Active Directory参加機能とセキュリティ拡張:Samba 3.0の全貌 改訂版(2)(3/3 ページ)
前編では、Samba 3.0系列の概要からインストール、文字コード関係の改善点について解説した。後編では、Active DirectoryドメインやNTドメインなど、Windowsドメイン関係の機能およびセキュリティ拡張について説明する。(編集局)
多様な認証データベースのサポート
Samba 3.0系列での大きな拡張点の1つに、認証データベースの拡張が挙げられます。
Samba 2.2系列でも、configure時にオプションを指定することで、LDAP認証をはじめとするsmbpasswdファイル以外のいくつかの認証データベースを使用することができました。しかし、configure時に使用する認証データベースが固定されてしまい、複数の認証データベースを組み合わせて使うこともできませんでした。
Samba 3.0系列では、こうした問題に対応すべく、新たにpassdb backendというパラメータが新設されました。このパラメータのデフォルト値は、
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
で、Samba 2.2系列までと同様にsmbpasswdファイルで認証を行う設定になっています(注)。ここに認証データベースを示すキーワードを列挙することで、Sambaがサポートしている任意の認証方式を任意の順番で組み合わせることが可能です。
注:ただし、configureで--with-ldapsamを指定した場合、デフォルト値はldapsam_compat になります。
例えば、基本的にLDAP認証を用い、LDAP中に存在しないアカウントについてはローカルのsmbpasswdファイルで認証したい場合は、以下のように設定します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
現在、デフォルトで使用可能な認証モジュールは表4のとおりです。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
■LDAP認証の機能強化
表4に、LDAP認証の認証モジュールが複数用意されています。これは、Samba 3.0系列になってLDAP認証に用いるスキーマが変更されたためです。この変更により、より多くの情報が保持できるようになった半面、Samba 2.2系列でLDAP認証のスキーマとの互換性がなくなっています。
こうした問題に対処するため、Samba 3.0系列でもconfigure時に--with-ldapsamオプションを指定し、passdb backendパラメータでldapsam_compatを指定することで、Samba 2.2系列と同じLDAPデータベースを使用することが可能です。
■pdbeditコマンド
Samba 3.0系列では、実際の認証方式の違いを意識することなくアカウントの追加、変更などの各種操作を可能とするため、pdbeditというコマンドが新たに用意されています。
例えば、pdbeditコマンドを実行することで、ユーザー情報の詳細表示が可能です。これは、認証データベースがLDAPであってもtdbsamであっても、同一の操作で同一の表示が行えるようになっています。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
また、pdbeditコマンドを以下のように用いることで、異なる認証データベース間での移行が可能です。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Samba 3.0系列はsmbpasswdコマンドもサポートしているので、smbpasswdファイルを使用している場合は、smbpasswdコマンドによる操作も可能です。しかし、pdbeditコマンドが認証データベース操作の標準コマンドとして位置付けられているので、管理者としては早めにこのコマンドに慣れておきたいところです。
SMBセキュリティの拡張
SMBプロトコルの各種セキュリティ機能への対応も、Samba 2.2系列から大きく機能強化されました。
Samba 2.2系列までは、俗に「暗号化パスワード」と呼ばれるNTLMレスポンスおよびLMレスポンスと平文パスワードのみに対応しており、Windows NT 4.0 SP3やSP4以降で実装されたSMB署名やNTLMv2などの各種セキュリティ機能には対応していませんでした。そのため、デフォルトの設定ではWindows XP ProfessionalがSambaドメインに参加できないという問題が発生していました(注)。
注:Windows XP Professionalのマシンがドメインに参加できない
http://www.samba.gr.jp/project/kb/J0/0/71.html
Samba 3.0系列では、Windowsが実装しているSMBのセキュリティ機能はほぼすべてサポートされています(表5)。これにより、前述したSambaドメインに参加できない問題も解消しています。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
管理コマンドの拡充
Samba 3.0系列では、新たにnetコマンドが追加されました。
Windowsのnetコマンドに類似したコマンドですが、はるかに多くの機能が実装されており、従来のコマンドの機能も多く統合されています。また、netコマンドを用いることで、WindowsマシンをUNIXコマンドラインから遠隔管理することも可能になります。
netコマンドの機能は多岐にわたりますので、詳細についてはドキュメントなどを参照してください。このほかにも、smbcacls、smbcquotas、smbtreeなどのコマンドが追加されています。
以上、Samba 3.0系列の特徴的な機能について、一通り紹介しました。Samba 3.0系列についてはまとまった情報があまりない状態ですが、本記事とSamba 2.2系列までの情報を合わせれば、Samba 3.0系列について一通りの機能を知ることができるのではないかと思います。
本記事が、Samba 3.0系列を使う方々のお役に立てれば幸いです。
Copyright © ITmedia, Inc. All Rights Reserved.