定
• security = user(ユーザ認証モー
ド)
– ユーザ単位のセキュリティを実現
– Sambaマシン上のユーザ情報で認証
する
• その他の値もあるが、今回は
security=userで解説
– NTと連携する場合は、serverや
domainも考慮するとよい
– shareの利用は基本的に推奨
できない
SWATでの設定(合成図)
デフォルト設定のままでよい
All Rights Reserved, Copyright. Samba Users Group Japan 2002
セキュリティモードの設定
• 各セキュリティモードの特徴
セキュリティモード
認証の特徴
主な利用対象
share(共有認証モード)
共有単位の認証(UNIX上の固定ユーザ情報)
認証を行わないか、特殊な利用を行う構成
user(ユーザ認証モード)
ユーザ単位の認証(UNIX上のユーザ情報)
Sambaマシン単体でサーバとして機能する構成
server(サーバ認証モード)
ユーザ単位の認証(別のNTサーバのユーザ情報)
Sambaサーバ同士で認証を共有する構成
domain(ドメイン認証モード)
ユーザ単位の認証(NTドメインのユーザ情報)
NTドメインのメンバサーバとして機能する構成
All Rights Reserved, Copyright. Samba Users Group Japan 2002
日本語機能の設定
• 「詳細表示」モードで設定する
• client codepage = 932
– 日本語利用を指定
「詳細表示」で詳細モードにしておく
• coding system = EUC
– UNIX上に日本語ファイル名をEUC
で書き込む
– 書き込めないファイル名を運用対
処できるのであれば、無難
• coding system はどの方式も
一長一短
– 次のスライドを参照
– 今回はEUCの場合を解説
SWATでの設定
必ず設定を確認すること
All Rights Reserved, Copyright. Samba Users Group Japan 2002
日本語機能の設定
• 各文字コード設定の特徴
coding system
特徴
euc
UNIX上で日本語のファイル名を表示できる
一部のSJIS 固有の文字は使えない(EUC3で対応)
(EUC方式)
sjis
(シフトJIS方式)
Windowsとのファイル名の互換性が最大になる
SJIS非対応のUNIXでは問題が発生することがある
cap
MacintoshファイルサーバのCAPと互換性がある
(CAPと互換性のある方式) ファイル名がASCII文字で表現されるので判読困難
hex
ファイル名がASCII文字だけの為、UNIXとの互換性が最大になる
(独自のエンコード方式) ファイル名がASCII文字だけで表現されるので判読困難
All Rights Reserved, Copyright. Samba Users Group Japan 2002
マルチホームでの注意点
• LANカードが複数枚あるときは、interfacesオプション
を利用する
– Sambaのデフォルトは1枚
のLANカードに対しての
み起動
10.168.2.0/24
Samba
192.168.1.1
smb.confの設定(該当部分のみ)
[global]
interfaces = 192.168.1.1/24 \
10.168.2.1/24
10.168.2.1
192.168.1.0/24
マルチホームの例
192.168.1.0/24と10.168.2.1/24の
ネットワークに接続されている
All Rights Reserved, Copyright. Samba Users Group Japan 2002
ブラウジングの設定
• 安易な設定は禁物
– os level を安易にあげるのは厳禁
• MSネットワークを破綻させる恐れあり
– domain master = yes はPDCと同じ注意
• 同一ドメインに複数台存在しないように注意
• 正しい設定には、MSネットワークの知識が必須
– ブラウジングはそもそも難しい
• ドメイン構成等と密接に関係
All Rights Reserved, Copyright. Samba Users Group Japan 2002
全体設定のまとめ
• ここまでの設定で生成されるsmb.confファイル
• この程度で十分実用
的な設定になる
• 最初はあまり凝らない
[global]
client codepage = 932
coding system = EUC
workgroup = SAMBA
security = user
encrypt passwords = yes
os level = 1
wins server = x.x.x.x
map to guest = Bad User
smb.confファイルに記述された内容
map to guestについては後述
All Rights Reserved, Copyright. Samba Users Group Japan 2002
Sambaユーザ会セミナ
