![[ Samba ]](/swat/images/samba.gif)
!==
== DOMAIN_MEMBER.txt for Samba release 2.0.7 26 Apr 2000
!==
TITLE INFORMATION: Joining an NT Domain with Samba 2.0
AUTHOR INFORMATION: Jeremy Allison、Samba Team
DATE INFORMATION: 11th November 1998
翻訳者: 高橋基信
更新日: 2000/05/02
======================================================================
Samba 2.0 サーバを NT ドメインに参加させるには
----------------------------------------------
Samba-2 サーバで NT ドメインに参加する為には、まず最初に Samba マシン
の NetBIOS 名を、サーバマネージャを使って NT ドメインの PDC に追加して
おく必要があります。これで、マシンアカウントがドメイン(PDC)の SAM に作
られます。
以下、SERV1 という NetBIOS 名を持つ Samba-2 サーバを、DOMPDC という
NetBIOS 名の PDC と DOMBDC1、DOMBDC2 という 2 つの BDC がある、DOM とい
う NT ドメイン に追加するものとして説明します。
ドメインに参加する為には、まずは全ての Samba デーモンを停止させてから、
DOM ドメインやその PDC である DOMPDC (ドメインで唯一 SAM データベース
に書き込むことができるマシン) に参加する為、以下のコマンドを起動してく
ださい。
smbpasswd -j DOM -r DOMPDC
もしうまく行ったら、以下のメッセージがターミナルウインドウに現れる筈で
す。
smbpasswd: Joined domain DOM.
詳細に付いては smbpasswd の man ページを参照してください。
このコマンドは、マシンアカウントを変更するプロトコルに従い、この Samba
サーバの新しい(ランダムな)マシンアカウントのパスワードを smbpasswd ファ
イルがあるディレクトリと同じディレクトリ(普通は
/usr/local/samba/private
)に書き込みます。
ファイル名は、以下のようになっています。
..mac
この .mac という拡張子は、マシンアカウントのパスワードファイルを示しま
す。そのため今回の例では、このファイルは
DOM.SERV1.mac
という名前になっている筈です。
このファイルは、オーナ root で作成され、他のユーザからは読めません。
このファイルは、システムがドメインレベルのセキュリティを保つのに必要な
鍵である為、shadow パスワードファイルと同様に、慎重に扱うべきです。
ここで、Samba デーモンを再起動する前に、smb.conf ファイルを修正して、
Samba にドメインセキュリティを使用させるようにする必要があります。
まず、現在使われている smb.conf の [global] セクションの
"security ="
行を
security = domain
と修正(または追加)します。
次に、[global] セクションの
"workgroup ="
行を
workgroup = DOM
のように、これから参加するドメインの名前に修正します。
また、NT の PDC に対するユーザ認証を可能にする為、"encrypt passwords"
行も "yes" に設定する必要があります。
最後に、[global] セクションの
"password server ="
行を
password server = DOMPDC DOMBDC1 DOMBDC2
と追加(あるいは修正)します。
Samba がユーザ認証を行う時に問い合わせを行うサーバには、PDC と BDC
があります。Samba はこれらのサーバに対し、順番に問い合わせを行おうとし
ます(訳注: リストの最初のサーバから順番に問い合わせ、どれかのサーバから
返答があれば、残りのサーバには問い合わせません)。従って、このリストの
順番を変えることで、ドメインコントローラの認証の負荷を分散させること
が可能です。
現在、Samba がドメインレベルのセキュリティを使って認証を行う為には、こ
のパラメータを使って、ドメインコントローラを列挙することが必要です。それ
に対して、NT は、認証する為のドメインコントローラを見付けるのに、こう
した方式を使わず、ブロードキャストか WINS データベースを使います。
元々、私もこの方式を Samba に適用することを考えていましたが、セキュリティ
に問題があるように感じて、適用を止めました。しかし、Samba-2 alpha 版
ユーザの幾人かは、Samba の NT への類似度を高める為に、この機能を追加し
て欲しいと要求して来ましたので、私は、多分 '*' という特別な名前(NT の
様にドメインコントローラを探索することを意味する)を、将来リリースされる
コードに追加すると思います。しかし、現在は、だれがドメインコントローラ
かは、自分で指定する必要があります。
最後に、Samba デーモンを再起動してください。これでドメインセキュリティ
を使った、クライアントのアクセスが可能になります!
security = server よりも良い点
------------------------------
現在、Samba のドメインセキュリティを使っても、依然としてユーザがサーバ
にアクセスするには、ローカルな UNIX ユーザを作成する必要があります。
つまり、DOM\fred というドメインのユーザがドメインセキュリティを使用し
ている Samba サーバにアクセスする場合、UNIX のファイルシステムでその
ユーザを識別する為に、fred というローカルな UNIX のユーザが必要です。
これは、以前からある "security = server" という Samba のセキュリティモー
ドを使って、Windows 95 や Windows 98 と同様に、Windows NT Server に対
して認証要求をパススルーするのとほとんど変わりません。
ドメインレベルのセキュリティを用いる利点は、ドメインレベルのセキュ
リティの認証が、NT Server と全く同様に、認証された RPC チャネルを通
じて行われる所にあります。これは、Samba が NT Server と全く同様に、ド
メインの信頼関係に参加していることを意味します。(例えば、Samba サーバ
をリソースドメインに追加することで、リソースドメインの PDC 経由でアカウ
ントドメインの PDC に対し、認証要求を行うことが可能です。)
それに加えて、"security = server" の場合、サーバ上の個々の Samba デー
モンのプロセスは、存在している間、認証しているサーバに対してコネクショ
ンを張ったままにしている必要があります。これは、NT サーバのコネクショ
ンのリソースを消費し、利用可能なコネクションを使いはたす恐れがあります。
一方 "security = domain" の場合、Samba デーモンは、ユーザを認証するの
に必要な間、PDC や BDC に接続するだけで、必要でなくなれば、すぐにコネ
クションを切断しますので、PDC のコネクションのリソースを浪費しません。
最後に、NT サーバと同様の方法で PDC に認証に認証を行うということは、認証
の返事として、Samba サーバが、SID のような、ユーザを識別する情報や、
ユーザが属している NT グループの一覧等の情報を受け取れると言うことを意味
します。これは、将来の Samba に、現在開発者の間で appliance モードと呼
ばれているモードを拡張することが可能になったということです。そのモードでは、
ローカルな UNIX ユーザは不要になります。Samba は、NT ユーザが認証され
た時点で、PDC から入手した情報を元に UNIX の uid と gid を生成するよう
になり、Samba サーバは、NT ドメインの環境に対し、真にプラグアンドプレ
イになります。それが実現されるのも、そう遠くはありません。
注意: このドキュメントのほとんどは、Web マガジンの LinuxWorld の
"Doing the NIS/NT Samba" という記事中で最初に出版されました。
訳注: 以下の URI にあります。
http://www.linuxworld.com/linuxworld/lw-1998-10/lw-10-samba.html