- PR -

DMZ領域のSambaサーバへのアクセスに関して

1
投稿者投稿内容
yabetti
会議室デビュー日: 2004/01/08
投稿数: 19
投稿日時: 2004-04-05 00:21
はじめまして。
Sambaの運用に関して質問がありますのでアドバイス下さい。

グローバルIPアドレスをふっているDMZ領域のLinuxサーバで
Sambaサーバをたて、プライベートネットワーク(LAN内)の
Windowsクライアントのファイルサーバとして運用したいのです。

具体的には、

ゲートウェイ(グローバルIP)
|
--DMZ(Linuxサーバ+Samba)
|
ルータ(NATでプライベートIP)
|
-Windowクライアントネットワーク

です。
NAT越しにDMZのSambaで公開しているフォルダを
クライアントが共有できますでしょうか?

現在はLAN内にSambaを設置し、domainでなくserver
構成でSambaを運用しています。

このような構成は可能でしょうか?
アドバイス下さい。お願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-04-05 00:28
こんばんわ.

引用:

yabettiさんの書き込み (2004-04-05 00:21) より:
NAT越しにDMZのSambaで公開しているフォルダを
クライアントが共有できますでしょうか?

現在はLAN内にSambaを設置し、domainでなくserver
構成でSambaを運用しています。

このような構成は可能でしょうか?
アドバイス下さい。お願いいたします。

理屈では可能ですけど,なぜでしょう?
D.M.Z. に置いて外部に公開するとか?
単に内部からの接続に対しても「守りたい」というのであれば,Netfilter を使われることをお奨めしますけど...
yabetti
会議室デビュー日: 2004/01/08
投稿数: 19
投稿日時: 2004-04-05 00:31
返信ありがとうございます!

DMZへの設置理由は、外部へFTP(SCP)サーバとしてファイルサーバを構築
するためです。

LAN内からの共有は、\\NetBios名\共有名 という従来の方法で
できるのでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-04-05 01:32
引用:

yabettiさんの書き込み (2004-04-05 00:31) より:
DMZへの設置理由は、外部へFTP(SCP)サーバとしてファイルサーバを構築
するためです。

杞憂かもしれませんが,くれぐれも security に腐心される事をお奨めします.
でも,内部からも scp や sftp ではダメなんでしょうか?

引用:

LAN内からの共有は、\NetBios名共有名 という従来の方法で
できるのでしょうか?

その場合,どこかに WINS server を置くか,SAMBA server へ接続する Windows の lmhosts に1台ずつ定義を追加する必要があります.SAMBA で WINS を使うのが最も容易な解決方法ですが,NAT を挟むと Client 側の名前解決は無理ですね.ま,Client 側の名前解決は必要ないでしょうけど.
要するに「NetBIOS 名を解決する手段」を用意してあげれば良いです.
yabetti
会議室デビュー日: 2004/01/08
投稿数: 19
投稿日時: 2004-04-05 02:05
ありがとうございます。

WINSサーバをLAN内ADに設置し、静的にDMZのLinuxのNETBIOS名
を登録してみます。

Linux側からは特に共有するものがなければ、Winsサーバを指定
したりしなくてもよろしいですか?
たしかSamba側からADに対して認証をしたような記憶があるんですが、、
すみませんが、アドバイス下さい。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-04-05 02:47
引用:

yabettiさんの書き込み (2004-04-05 02:05) より:
ありがとうございます。

WINSサーバをLAN内ADに設置し、静的にDMZのLinuxのNETBIOS名
を登録してみます。

Linux側からは特に共有するものがなければ、Winsサーバを指定
したりしなくてもよろしいですか?
たしかSamba側からADに対して認証をしたような記憶があるんですが、、
すみませんが、アドバイス下さい。

SAMBA3 でしょうか?ActiveDirectory で認証するには OpenLDAP と Kerberos5 が必要です.となると,必要なのは WINS ではなくこれらの導入と NAT の設定でしょう.
SAMBA server から ActiveDirectory を見に行く必要がありますから,「D.M.Z. -> 内部」の接続を許可する必要があります.となると,NAT している router が内部へ distination NAT する必要があるかと.
それが実現できた上で SAMBA server から ActiveDirectory で利用している DNS server を見に行かせて,ActiveDirectory で SAMBA server を手動で登録して,SAMBA server でもたしか Kerberos5 と PAM の設定をしたと思います.時刻同期も必要でした.で,最後に SAMBA server 上の net コマンドで ActiveDirectory に「参加する」という処理をして,ようやく ActiveDirectory の UserAccount で接続できると思います.

と,長々書いてもわかりにくいと思われますので,
http://www.atmarkit.co.jp/flinux/special/samba3/samba3b.html
などをご覧になったほうがよろしいかと.

SAMBA2 では ActiveDirectory に参加するのは非常に困難だったと思います.
不可能ではありません(実際やってみたことはあります)が,やめておいたほうが幸せです.
yabetti
会議室デビュー日: 2004/01/08
投稿数: 19
投稿日時: 2004-04-05 13:06
参考ページありがとうございます。

Samba3.0でAD参加も考えたのですが、当面はSamba2.x系で
メンバサーバとして運用する方針です。
機会があればADに参加する事も視野にいれています。

メンバサーバで支障はないでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-04-05 15:39
こんばんわ.

引用:

yabettiさんの書き込み (2004-04-05 13:06) より:
参考ページありがとうございます。
メンバサーバで支障はないでしょうか?

???
standalone ですよね?SAMBA server 単独で user account 作って接続させるのではなく?

member server だと Active Directory に参加させることになるかと...
1

スキルアップ/キャリアアップ(JOB@IT)