2002/12/7(土)
Sambaの設定
「共有設定
」の設定
共有の作成
• smb.confでは新たなセクションを作成
• SWATでは「SHARES(共有設定)」から行う
smb.conf
・・・
[public]
新規セクションの作成
共有名を入力後
「新規共有作成」を押す
All Rights Reserved, Copyright. Samba Users Group Japan 2002
ユーザホーム機能の概要
• ユーザのホームディレクト(ユーザ専用ディレクトリ)を自
動的に共有する機能
– ユーザ毎に専用の共有を提供可能
– 他人がサーバにアクセスしても表示されない
設定により表示したり、他人からアクセス不可能にしたりすることも可能
smb.conf
[homes]
comment = %U’s share
browseable = No
Sambaサーバ
All Rights Reserved, Copyright. Samba Users Group Japan 2002
monyo
¥¥samba\monyo
¥¥samba\suzuki
suzuki
ユーザホーム機能の設定
• ユーザのホームディレクトリを自動的に公開
[homes]
browseable = No ←[homes]自体は不可視にする
writeable = Yes ←書き込み可能にする
valid users = %S ←所有者以外のアクセスを禁止する場合
comment %U’s Home Share ←コメント(任意)
– 必ずbrowseable = Noにする
– (基本的に)pathパラメータは設定しない
デフォルトでは、自分以外の
ホームディレクトリも
¥¥server\username
形式でアクセス可能
All Rights Reserved, Copyright. Samba Users Group Japan 2002
ユーザホーム機能の設定
• 「.」ファイルを公開したくない場合
– hide dot files = yes にして隠しファイルにする
隠しファイルを表示する設定だと表示されてしまう
– veto filesを使う
[homes]
「.」から始まるファイルへのアクセス
...
を禁止する(/.*/とすると親ディレ
veto files = /.??*/ ← クトリへのアクセスができなくなる)
– ホームディレクトリの位置を変更する
[homes]
...
path = %H/smbdir
All Rights Reserved, Copyright. Samba Users Group Japan 2002
~/smbdir以下を公開することで、ホ
ームディレクトリ直下の「.」から始ま
← るファイルへのアクセスを回避する
ゲストアクセス機能の概要
• 認証されないアカウントは原則接続できない
– guest ok = yesだけではゲストアクセスできない
Sambaサーバに接続する時点で認証が必要
Sambaサーバ
smb.conf
monyo
[public]
guest ok = yes
共有に接続する時点では、
何らかのユーザとして認証されてしまう
• ゲストアクセス機能
– 認証できないユーザのアクセスをゲストアクセスとして認証する機能
All Rights Reserved, Copyright. Samba Users Group Japan 2002
ゲストアクセスの設定
• 認証されないアカウントは原則接続できない
– guest ok = yesだけではゲストアクセスできない
• map to guest = Bad User
– 存在しないユーザからのアクセスを
ゲストアクセスとみなす
– 存在しないユーザからのアクセスを
許可しない場合はNeverにする
• guest ok = Yes/No
[global]
map to guest = Bad User
[public]
guest ok = yes
– (共有に対する)ゲストアクセスを許
可するならYes
• guest only = Yes/No
– (共有に対する)全員のアクセスを
ゲストアクセスとみなす場合はYes
All Rights Reserved, Copyright. Samba Users Group Japan 2002
smb.confファイル
ゲストアクセスの設定
• map to guestオプションの特徴
モード
特徴
Never
ゲストアクセスを許可しない。既定値
Bad User
認証しようとするユーザ名が無かった場合、ゲストアク
セスとして扱う。
Windows NTのGuestアカウントとほぼ同じ仕様
Bad Password
不正なパスワードの場合もゲストアクセスとして扱う。
ユーザがパスワードをタイプミスしたり、暗号化パスワ
ードを設定し忘れたりしていても、なにも警告されずに
アクセスが行われてしまう
All Rights Reserved, Copyright. Samba Users Group Japan 2002
ゲストアクセスの設定
• UNIXにアカウントがない場合も含め、全員が同じ権
