Active Directory参加機能とセキュリティ拡張:Samba 3.0の全貌 改訂版(2)(2/3 ページ)
前編では、Samba 3.0系列の概要からインストール、文字コード関係の改善点について解説した。後編では、Active DirectoryドメインやNTドメインなど、Windowsドメイン関係の機能およびセキュリティ拡張について説明する。(編集局)
ドメインとユーザー
■Winbindの機能拡張
Winbindを使用することで、Windowsドメインに存在するユーザーについては、UNIX側でのユーザー作成が不要になります。
しかし、Samba 2.2系列のWinbindではuidやgidと対応するWindowsドメインのアカウントやグループの対応テーブルがマシンごとに動的に生成される関係上、同じWindowsのアカウントやグループに割り当てられるuidやgidがマシンごとに異なってしまうという問題点がありました。これはNFSなどを用いている場合に致命的な問題となります。
Samba 3.0系列ではidmap backendというパラメータが新設され、指定したLDAPサーバ上に対応テーブルを保持できるようになりました。これにより、図2のように対応テーブルの一元管理が可能となり、上記の問題が解消しています。
■任意のグローバルグループのサポート
Samba 3.0系列でNTドメインを構築した場合に実現される機能に、グローバルグループのサポートがあります。
Samba 2.2系列では、Domain AdminsとDomain Usersグローバルグループ以外のグローバルグループはサポートされていませんでした。これに対して、Samba 3.0系列では任意のグローバルグループがサポートされています。
グローバルグループの構成は、net groupmapコマンドで行います。なお、Sambaで作成するグローバルグループは、何らかのSambaマシン上のUNIXグループとマッピングする必要があるため、UNIX側にあらかじめ対応するUNIXグループを作成しておいてください。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
ビルトインのグローバルグループ(Domain Admins/Domain Users/Domain Guests)については、あらかじめ定義されているので新規に作成せず、net groupmap modifyコマンドで適切なUNIXグループを対応付けます。なお、マッピングの削除はnet groupmap deleteコマンド、現在の設定の確認は上記のnet groupmap listコマンドで行えます。
Windows側からは画面3のように、通常のグローバルグループとまったく同様にローカルグループへの所属やアクセス権の割り当てといった作業を行うことが可能です。
■ドメイン間信頼関係のサポート
信頼関係とは、Windowsドメイン特有の用語で、ドメインのリソースに対して別のドメインからのアクセスを実現する機能です。複数のWindowsドメインが存在する大規模なWindowsネットワークの管理においては、必要不可欠ともいえる機能でしょう。なお、サポートされているのはNTドメイン相当の「明示的な片方向の信頼関係」のみです。Active Directoryドメインがサポートしている「推移的な双方向の信頼関係」はサポートされていません。
以下、SAMBA30というSambaで構築したドメインと、W2003AD1というWindows Server 2003がDCのWindowsドメインとの間で双方向の信頼関係を結ぶ場合を例に、設定方法を説明します。
まず、SAMBA30ドメインを信頼されるドメインとして構成するために、smbpasswdコマンドで信頼するドメイン(ここではW2003AD1)のエントリを追加します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
次に、net trustdom establishコマンドを用いて、信頼するドメインとしての設定を行います。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Windows側からは通常の操作と同様に、「Active Directoryドメインと信頼関係」で信頼関係の設定を行ってください。設定が完了すると、画面4のように表示されるはずです。
設定が完了したら、ドメインに参加しているクライアントマシンからログオンして、フォルダのアクセス権を設定してみましょう。アクセス権付与の画面で、相手側のドメインのユーザー名やグループ名が参照できれば基本的に動作しているはずです。
Copyright © ITmedia, Inc. All Rights Reserved.