限でアクセス(更新・参照)可能な共有
# mkdir –p /home/samba/public ←共有したいディレクトリを指定
# chmod 755 /home/samba/public
# chown smbguest /home/samba/public ←ユーザは予め作成しておく
– 全てのユーザがsmbguest
としてアクセスする
– writeable = no (read
にすれば読
み取り専用共有
only = yes)
All Rights Reserved, Copyright. Samba Users Group Japan 2002
smb.confの設定
[global]
map to guest = bad user
[public]
comment = Public Share
path = /home/samba/public
guest account = smbguest
writeable = Yes
guest only = Yes
guest ok = Yes
一般の共有
• path = <ディレクトリパス>
– 共有するディレクトリを設定
• writeable = Yes/No
– 書き込み可能ならYes
– UNIXで書込み権がない
ユーザは、Sambaで書き込
みを許可しても書き込めな
い
• comment = <文字列>
– 共有の説明を記述
• browseable = Yes/No
– 存在を隠したい時はNo
All Rights Reserved, Copyright. Samba Users Group Japan 2002
SWATでの設定
デフォルトから修正が必要な個所
一般の共有
• Sambaサーバにアカウントがあれば利用可能
# mkdir –p /home/samba/private ←共有したいディレクトリを指定
# chmod a+rwx /home/samba/private ←誰でも書き込み可能にする
– 予め共有するディレクトリを作成、適切なアクセス権
を割り当てる必要がある
[private]
path = /home/samba/private
comment = Private Share(Members only)
writeable = Yes ←書き込み可能にする
– 他人の作成したファイルは書き込みできない
All Rights Reserved, Copyright. Samba Users Group Japan 2002
一般の共有(グループ内共有)
• ファイルの所有グループに書き込み権を与える
• ファイルのグループを強制的に設定する
# mkdir –p /home/samba/group1 ←共有したいディレクトリを指定
# chmod 775 /home/samba/group1 ←グループ書き込み可能にする
# chgrp group1 /home/samba/group1 ←グループを設定する
smb.confの設定
– group1グループのアカ
ウントで作成したファイル
は、グループ内の別のア
カウントから書き込み可
• 別の設定でも実現可能
All Rights Reserved, Copyright. Samba Users Group Japan 2002
[group1]
path = /home/samba/group1
writeable = Yes
force group = group1
force create mode = 664
force directory mode = 775
アクセス制御機能の概要
Windows クライアント(user2がログオン中)
PC1
Samba
PC2
アクセス拒否
read onlyアクセス
r/wアクセス
共有1
read only
共有2
user1 = read
user2 = r/w
PC1 = NG
ALL = OK
ホスト単位の
アクセス制御
PC3
ユーザ/グループ単
位のアクセス制御
共有単位の
アクセス制御
UNIX ファイルシス
テムでのアクセス権
All Rights Reserved, Copyright. Samba Users Group Japan 2002
file1 -rw-rw-r-file2 -r--r--r--
IPアドレスでのアクセス制御の設定
• IPアドレス(ホスト名)ベースで、アクセス可能なホストを
制限することが可能
– hosts allow
• アクセスを許可するホストを規定
– hosts deny
• アクセスを拒否するホストを
指定
– ホスト単位、共有単位で設定す
ることが可能
• [global]セクションで設定
すると、ホスト単位でのアク
セス制御になる
All Rights Reserved, Copyright. Samba Users Group Japan 2002
smb.confの設定
[global]
...
hosts allow = 192.168.10.
[share]
path = /home/samba/share
writeable = Yes
hosts allow = 192.168.1.
読み書きレベルでのアクセス制御
• デフォルトのレベルを指定後、例外のユーザや
グループを個別に指定する
• read only (writeable)
[share1]
...
read only = yes
• write list = (ユーザのリスト)
write list = monyo, \
@admins
– 読み取り専用の共有に書き込み可
能なユーザ(グループ)のリスト
– 共有を読み取り専用にする(書き込
み可能にする)、デフォルトYes
• read list = (ユーザのリスト)
– 書き込み可能な共有に対して読み
取り専用でしかアクセスできない
ユーザ(グループ)のリスト
All Rights Reserved, Copyright. Samba Users Group Japan 2002
smb.confファイル
ユーザ単位でのアクセス制御
• 共有にアクセス可能なユーザを指定する
• valid users = (ユーザリスト)
– 共有にアクセス可能なユーザ(グ
ループ)のリスト
• invalid users =
(ユーザリス
ト)
– 共有にアクセスを拒否されるユーザ
(グループ)
[share1]
...
valid users = @user
invalid users = guest
admin users = monyo
• admin users = (ユーザリスト)
– 共有に対して、root権限でのファイ
ル操作が可能なユーザ(グループ)
All Rights Reserved, Copyright. Samba Users Group Japan 2002
smb.confファイル
ACL機能でのアクセス制御
• Samba 2.2系列以降で、ACLに対応したプラット
フォーム(Solaris、AIXなど)で可能
• 各ファイル(ディレクト
リ)に対して、Windows
と同様に複数のユー
ザに対するアクセス権
を設定可能
• デフォルトでACLが使
えるLinuxはない
All Rights Reserved, Copyright. Samba Users Group Japan 2002
アクセス制御のまとめ
• ホスト単位でのアクセス制御
– IPアドレスでのアクセス制御
• hosts allow, hosts deny
• 共有単位でのアクセス制御
– ユーザ、グループ単位でのアクセス制御
• valid users, invalid users
– 共有レベルでのアクセス制御
• read only, write list, read list
– IPアドレスでのアクセス制御
• ファイルシステムレベルでのアクセス制御
– 伝統的なアクセス権、ACL(サポートされているOSのみ)
All Rights Reserved, Copyright. Samba Users Group Japan 2002
アクセス制御の適用例
• アクセス不可、読み取りのみ、書き込み可能の
三段階でアクセスを制御する例
– 192.168.1.0/24からのみアク
セス可能
– usersグループのアカウ
ントは、読み取り、書き込
みともに可能
– guestグループのアカウ
ントは、読み取り可能
smb.confの設定
[share2]
...
valid users = @guests, \
@users
read only = yes
write list = @users
hosts allow = 192.168.1.
– それ以外のアカウントは、アクセス不可
All Rights Reserved, Copyright. Samba Users Group Japan 2002
更新可能なファイル配布共有
• 一般のアカウントは、読み取りのみ
• 一部のアカウント(管理用アカウント)のみ書き込み可能
# mkdir –p /home/samba/public ←共有したいディレクトリを指定
# chmod 775 /home/samba/public
smb.confの設定
# chgrp ftpadm /home/samba/public
– 一般のアカウントは、read
only = yesにより、読み取り
のみ可
– ftpadmグループに所属する
アカウントのみ、書き込み可
能で、互いの書いたファイル
を読み書きできる
All Rights Reserved, Copyright. Samba Users Group Japan 2002
[global]
map to guest = bad user
[public]
path = /home/samba/public
guest account = ftp
read only = yes
write list = @ftpadm
guest ok = Yes
force group = ftpadm
force create mode = 664
force directory mode = 775
ゲストアクセス「も」可能な設定
• アカウントがない場合は、ゲストアクセス(読み取りのみ)
• アカウントがある場合は、書き込み可能
# mkdir –p /home/samba/public ←共有したいディレクトリを指定
# chmod 775 /home/samba/public
smb.confの設定
# chgrp ftp /home/samba/public
– ゲストアカウントは、read
listにより、読み取りのみ可
– 一般のアカウントは、書き込
み可能で、ftpグループに所
属している限り、互いの書い
たファイルを読み書きできる
All Rights Reserved, Copyright. Samba Users Group Japan 2002
[global]
map to guest = bad user
[public]
path = /home/samba/public
guest account = ftp
writeable = Yes
read list = ftp
guest ok = Yes
force group = ftp
force create mode = 664
force directory mode = 775
プロジェクト専用の共有
• プロジェクトAグループに所属するアカウントは
読み書き可能な共有フォルダの設定例
# mkdir –p /project/project-a ←共有したいディレクトリを指定
# chmod 775 /project/project-a ←グループ書き込み可能にする
# chgrp project-a /project/project-a
[project-a]
path = /project/project-a
writeable = Yes ←更新可能にする
valid users = +project-a ←project-aグループのみアクセス可能
hosts allow = 192.168.1.0/255.255.255.0
force group = project-a
全員project-aグループとしてア
force create mode = 664
クセス、作成したファイルやディレク
force directory mode = 775 トリはグループ書き込み可能
All Rights Reserved, Copyright. Samba Users Group Japan 2002
日本語の活用
• 日本語の共有名、コメントなど
[global]
server string = Samba %v サーバです
[共有1]
comment = テスト共有 No.1 #←コメント(任意)です
– 日本語が利用できるのは、Samba 2.0.5a日本語版と
Samba 2.0.7以降(オリジナル版含む)のみ
– Samba 2.0.7以降ではcoding systemパラメータに記
述した文字コードでsmb.confを記述すること
• 例)coding
system = CAPなら[共有]は[:8b:a4:97L]と記述
All Rights Reserved, Copyright. Samba Users Group Japan 2002
UNIX上のファイルを隠す
• 一部のファイルへのアクセスを禁止する設定
– veto files
指定したファイルは存在しないかのように扱われる
[share]
...
veto files = /.??*/
delete veto files = yes ←
アクセスを禁止されたファイル
が含まれるディレクトリの削除
を許可する
– hide dot files / hide files
ドット「.」から始まるファイル/指定したファイルを隠し
ファイルにする
– 隠しファイルが表示される設定になっていると無意味
All Rights Reserved, Copyright. Samba Users Group Japan 2002
UNIX上のファイルを隠す
• アクセスできないファイルを隠す設定
– hide unreadable = yes (Samba 2.2.1a以降)
アクセス権のないファイルが存在しないかのように扱われる
[share]
...
アクセス権のないファイル(ディレ
hide unreadable = yes ← クトリ)の存在を隠す
アクセス権のないディレクトリが表示されない
All Rights Reserved, Copyright. Samba Users Group Japan 2002
MS-DOS互換の設定
• Visual C++などでビルドする際の設定
– 不要なビルドを行わないようにする設定
[share]
ファイル・ディレクトリの作成時刻の設定を、MS-DOS互
...
換の2秒単位にする ↓
ディレクトリ作成時刻を
dos filetime resolution = yes
常に1970/01/01にする
fake directory create time = yes ←
– JP402160 [NT] NTFSからFATへのファイルのコピー時に日時が変わる
– UNIXには、ディレクトリ作成時刻の概念がない
• delete readonly
– 読み取り専用ファイルの削除を許可する(MS-DOS互
換の仕様の実現)
All Rights Reserved, Copyright. Samba Users Group Japan 2002
MS-DOS互換の設定
• ファイル属性のサポート
– 「アーカイブ、読み取り専用、システム、隠し」の4つ
• ファイルの実行属性を
使って、情報を保存
– map archive (所有者)
– map system (グループ)
– map hidden (その他)
• 読み取り専用属性は、ファイ
ルの書き込み権で制御
All Rights Reserved, Copyright. Samba Users Group Japan 2002
セミナのまとめ
•
•
•
•
Sambaの機能紹介
Sambaの設定方法
Sambaの設定(全体設定)
Sambaの設定(共有設定)
–
–
–
–
–
ユーザホーム機能
ゲストアクセス機能
一般の共有(グループ内共有)機能
アクセス制御機能
その他の設定
Microsoft,WindowsはMicrosoft Corporationの米国およびその他の国における商標または登録商標です。
その他の製品および会社名は、各社の登録商標又は商標です。
All Rights Reserved, Copyright. Samba Users Group Japan 2002
さいごに
• 今回の資料は、以下のURLで公開予定です
– http://www.samba.gr.jp/event/2002/20021207of/
• 日本Sambaユーザ会の
各種活動
• ドキュメント作成
• Webサイト運営など
へのご協力をお願いい
たします
All Rights Reserved, Copyright. Samba Users Group Japan 2002